Origine : bjCSIRT

Numéro : 2023/ALERTE/051

Date de l’alerte : 16/11/2023

APERÇU :

De multiples vulnérabilités ont été découvertes dans les produits ASP.NET Core et .NET Framework, des solutions logicielles développées par Microsoft.

DESCRIPTION :

.NET Framework est une plateforme logicielle, qui fournit un ensemble de service, et de fonctionnalités pour le développement d’applications multiplateformes ainsi que pour l’exécution d’applications .NET sur Windows.  ASP.NET Core quant à lui est un framework web open source multiplateforme permettant de concevoir des applications web, des API et des services.

Ces produits de Microsoft présentent plusieurs vulnérabilités dont la plus critique, libellée CVE-2023-36560, est une vulnérabilité de contournement des mesures de sécurité, affectant ASP.NET. L’exploitation de cette vulnérabilité par un acteur malveillant lui permettrait de forger des requêtes afin de contourner les mesures de sécurité mis en place afin d’accéder à des ressources auxquelles ils ne devraient pas avoir accès.

Cette vulnérabilité a un niveau de criticité élevé et son score est de 8.8.

Ci-dessous les autres vulnérabilités affectant ces produits :

CVE-2023-36038 (Denial of Service) : affectant ASP.NET et permettant à un acteur malveillant d’envoyer plusieurs requêtes, puis de les annuler, provoquant une augmentation de la charge de travail du serveur et une consommation anormale des ressources ;

CVE-2023-36558 (Contournement des mesures de sécurité) : affectant .NET Framework et permettant à un acteur malveillant de contourner les validations sur les formulaires Blazor Server ;

CVE-2023-36049 (Elévation des privilèges) :  affectant .NET Framework et permettant à un acteur malveillant d’obtenir des droits de lecture et d’écriture sur un serveur FTP en y injectant des commandes arbitraires.

IMPACT :

• Atteinte à la confidentialité des données ;
• Atteinte à l’intégrité des données ;
• Atteinte à la disponibilité des données.

SYSTÈMES AFFECTÉS : 

• .NET 6.0
• .NET 7.0
• .NET 8.0
• NET Core 6.0
• NET Core 7.0
• NET Core 8.0
• Microsoft .NET Framework 2.0 Service Pack 2
• Microsoft .NET Framework 3.0 Service Pack 2
• Microsoft .NET Framework 3.5
• Microsoft .NET Framework 3.5 AND 4.6.2/4.7/4.7.1/4.7.2
• Microsoft .NET Framework 3.5 AND 4.6/4.6.2
• Microsoft .NET Framework 3.5 AND 4.7.2
• Microsoft .NET Framework 3.5 AND 4.8
• Microsoft .NET Framework 3.5 AND 4.8.1
• Microsoft .NET Framework 3.5.1
• Microsoft .NET Framework 4.6.2
• Microsoft .NET Framework 4.6.2/4.7/4.7.1/4.7.2
• Microsoft .NET Framework 4.8

MESURES À PRENDRE : 

Effectuer une mise à jour de ces produits Microsoft vers leurs versions les plus récentes.

RÉFÉRENCES :

• https://www.cve.org/CVERecord?id=CVE-2023-36560
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36560
• https://www.cve.org/CVERecord?id=CVE-2023-36038
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36038
• https://www.cve.org/CVERecord?id=CVE-2023-36558
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36558
• https://www.cve.org/CVERecord?id=CVE-2023-36049
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36049