Résumé de la semaine 1 (du 2 au 8 janvier)

Résumé de la semaine 1 (du 2 au 8 janvier)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Google pour Android [1] et Google Chrome [2], pour Docker [3], par Mozilla pour Firefox [4], par Fortinet pour FortiWeb [5a] [5b] [5c] [5d], pour MantisBT [6], pour MariaDB [7] et pour Dovecot [8].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 4 bulletins portant sur des codes d’exploitation ont été publiés par le CERT-XMCO. Tous disposent d’un correctif de sécurité.

WordPress [9]

Ce code d’exploitation se présente sous la forme d’une charge utile HTML contenant du JavaScript. Un attaquant incitant un utilisateur à prévisualiser un message contenant cette charge utile va forcer son navigateur à exécuter cette charge utile.

MantisBT [10]

Ce code d’exploitation se présente sous la forme d’une suite d’instruction contenant une requête HTTP. En jouant cette requête et en modifiant le paramètre ID de la page /bug_revision_view_page.php?bugnote_id, un attaquant peut accéder à des données privées.

MantisBT [11]

Ce code d’exploitation est un script Python. Un attaquant disposant d’un compte exécutant ce script peut récupérer le condensat des mots de passe de tous les utilisateurs.

Nexus Repository Manager 3 [12]

Ce code d’exploitation est un script Python. Un attaquant disposant d’un compte exécutant ce script peut exécuter du code arbitraire sur le système.

 

Informations

Vulnérabilités

Un compte caché découvert dans plus de 100 000 pare-feu et passerelles VPN ZyXEL [13a] [13b]

Plus de 100 000 pare-feu, passerelles VPN et contrôleurs de points d’accès ZyXEL contiennent un compte codé en dur permettant à un attaquant d’obtenir un accès administrateur aux périphériques via l’interface SSH ou l’interface d’administration Web. Celui-ci a pour nom d’utilisateur zyfwp et comme mot de passe PrOw!aN_fXp. Un correctif a été déployé pour supprimer ce compte.

Annonce

Adobe Flash Player n’est officiellement plus maintenu [14a] [14b]

La disparition de la plateforme logicielle multimédia d’Adobe avait été révélée pour la première fois dans une annonce coordonnée d’Apple, Adobe, Facebook, Google et Mozilla en juillet 2017. Cette décision a été prise en raison de la diminution du nombre de personnes utilisant encore le logiciel et l’apparition de technologies ouvertes plus sûres et plus performantes telles que HTML5, WebGL et WebAssembly. Adobe empêchera le contenu Flash de fonctionner dans Flash Player à partir du 12 janvier 2021.

Fuite d’informations

Des données de comptes de 368 millions de personnes mises en vente sur le Dark Web [15a] [15b]

Des données de clients de 26 sociétés ont été mises en vente sur un forum du Dark Web. Plus de 368 millions de personnes seraient concernées.
Les informations provenant de 18 de ces sociétés étaient déjà disponibles à la vente.

Les boites mail du département de la justice américaine ont été compromises par les acteurs derrière l’attaque de SolarWinds [16a] [16b] [16c]

Le département de la justice américaine (DoJ) a révélé dans un communiqué que les acteurs derrière l’attaque de SolarWinds ont eu accès à environ 3% des boites mail du département. Cela représente tout de même plusieurs milliers de boites mail.

Malware

Le malware ElectroRAT aurait permis de dérober des milliers de portefeuilles de cryptomonnaie [17a] [17b]

Des chercheurs de la société Intezer ont récemment identifié une campagne de vol de portefeuilles de cryptomonnaie. La campagne serait restée non détectée pendant un an, et aurait permis aux pirates de compromettre des milliers de portefeuilles. Trois applications permettant de gérer des portefeuilles ou de jouer au poker avec des bitcoins, qui étaient promues sur des forums de cryptomonnaies, cachaient un malware baptisé ElectroRAT.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-0031
[2] CXA-2021-0071
[3] CXA-2021-0047
[4] CXA-2021-0063
[5] CXA-2021-0065
[6] CXA-2021-0023
[7] CXA-2021-0010
[8] CXA-2021-0016
[9] CXA-2021-0013
[10] CXA-2021-0030
[11] CXA-2021-0033
[12] CXA-2021-0059
[13] CXN-2021-0004
[14] CXN-2021-0022
[15] CXN-2021-0001
[16] CXN-2021-0069
[17] CXN-2021-0066


Arthur Gautier