Résumé de la semaine 10 (du 5 au 11 mars)

Résumé de la semaine 10 (du 5 au 11 mars)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre du Patch Tuesday [1], pour les systèmes Linux [2], par SAP [3], par Mozilla pour Firefox [4][5], par Google pour Android [6] ainsi que pour WordPress [7].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 2 codes d’exploitation ont été publiés. Des correctifs sont disponibles.

Élévation de privilèges via la vulnérabilité nommée « Dirty Pipe » au sein du noyau Linux [8]

Ce code d’exploitation se présente sous la forme d’un programme écrit en C. En exécutant ce programme sur un système vulnérable, un attaquant est alors en mesure d’écraser les données d’un fichier arbitraire normalement accessible uniquement en lecture seule.

Prise de contrôle du système via une vulnérabilité au sein de Webmin [9]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme, un attaquant est en mesure d’exécuter des lignes de commande avec les permissions de l’utilisateur root sur le serveur ciblé.

Informations

Vulnérabilité

Découverte de 7 vulnérabilités affectant la solution Adexa utilisée par plus de 150 modèles d’appareils connectés [10a] [10b] [10c]

Les chercheurs en sécurité de Forescout et CyberMDX ont publié le 8 mars 2022 un rapport sur la découverte de 7 vulnérabilités au sein de la plateforme Axeda de l’entreprise PTC. Regroupées sous l’appellation « Access :7 », ces vulnérabilités affecteraient plus de 150 modèles d’appareils connectés de plus de 100 constructeurs, faisant peser un risque majeur d’attaque par supply chain.

IoT

Des failles « zero-clic » découvertes dans des équipements utilisés par des infrastructures critiques [11a] [11b] [11c]

Des chercheurs de la société Armis ont découvert trois vulnérabilités critiques qu’ils ont baptisées TLStorm. Ces vulnérabilités touchent les produits Smart-UPS commercialisés par la société APC. Cette filiale du groupe Schneider Electric est leader sur le marché des onduleurs, avec environ 20 millions d’unités vendues partout dans le monde.

Conflit Ukraine

Google fait le point sur les menaces cyber dans le cadre du conflit Ukrainien [12]

Le Threat Analysis Group (TAG) de Google a récemment publié un billet de blog résumant les principales attaques menées dans le cadre du conflit en Ukraine, ces deux dernières semaines.

Découverte d’une campagne de compromission de comptes Cloud émanent d’infrastructures liées à la Russie [13]

Les chercheurs de Proofpoint ont observé, depuis le 22 février 2022, environ 78 000 tentatives de brute-force ainsi que de password spraying (test de mots de passe courants sur de multiples comptes utilisateurs d’un domaine) ciblant 4 340 comptes utilisateurs dans 728 environnements cloud.

Attaque

Deux certificats de signature de code publiés suite à la compromission de Nvidia [14a] [14b] [14c]

Deux certificats de signature de code et les données de 70 000 employés de l’entreprise Nvidia ont été publiés à la suite de la cyberattaque dont elle a fait l’objet. L’un des certificats a expiré et n’est plus valide. Le second a également expiré, mais est toujours accepté par Windows en raison d’une politique assumée de Microsoft sur la gestion des certificats expirés.

Fuite d’informations

Le groupe LAPSUS$ aurait volé 190 Go de données sensibles à Samsung [15]

Le groupe LAPSUS$, qui mène des opérations de vol massif de données, a rendu publique son attaque contre l’entreprise Sud-Coréenne Samsung Electronics le 04/03. Cette attaque fait suite à l’opération menée contre NVDIA fin février 2022.

Publication

Panorama de la cybermenace 2021 selon l’ANSSI et cybermalveillance.gouv.fr [16a] [16b]

Les 8 et 9 mars 2022, l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) et le site cybermalveillance.gouv.fr ont publié pour l’un son rapport sur l’état de la cybermenace en 2021, pour l’autre son rapport d’activité. Avec une hausse de 37% des intrusions avérées dans des systèmes d’information constatée par l’ANSSI, les activités de cybermalveillance.gouv.fr contribuent toujours plus au dispositif global de sécurité numérique.

Annonce

Le projet OpenSSL annonce le passage de sa version 3.0 en LTS (Long Term Support) [17]

Le projet OpenSSL, une boite à outils cryptographique utilisée par de nombreux projets et société (IBM, Oracle, F5, etc.) a annoncé le passage de sa version 3.0 en LTS (Long Term Support). Cette version sera supportée jusqu’au 7 septembre 2026. Ce changement entraine aussi l’annonce de fin de support pour la version LTS actuelle (1.1.1) au 11 septembre 2023.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-1169
[2] CXA-2022-1101
[3] CXA-2022-1151
[4] CXA-2022-1167
[5] CXA-2022-1090
[6] CXA-2022-1116
[7] CXA-2022-1215
[8] CXA-2022-1102
[9] CXA-2022-1110
[10] CXN-2022-1198
[11] CXN-2022-1122
[12] CXN-2022-1159
[13] CXN-2022-1096
[14] CXN-2022-1117
[15] CXN-2022-1097
[16] CXN-2022-1176
[17] CXN-2022-1095


Jules Wermeister

Analyste CERT-XMCO