Résumé de la semaine 11 (du 12 au 18 mars)

Résumé de la semaine 11 (du 12 au 18 mars)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Veeam pour Veeam Backup & Replication [1a] [1b], par Google pour Chrome [2a] [2b], par Apple pour macOS Monterey [3], Big Sur [4] et Catalina [5] ainsi que pour iOS and iPadOS [6], par Apache pour HTTPd [7] et Tomcat [8a] [8b] [8c], par OpenSSL [9], et enfin par SonicWall [10].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
 

Codes d’exploitation

Cette semaine, aucun bulletin portant sur des codes d’exploitation n’a été publié par le CERT-XMCO.
 

Informations

Conflit Ukraine

Des groupes russes exploitent un protocole d’authentification multi-facteur et la vulnérabilité « PrintNightmare » [11]

Identifiée par le FBI pour la première fois en mai 2021, la combinaison de l’exploitation de « PrintNightmare » et de vulnérabilités au sein de protocole MFA a permis à un groupe étatique russe de s’introduire dans l’environnement cloud d’une ONG.

Des cybercriminels camouflent leurs malwares dans des outils « pro-Ukraine » [12]

Des acteurs malveillants opportunistes se servent du contexte lié à la guerre en Ukraine pour diffuser des malwares et infecter leurs victimes. Ils utilisent des canaux de communications pro-ukrainiens pour diffuser des malwares aux noms des outils légitimes ou encore des messages de phishing.

Un nouveau malware effaceur de données ciblant l’Ukraine a été détecté par ESET [13a] [13b]

Les chercheurs d’ESET ont découvert un nouveau malware effaceur de données ciblant l’Ukraine. Nommé CaddyWiper, il a été observé pour la première fois le 14 mars 2022. Son but est de corrompre les fichiers présents sur un système en les écrasant avec des caractères nuls.

Vulnérabilités

Des vulnérabilités découvertes dans 8 gestionnaires de paquets populaires [14]

Plusieurs vulnérabilités ont été découvertes dans 8 gestionnaires de paquets massivement utilisées. L’exploitation de ces vulnérabilités pourrait être notamment utilisée pour exécuter du code arbitraire et accéder à des informations sensibles, dont du code source et des jetons d’accès.

Attaques

Le fabricant de composants automobiles Denso, victime du nouveau groupe de ransomare Pandora [15a] [15b]

L’un des plus grands fabricants de composants automobiles, Denso, a affirmé avoir été la cible d’une attaque par ransomware survenue le 10 mars 2022. D’après les déclarations officielles, seule la filiale allemande du géant japonais aurait été affectée. Le groupe d’attaquants Pandora a revendiqué l’attaque et affirme avoir exfiltré 1,4 TB de données dont des factures, des documents techniques et des accords de non-divulgation.

Malware

Une nouvelle version du Trojan bancaire Aberebot a été identifiée [16a] [16b]

Les chercheurs de Cyble ont identifié une nouvelle version du Trojan bancaire Aberebot ciblant les systèmes Android et nommée Escobar. Ce dernier usurpe l’application antivirus MacAfee et dispose de nouvelles fonctionnalités par rapport aux versions précédentes.

Threat Intelligence

Analyse de la campagne d’attaque du groupe chinois APT 41 contre les états américains [17]

Selon l’entreprise de sécurité Mandiant, le groupe chinois Advanced Persistant Threat (APT) 41 aurait réussi à compromettre au moins 6 réseaux gouvernementaux d’états américains depuis mai 2021. Pour ce faire, le groupe d’attaquants a systématiquement ciblé des applications web utilisées par les états via des vecteurs d’attaques variés.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-1257
[2] CXA-2022-1289
[3] CXA-2022-1262
[4] CXA-2022-1259
[5] CXA-2022-1268
[6] CXA-2022-1264
[7] CXA-2022-1256
[8] CXA-2022-1258
[9] CXA-2022-1281
[10] CXA-2022-1229
[11] CXN-2022-1308
[12] CXN-2022-1272
[13] CXN-2022-1271
[14] CXN-2022-1269
[15] CXN-2022-1295
[16] CXN-2022-1315
[17] CXN-2022-1241


Mathieu Claverie