Résumé de la semaine 12 (du 19 au 25 mars)

Résumé de la semaine 12 (du 19 au 25 mars)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Centreon [1] [2], par QNAP pour leur NAS [3], par Drupal [4], par Moodle [5a][5b][5c][5d][5e], par SonicWall pour leur pare-feu [6] ainsi que par Docker [7].

Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, un bulletin portant sur un code d’exploitation a été publié par le CERT-XMCO. Un correctif est disponible.

Prise de contrôle du système via une vulnérabilité au sein d’Ivanti Endpoint Manager [8]

Ce code d’exploitation est une requête cURL. En envoyant cette requête à un système vulnérable, un attaquant peut exécuter des commandes arbitraires avec les privilèges nobody.

 

Informations

Attaques

Le groupe Lapsus$ revendique des attaques contre les entreprises Okta, Microsoft, LG [9a][9b]

Lundi 21 mars, le groupe Lapsus$ a divulgué des morceaux de codes source volés de Bing, Bing Maps, Cortana et d’autres projets Microsoft. L’entreprise a rapidement confirmé qu’elle enquêtait suite à ces affirmations. Le 22 mars, c’est le fournisseur de services d’authentification Okta qui annonçait une enquête interne suite aux revendications du groupe dont les attaquants ont publié des captures d’écran l’environnement interne de l’entreprise.

Threat Intelligence

Microsoft publie une analyse du groupe malveillant LAPSUS$ [10]

Face aux attaques de grande ampleur lancées ces dernières semaines par LAPSUS$, Microsoft a publié le 22 mars 2022 une analyse approfondie de ce groupe malveillant et des tactiques qu’il utilise. Aussi appelé DEV-0537 par Microsoft, LAPSUS$ est connu pour utiliser un modèle d’extorsion et de destruction de données sans déployer de ransomware.

Ransomware

Un nouveau ransomware intitulé LokiLocker a été identifié [11]

Les équipes de BlackBerry Threat Intelligence ont publié une analyse sur un nouveau Ransomware-as-a-Service (RaaS) intitulé LokiLocker. Concernant les caractéristiques techniques du ransomware, LokiLocker a été développé avec le framework `.NET` et cible les systèmes Windows.

Conflit Ukraine

Le CISA publie ses recommandations pour renforcer la sécurité des réseaux SATCOM [12]

Dans le cadre du conflit ukrainien, des attaques visant des terminaux SATCOM ont déjà été identifiées. Dernièrement, le Cybersecurity and Infrastructure Security Agency (CISA) et le FBI ont eu connaissance d’attaques à venir visant cette fois-ci des réseaux américains SATCOM.

L’EASA alerte sur des pannes de GPS dans les avions en Europe [13]

L’Agence de l’Union européenne pour la sécurité aérienne (EASA) a alerté jeudi dernier sur de nombreux incidents liés à la dégradation des services du Global Navigation Satellite Systems (GNSS, système de positionnement par satellites incluant les systèmes GPS, Gallileo ou encore Glonass). Ces incidents sont attribués aux opérations militaires russes.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-1350
[2] CXA-2022-1370
[3] CXA-2022-1351
[4] CXA-2022-1360
[5] CXA-2022-1393
[6] CXA-2022-1429
[7] CXA-2022-1430
[8] CXA-2022-1390
[9] CXN-2022-1373
[10] CXN-2022-1391
[11] CXN-2022-1398
[12] CXN-2022-1356
[13] CXN-2022-1349


Arthur Gautier

Analyste CERT