Résumé de la semaine 12 (du 20 au 26 mars)

Résumé de la semaine 12 (du 20 au 26 mars)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Cisco pour IOS XE [1] [2] [3] [4] [5a] [5b] [5c] [6] et Jabber [7], par Mozilla pour ses produits Thunderbird [8], et Firefox [9a][9b], par Foxit pour PhantomPDF [10], et Foxit Reader [11], et enfin par TYPO3 pour son CMS [12a] [12b] [13a] [13b].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour les plateformes F5 BIG-IP.

Prise de contrôle du système via une vulnérabilité au sein des plateformes F5 BIG-IP (K03009991) [14]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme en spécifiant un serveur vulnérable, un attaquant sur le réseau local est alors en mesure d’envoyer une requête POST spécifiquement conçue vers le point d’accès /mgmt/tm/util/bash afin d’exécuter du code arbitraire sur l’applicatif.

Déni de service via une vulnérabilité au sein de ProFTPD [15]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. Le programme parallélise plusieurs connexions et ainsi bloque l’accès au serveur.
Aucun correctif n’est disponible pour le moment.

 

Informations

Cybercriminalité

Un rapport analysant l’activité du groupe SilverFish a été publié [16]

Publié ce vendredi par la société Prodaft, un rapport sur le groupe SilverFish présente la manière dont il a pu opérer pendant plusieurs mois, depuis fin août 2020 jusqu’à début mars 2021.
Le rapport fait état d’un certain nombre d’observables précédemment attribués à des campagnes Trickbot, WastedLocker, DarkHydrus, à l’attaque de SolarWinds ou encore à des acteurs comme Evil Corp.

Le groupe NCC publie ses méthodes afin de détecter les vulnérabilités corrigées dans l’API REST iControl des produits F5 BIG-IP/BIG-IQ [17]

Le 10 mars 2021, l’éditeur F5 a publié des correctifs pour 7 vulnérabilités dans ses produits, dont les vulnérabilités référencées CVE-2021-22986, CVE-2021-22987, CVE-2021-22988, CVE-2021-22989 et CVE-2021-22990.
Parmi les vulnérabilités citées, la vulnérabilité référencée CVE-2021-22986 permettait à un attaquant distant et non authentifié de contourner les mécanismes d’authentification et d’exécuter du code arbitraire via l’API REST iControl de BIG-IQ.

Ransomware

La société Sierra Wireless victime d’un ransomware [18]

Sierra Wireless est une société cotée au NASDAQ, commercialisant des appareils connectés et les solutions de gestion qui les accompagnent. L’entreprise a récemment publié un communiqué indiquant que son réseau interne avait été frappé par un ransomware le 20 mars.
En conséquence de l’attaque, le site web a connu des perturbations, ainsi que des « processus internes ». D’autre part, la production des usines a été interrompue, mais le communiqué ne permet pas de définir clairement si l’usine a été directement touchée par le ransomware. En revanche, les services de gestion d’appareils pour les clients n’ont pas été touchés, grâce à une ségrégation stricte avec le réseau interne de l’entreprise.

Piratage

Mimecast annonce un vol de code source suite à la compromission de SolarWinds [19][19b]

Mimecast, une société spécialisée dans des solutions cloud de gestion sécurisée des emails, a récemment annoncé avoir été victime d’une intrusion. La société a été prévenue en janvier que des certificats normalement utilisés pour authentifier des services Mimecast auprès de Microsoft 365 avaient été frauduleusement utilisés depuis des IP n’appartenant pas à Mimecast.
Après investigation, le vol des certificats, ainsi que le vol (sans modification) de code source et l’accès frauduleux à des communications internes ont pu être confirmés. La compromission initiale est liée à Orion, le logiciel compromis de Solarwinds.

ProxyLogon: 15 000 serveurs Exchange potentiellement vulnérables exposés en France selon l’ANSSI [20][20b]

Des failles critiques Exchange ont été révélées au début du mois de mars 2021, mais le nombre de victimes reste encore inconnu. L’ANSSI a indiqué qu’en France, 15 000 serveurs Exchange sont exposés sur Internet. L’agence rappelle que ce nombre n’indique pas combien de serveurs sont véritablement vulnérables, car les failles ProxyLogon ne concernent pas les clients de la solution cloud via Exchange Online sur Office 365. De plus, le directeur de l’ANSSI a précisé que « peu de victimes avérées » ont été signalées.

Botnet

Une nouvelle variante du botnet Mirai est active depuis le mois de février [21]

Des chercheurs de Palo Alto Networks ont récemment identifié une de ces nouvelles variantes, qui sévit depuis le mois de février dernier. Celle-ci cible des appareils des marques Netgear, D-Link et SonicWall, ainsi que des appareils encore non identifiés. Les variantes de Mirai habituelles contiennent souvent uniquement des codes d’exploitation pour des vulnérabilités publiques. Cette fois-ci néanmoins, des codes d’exploitations incluant deux exécutions de code à distances contre des appareils encore non identifiés ont été embarqués.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-1460
[2] CXA-2021-1457
[3] CXA-2021-1448
[4] CXA-2021-1441
[5] CXA-2021-1438
[6] CXA-2021-1437
[7] CXA-2021-1436
[8] CXA-2021-1418
[9] CXA-2021-1415
[10] CXA-2021-1414
[11] CXA-2021-1413
[12] CXA-2021-1359
[13] CXA-2021-1358
[14] CXA-2021-1374
[15] CXA-2021-1385
[16] CXN-2021-1396
[17] CXN-2021-1372
[18] CXN-2021-1435
[19] CXN-2021-1406
[20] CXN-2021-1416
[21] CXN-2021-1376


Aurélien Denis

Analyste CERT-XMCO