Résumé de la semaine 13 (du 26 mars au 1er avril)

Résumé de la semaine 13 (du 26 mars au 1er avril)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Joomla! [1a] [1b] [1c] [1d] [1e] [1f] [1g] [1h] [1i], par Google pour son navigateur Chrome [2a][2b], par Microsoft pour Edge [3], par Sophos [4], par VMware pour vCenter [5] et pour le Framework Spring [6a] [6b].

Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour le code d’exploitation affectant le framework Spring.

Prise de contrôle du système via une vulnérabilité au sein du framework Spring [7a] [7b]

Ce code d’exploitation se présente sous la forme d’une requête HTTP spécifiquement conçue permettant à un attaquant d’exécuter du code arbitraire.

Élévation de privilèges via une vulnérabilité au sein du noyau Linux [8]

Ce code d’exploitation se présente sous la forme d’un programme écrit en C. En exécutant ce programme, un attaquant est alors en mesure d’exécuter des lignes de commandes en tant qu’utilisateur root.

Informations

Vulnérabilité

Prise de contrôle du système via une vulnérabilité au sein de Spring Cloud Function [9]

La faille de sécurité référencée CVE-2022-22963 provenait d’une erreur au sein du traitement des entêtes des requêtes envoyées vers le chemin functionRouter . Le contenu de l’entête `spring.cloud.function.routing-expression était évalué en tant que SPeL` (Spring Expression Language). Son exploitation permettait à un attaquant d’exécuter des commandes arbitraires.

Publication d’un correctif pour une vulnérabilité critique affectant les pare-feu et VPN ZyXEL [10]

La vulnérabilité, référencée CVE-2022-0342, permettait à un attaquant distant et non authentifié de contourner le mécanisme d’authentification et d’obtenir un accès avec les privilèges administrateurs sur les appareils visés.
Le National Institute of Standards and Technology (NIST) n’a pas encore fourni de score CVSS, mais l’évaluation de Zyxel lui donne un score de 9,8.

Threat Intelligence

2 acteurs malveillants liés à l’État nord-coréen exploiteraient activement une vulnérabilité dans Google Chrome [11]

Le 24 mars 2022, les équipes Threat Analysis Group (TAG) de Google ont publié une analyse sur deux groupes d’attaquants distincts soutenus par le gouvernement nord-coréen et exploitant la vulnérabilité référencée CVE-2022-0609. Ces derniers visent principalement des entreprises américaines.

Ransomware

La Banque Centrale de Tunisie victime du groupe de ransomware Conti [12a][12b]

Le 29 mars 2022, le groupe de ransomware Conti a commencé à publier des données volées à la Banque Centrale de Tunisie (BCT). Celui-ci aurait à sa disposition environ 3,5 Go de données volées et n’aurait pour le moment publié que 10% du total. Parmi ces données, on retrouve la liste de machines et d’identifiants.

Conflit Ukraine

Des sites WordPress forcent les navigateurs à lancer des attaques par déni de service contre des cibles ukrainiennes [13]

Des hackers compromettent des sites WordPress à l’aide d’un script forçant le navigateur d’une victime à réaliser une requête HTTP GET sur une liste prédéfinie d’adresses IP pro-ukrainiennes. Celui-ci exécute une requête pour chacun des sites répertoriés, avec un maximum de 1000 connexions simultanées. Chaque requête utilise une chaîne de caractères aléatoire pour contourner les mécanismes de défense anti-DDoS.

Fuite d’informations

Le malware infostealer Mars gagne en popularité suite à l’arrêt des activités de Raccoon Stealer [14a] [14b]

La popularité d’une nouvelle variante de malware de type infostealer, appelée Mars Stealer, connaitrait une forte croissance probablement due à l’arrêt des activités de Raccoon Stealer . De premières campagnes d’attaque reposant sur Mars Stealer ont pu être observées par des chercheurs en sécurité. Notamment, une campagne de publicité Google Ads plaçant les sites OpenOffice clonés en tête des résultats de recherche des utilisateurs de Google au Canada.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-1502
[2a] CXA-2022-1481
[2b] CXA-2022-1451
[3] CXA-2022-1441
[4] CXA-2022-1440
[5] CXA-2022-1485
[6] CXA-2022-1508
[7] CXA-2022-1501
[8] CXA-2022-1482
[9] CXN-2022-1505
[10] CXN-2022-1516
[11] CXN-2022-1450
[12] CXN-2022-1489
[13] CXN-2022-1455
[14] CXN-2022-1484


Estelle Dupuy

Analyste CERT