Résumé de la semaine 13 (du 27 mars au 2 avril)

Résumé de la semaine 13 (du 27 mars au 2 avril)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Google Chrome [1], Redmine [2], Citrix XenServer (Citrix Hypervisor) [3], Gitlab [4] et Apple pour son système d’exploitation iOS [5a][5b].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Un code d’exploitation a été publié cette semaine. Aucun correctif n’est actuellement disponible.

Manipulation de données et divulgation d’informations via une vulnérabilité au sein de Moodle [6]

Ce code d’exploitation se présente sous la forme d’une requête HTTP. Un attaquant peut envoyer cette requête pour stocker du HTML/JavaScript malveillant sur la page, et ainsi manipuler le navigateur de sa victime.

 

Informations

Attaque

Le dépôt officiel de PHP a été compromis pour ajouter des portes dérobées au code source [7]

Le dimanche 28 mars, deux commits (modification du code source) malveillants ont été envoyés sur le répertoire Git php-src maintenu par l’équipe PHP.

Les informations personnelles de plusieurs millions d’utilisateurs de l’entreprise indienne MobiKwik exposées suite à une fuite de données [8]

La célèbre entreprise de paiement mobile indienne MobiKwik a récemment subi une fuite de données personnelles. Ce lundi 29 mars 2021, 8,2 téraoctets de données appartenant à 3,5 millions d’utilisateurs ont commencé à circuler sur le Darkweb.

Entreprise

Des milliers d’attaques de phishing ciblées visent des laboratoires impliqués dans la lutte contre le Covid-19 [9]

Observées pour la première fois à la fin de l’année 2020, des milliers d’attaques de phishing ciblé continuent de viser les entreprises développant des vaccins et des produits thérapeutiques pour lutter contre l’épidémie de Covid-19.

Les PDG et cadres supérieurs visés par une campagne de phishing sur Microsoft 365 [10]

Une nouvelle campagne de phishing Office 365 a été identifiée par des chercheurs en sécurité. Elle vise exclusivement certains employés, à savoir les cadres supérieurs et quelques autres postes essentiels au sein des entreprises.

Recherche

Google donne plus d’informations sur les actions de la campagne nord-coréenne visant les chercheurs en sécurité [11]

En janvier, plusieurs chercheurs en sécurité avaient été la cible d’une campagne de phishing associée à la Corée du Nord.
Le 17 mars, les mêmes acteurs responsables des précédentes attaques ont monté une fausse entreprise de cybersécurité turque, sous le nom de SecuriElite.

2 nouvelles vulnérabilités permettant de contourner les correctifs de sécurité pour Spectre ont été découvertes et corrigées [12]

En janvier 2018, Google a publié 2 vulnérabilités nommées Spectre, affectant la plupart des microprocesseurs modernes. Leurs exploitations permettaient à un attaquant de voler des informations sensibles disponibles dans la mémoire vive des machines affectées.

Malware

30 images Docker malveillantes téléchargées 20 millions de fois ont été utilisées pour du cryptojacking [13]

Aviv Sasson, chercheur chez Palo Alto Network a découvert 30 images Docker malveillantes disponibles sur la plateforme Docker Hub et téléchargées 20 millions de fois.
Du fait de leur simplicité, les conteneurs sont un moyen privilégié pour effectuer du cryptojacking. Cela consiste à utiliser l’ordinateur de quelqu’un d’autre pour lui faire miner de la cryptomonnaie sans son consentement afin d’en récolter les bénéfices.

Un nouveau malware sur Android se fait passer pour une mise à jour système [14]

Des chercheurs de l’équipe zLabs de la société Zimperium ont récemment découvert un nouveau malware Android déguisé en mise à jour de sécurité. Distribuée sur un marché applicatif non officiel, cette application serait utilisée dans le cadre d’une campagne d’attaque avancée utilisant des spywares ou logiciels espions.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-1532
[2] CXA-2021-1505
[3] CXA-2021-1550
[4] CXA-2021-1551
[5] CXA-2021-1500
[6] CXA-2021-1489
[7] CXN-2021-1513
[8] CXN-2021-1554
[9] CXN-2021-1548
[10] CXN-2021-1519
[11] CXN-2021-1552
[12] CXN-2021-1536
[13] CXN-2021-1534
[14] CXN-2021-1520


Aurélien Denis

Analyste CERT-XMCO