Résumé de la semaine 16 (du 17 au 23 avril)

Résumé de la semaine 16 (du 17 au 23 avril)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Oracle dans le cadre du Critical Patch Update [1], par SonicWall pour Email Security [2a][2b][2c][2d], par Google pour Chrome [3], par Mozilla pour Firefox [4][5] et Thunderbird [6] ainsi que pour Drupal [7]. Le CERT-XMCO recommande également d’appliquer au plus vite la solution de contournement de Pulse Secure sur les VPN Pulse Connect Secure en attendant la publication d’un correctif définitif.
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif remédiant à ces 2 vulnérabilités est disponible.

Nagios XI (Nagios Enterprise) [8][9]

Ces codes d’exploitation se présentent sous la forme de modules Metasploit écrits en Ruby. L’exécution de ces codes permet à un attaquant d’obtenir un reverse shell et d’exécuter des commandes arbitraires sur un serveur distant.

Informations

Vulnérabilités

Prise de contrôle du système et contournement de sécurité via une vulnérabilité au sein des VPN Pulse Connect Secure (SA44784) [10a][10b]

Une vulnérabilité critique affectant les VPN Pulse Connect Secure a été découverte. Celle-ci a été publiée en dehors du processus habituel de publication et permet d’exécuter du code arbitraire à distance. Elle a été identifiée par Mandiant au sein d’une récente campagne impliquant les activités du groupe UNC2630 (APT 5).

International

La NSA publie un avis consultatif sur les méthodes des attaquants à l’origine de l’attaque SolarWinds [11a][11b]

La NSA a mis à jour un avis consultatif sur les vulnérabilités exploitées par les groupes à l’origine de l’attaque de SolarWinds. Les codes d’exploitation utilisent 5 CVE qui affectent des technologies de virtualisation, des VPN, et des outils collaboratifs.

Recherche

Des chercheurs publient une analyse de l’infrastructure d’exploitation de CrimsonRAT [12a][12b]

Des chercheurs de la société Team Cymru ont récemment publié un article détaillant leur analyse des activités du groupe Transparent Tribe (APT36). Ce groupe, potentiellement lié aux services de renseignement pakistanais, cible principalement des organisations en Inde ainsi qu’en Afghanistan. L’outil de contrôle à distance CrimsonRAT est utilisé par Transparent Tribe, et l’article donne des détails sur l’infrastructure de commande et de contrôle (C2).

Malware

L’entreprise Codecov victime d’une attaque divulguant les informations de connexion de ses clients [13a][13b][13c]

L’entreprise Codecov a révélé une importante faille de sécurité qui a permis à un attaquant de pénétrer la plateforme et a ajouté un collecteur d’informations d’identification à l’outil Bash Uploader. Cet outil permet aux utilisateurs de télécharger automatiquement les métriques de couverture de code vers les serveurs de CodeCov. Pour récupérer les informations nécessaires à la modification du script Bash Uploader, l’attaquant aurait profité d’une erreur dans le processus de création d’images Docker de Codecov.

Vie privée

Une faille de sécurité dans WhatsApp permettait à un attaquant distant d’exécuter du code arbitraire sur un téléphone [14]

WhatsApp a récemment corrigé 2 failles de sécurité présentes au sein de la version Android de leur application. Leur exploitation permettait à un attaquant d’exécuter du code arbitraire à distance et de récupérer des informations sensibles présentes sur le téléphone de la victime.

Publication

Cybermalveillance.gouv.fr a publié son rapport d’activité 2020 [15a][15b]

Cybermalveillance.gouv.fr a publié son rapport d’activité 2020. Ce dernier contient notamment un ensemble de chiffres clés provenant de la recherche d’assistance dans le domaine de la cybersécurité. L’organisation a également annoncé la création du label ExpertCyber certifiant les professionnels de la sécurité informatique dans les domaines de la maintenance, l’installation et l’assistance.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2021-1918
[2] CXA-2021-1907
[3] CXA-2021-1906
[4] CXA-2021-1857
[5] CXA-2021-1854
[6] CXA-2021-1847
[7] CXA-2021-1937
[8] CXA-2021-1929
[9] CXA-2021-1830
[10] CXA-2021-1858
[11] CXN-2021-1855
[12] CXN-2021-1940
[13] CXN-2021-1866
[14] CXN-2021-1831
[15] CXN-2021-1856


Jules Wermeister