Résumé de la semaine 17 (du 23 au 29 avril)

Résumé de la semaine 17 (du 23 au 29 avril)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par WSO2 pour API Manager [1], par Google pour son navigateur Chrome [2], par QNAP pour ses NAS [3] ainsi que par Trend Micro pour Apex Central [4].

 

Codes d’exploitation

Cette semaine, 2 bulletins portant sur des codes d’exploitation ont été publiés par le CERT-XMCO.

Prise de contrôle du système via une vulnérabilité au sein de WSO2 API Manager [5]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce code, un attaquant est en mesure de déposer un webshell sur un serveur vulnérable ciblé. Un correctif est disponible.

Divulgation d’informations via une vulnérabilité au sein de ManageEngine ADSelfService Plus [6]

Ce code d’exploitation se présente sous la forme d’un script écrit en Python. En exécutant ce script avec une liste d’utilisateurs à tester, un attaquant est en mesure d’identifier des noms d’utilisateurs valides sur le serveur ciblé. Aucun correctif n’est disponible.

 

Informations

Conflit Ukraine

Microsoft publie un rapport sur les cyberattaques menées par la Russie contre l’Ukraine depuis le début du conflit [7a] [7b]

Les cyberattaques décrites ont eu lieu avant l’invasion russe, le 24 février 2022, et se sont intensifiées depuis. Microsoft en a identifié au moins 237 conduites par 7 menaces persistantes avancées (APT).

Threat intelligence

Découverte et analyse du nouveau groupe de ransomware Black Basta [8]

Un nouveau groupe de ransomware connu sous le nom de Black Basta s’est fait connaitre en avril 2022 après avoir attaqué au moins 12 entreprises du monde entier. Le groupe utilise un modèle de double extorsion redoutable qui laisse penser qu’il s’agirait d’une nouvelle branche de Conti.

Vulnérabilités

Découverte par Microsoft d’une nouvelle chaîne de vulnérabilités impactant les systèmes Linux (Nimbuspwn) [9a] [9b]

Plusieurs vulnérabilités découvertes par Microsoft permettent à un attaquant local d’obtenir les privilèges administrateur sur différents systèmes Linux. Selon les chercheurs, cette chaîne de vulnérabilités permet de déployer toute sorte de malwares.

Fuite d’informations

Une fuite de conversations internes du groupe Lapsus$ précise son mode opératoire [10]

Les équipes de KrebsOnSecurity ont eu accès à des copies de discussions privées entre les 7 principaux membres du groupe Lapsus$ sur Telegram. On y apprend notamment comment le groupe s’y prend pour compromettre ses victimes et ce qu’il cherche à leur extorquer.

Attaque

Le groupement hospitalier Cœur Grand Est a dû couper toute connexion internet à la suite d’une cyberattaque [11a] [11b]

Le GHT Cœur Grand Est a subi une cyberattaque entraînant la fuite d’au moins 28,7 GB de données confidentielles appartenant à l’administration de l’hôpital et aux patients. Afin de limiter toute escalade, le groupe a décidé de couper toute connexion internet au sein de son SI.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-1976
[2] CXA-2022-2021
[3] CXA-2022-1990
[4] CXA-2022-2028
[5] CXA-2022-1981
[6] CXA-2022-1991
[7] CXN-2022-2041
[8] CXN-2022-2039
[9] CXN-2022-2022
[10] CXN-2022-1985
[11] CXN-2022-2006


Mathieu Claverie