Résumé de la semaine 17 (du 24 au 30 avril)

Résumé de la semaine 17 (du 24 au 30 avril)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Apple pour iOS [1] et pour macOS [2a] [2b] [2c], par Google pour Google Chrome [3] et par Fortinet pour FortiWAN [4].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 4 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.

Contournement de sécurité via une vulnérabilité au sein d’Apache Solr [5]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme, un attaquant est alors en mesure de réaliser une attaque de type SSRF (Server-Side Request Forgery) et ainsi, envoyer des requêtes spécifiquement conçues depuis le serveur vulnérable.

Prise de contrôle du système et divulgation d’informations via une vulnérabilité au sein de Google Chrome (Chromium) [6a][6b]

Ce code d’exploitation se présente sous la forme d’un script JavaScript. En incitant sa victime à visiter un site Web spécialement conçu, un attaquant était en mesure de lire et d’écrire des données en dehors de la zone mémoire allouée permettant ainsi d’accéder à des données ou d’exécuter des commandes arbitraires.

Prise de contrôle du système via une vulnérabilité au sein de Cacti [7]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En ouvrant un port sur sa machine et en le plaçant en écoute, puis en exécutant le code d’exploitation (en spécifiant en arguments l’adresse IP et le port du système vulnérable, sa propre adresse IP avec le port en écoute ainsi que les identifiants de connexion à l’application), un attaquant est alors en mesure d’accéder à un terminal de commande distant (reverse shell).

Prise de contrôle du système via une vulnérabilité au sein de Micro Focus Operations Bridge Manager [8]

Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. En exécutant ce programme contre une instance Linux vulnérable d’Operations Bridge Manager, un attaquant peut obtenir une connexion SSH pour l’utilisateur shrboadmin.

Informations

Malware

Le gestionnaire de mot de passe Passwordstate compromis et utilisé afin de déployer un malware [9a][9b][9c][9d]

Un acteur dont l’identité reste encore inconnue a compromis le mécanisme de mise à jour du gestionnaire de mot de passe PasswordState pendant une durée estimée de 28 heures, du 20 au 22 avril.
Click Studios, la société développant le produit PasswordState, a averti ses 29 000 clients le 23 avril.

Vulnérabilité

Une vulnérabilité dans le mécanisme de sécurité de macOS permettait d’exécuter du code malveillant sans déclencher d’alerte [10a][10b]

Le chercheur Patrick Wardle a récemment écrit un billet de blog détaillant une vulnérabilité permettant de contourner les mécanismes de sécurité de macOS. Le bug, initialement découvert par le chercheur Cedric Owens, est situé dans le mécanisme de sécurité GateKeeper.

Botnet

Un module supprime définitivement le malware Emotet de toutes les machines compromises [11]

Trois mois après le démantèlement du botnet Emotet par Europol et Eurojust, un module permettant la désinstallation du malware éponyme a été publié et exécuté sur toutes les machines du botnet.
Ce module, développé par la police fédérale allemande en association avec le FBI, finalise le démantèlement du botnet en retirant toutes les machines infectées par le malware du botnet. Ainsi, ces dernières ne pourront plus être accédées à distance depuis les serveurs de commandes et de contrôle (C&C) d’Emotet.

Un botnet nommé Prometei utilise les vulnérabilités ProxyLogon de Microsoft Exchange pour se répandre [12a][12b][12c]

Un botnet nommé Prometei utilise les vulnérabilités dites « ProxyLogon » de Microsoft Exchange pour se répandre. Ce dernier installe notamment un mineur de cryptomonnaie Monero chez sa cible. Le réseau d’ordinateurs zombies s’inspire des techniques APT.

Guide

L’ANSSI publie une mise en garde sur l’utilisation du modèle Zero Trust [13a][13b]

L’ANSSI a publié un avis sur l’utilisation du modèle Zero Trust. Ce modèle consiste à protéger un système « en profondeur », c’est-à-dire que ses mesures de sécurité se concentrent davantage sur le fait d’empêcher un attaquant déjà introduit dans le périmètre de pouvoir pivoter et d’accéder immédiatement à des données ou des fonctionnalités sensibles.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-2014
[2] CXA-2021-2015
[3] CXA-2021-1993
[4] CXA-2021-2009
[5] CXA-2021-1992
[6] CXA-2021-1972
[7] CXA-2021-2066
[8] CXA-2021-2073
[9] CXN-2021-1995
[10] CXN-2021-2016
[11] CXN-2021-2006
[12] CXN-2021-2019
[13] CXN-2021-1975


Théophile Demaegdt