Résumé de la semaine 18 (du 30 avril au 6 mai)

Résumé de la semaine 18 (du 30 avril au 6 mai)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Aruba Networks [1a] [1b], par F5 pour BIG-IP [2], par Mozilla pour Firefox [3], par Fortinet pour FortiClient [4], par Gitlab [5], par Google pour Android [6] et par Extreme Networks [7a] [7b].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, aucun code d’exploitation n’a été publié.

 

Informations

Annonce

GitHub rendra la 2FA obligatoire pour ses utilisateurs d’ici la fin de l’année 2023 [8]

GitHub a annoncé le 04 mai 2022 que tous les utilisateurs actifs de la plateforme (environ 83 millions de développeurs au total) devront activer l’authentification à deux facteurs (2FA) sur leurs comptes d’ici la fin de l’année 2023.

Aujourd’hui, seuls 16,5 % des utilisateurs actifs de GitHub et 6,44 % des utilisateurs de npm utilisent la 2FA.

Ransomware

Un bug dans les ransomwares Conti, REvil et LockBit permet de stopper la phase de chiffrement [9]

Le chercheur hyp3rlinx a identifié une vulnérabilité présente dans de nombreux malwares dont Conti, REvil, Black Basta, LockBit ou encore AvosLocker.

hyp3rlin a découvert que ces malwares étaient vulnérables au DLL hijacking, qui consiste à utiliser un fichier DLL comme leurre. En l’espèce, lorsque le malware lance le chiffrement des données, il va chercher et charger un fichier DLL malveillant. En remplaçant ce fichier DLL par un autre, inoffensif, le chiffrement ne peut pas être effectué. Pour que cette technique réussisse, le fichier DLL leurre doit être placé à un endroit susceptible d’être utilisé par les attaquants pour déployer leur ransomware.

Threat Intelligence

Découverte et analyse du groupe de cyberespionnage UNC3524 [10]

Les équipes de Mandiant ont identifié un nouveau groupe, baptisé UNC3524, qui ciblerait les environnements Microsoft Exchange.

Ce groupe se distingue par l’accent mis sur les transactions et les fusions et acquisitions d’entreprises.
Si ce dernier élément semble indiquer des motivations financières, la capacité à établir une persistance de plusieurs mois sur les SI de ses victimes indiquerait en réalité qu’ UNC3524 mène des opérations d’espionnage.

IoT

Amazon utiliserait les données des enceintes intelligentes Echo à des fins publicitaires [11]

Un rapport publié la semaine dernière affirme qu’Amazon collecterait des données à partir des interactions des utilisateurs avec Alexa via les haut-parleurs intelligents Echo et les partagerait avec au moins 41 partenaires publicitaires.

Ces données seraient ensuite utilisées pour analyser les intérêts des utilisateurs et diffuser des publicités ciblées sur la plateforme (appareils Echo) et hors plateforme (Internet).
Ce type de données serait très demandé, ce qui conduirait à des enchères publicitaires 30 fois plus élevées de la part des annonceurs.

Conflit Ukraine

La Russie redirige le trafic internet des territoires pris à l’Ukraine vers les infrastructures russes [12a] [12b] [12c] [12d]

Selon Netblocks et le service d’État des communications spéciales et de la protection de l’information de l’Ukraine (SSSCIP), la Russie a coupé le réseau internet dans les régions de Kherson et Zaporizhzhia le 30 avril.
La coupure serait due à la destruction d’un backbone de fibre optique et à des coupures d’électricité au niveau des équipements des fournisseurs d’accès dans la région.
Le trafic aurait ensuite été restauré le 1er mai, mais redirigé vers les opérateurs russes en transitant par la Crimée.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-2188
[2] CXA-2022-2165
[3] CXA-2022-2131
[4] CXA-2022-2125
[5] CXA-2022-2109
[6] CXA-2022-2106
[7] CXA-2022-2137
[8] CXN-2022-2176
[9] CXN-2022-2144
[10] CXN-2022-2132
[11] CXN-2022-2112
[12] CXN-2022-2108


Estelle Dupuy

Analyste CERT