Résumé de la semaine 19 (du 7 au 13 mai)

Résumé de la semaine 19 (du 7 au 13 mai)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Windows [1], Google Chrome [2], Synology [3], QNAP NAS [4] et ZyXEL [5].

Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

2 codes d’exploitation ont été publiés cette semaine. Les correctifs sont disponibles.

Prise de contrôle du système via une vulnérabilité au sein de BIG-IP (K23605346) [6a] [6b] [6c] [6d]

Ce code d’exploitation se présente sous la forme d’une série de commandes Shell. Un attaquant non authentifié peut exécuter des commandes arbitraires à distance sur un système vulnérable.

Prise de contrôle du système via une vulnérabilité au sein de pare-feux ZyXEL [7]

Ce code d’exploitation se présente sous la forme d’un module en Ruby pour le framework offensif Metasploit. En exécutant ce programme et en visant un appareil vulnérable, un attaquant distant et non authentifié sera en mesure d’exécuter des commandes arbitraires sur l’appareil.
 

Informations

Vulnérabilité

Des attaquants tentent d’exploiter la vulnérabilité CVE-2022-1388 impactant F5 BIG-IP [8a] [8b]

Des chercheurs ont publié plusieurs codes d’exploitation pour la vulnérabilité CVE-2022-1388 et ont signalé des cas d’attaques. Cette vulnérabilité sur les produits F5 permet de réaliser de l’exécution de code à distance. Celle-ci peut être exploitée par un utilisateur non authentifié sur des équipements BIG-IP vulnérables.

Une vulnérabilité critique affectant le gestionnaire de paquets RubyGems aurait été identifiée [9a] [9b]

Les auteurs du gestionnaire de paquets RubyGems ont publié un correctif concernant la vulnérabilité critique référencée CVE-2022-29176. Cette faille permettrait à un attaquant de « dépublier » des fichiers du dépôt et de les remplacer par ses fichiers, contenant du code malveillant, avec le même nom et la même version.

Conflit Ukraine

L’Union européenne attribue la cyberattaque qu’a subie KA-SAT à la Russie [10]

Le conseil de l’Union européenne a officiellement attribué la cyberattaque contre l’opérateur Viasat à la Russie dans un communiqué de presse. Ce communiqué revient sur la chronologie de l’attaque, qui a eu lieu « une heure avant l’invasion injustifiée de l’Ukraine par la Russie le 24 février 2022 ».

Annonce

Apple, Google et Microsoft décident la généralisation de la norme FIDO sur leurs plateformes [11]

Le 5 mai 2022, Apple, Google et Microsoft se sont engagés à généraliser la prise en charge de la norme FIDO (Fast IDentity Online) sur leurs services au cours de l’année 2023.
Cette décision concernera leurs systèmes d’exploitation, applications et navigateurs respectifs.

Attaque

Heroku a réinitialisé les mots de passe de ses utilisateurs suite à la détection d’une cyberattaque [12a] [12b]

Heroku a réinitialisé les mots de passe d’une partie de ses utilisateurs suite à la détection d’une cyberattaque.
Selon un communiqué d’Heroku, entre le 7 et le 12 avril 2022, un attaquant est parvenu à accéder à une base de données interne via un jeton d’accès à une machine Heroku compromis.

Vie privée

La CNIL publie un rapport d’activité au sujet de l’année 2021 [13]

La CNIL (l’organisme public français responsable des missions liées à la gestion des données personnelles) a publié un rapport présentant ses activités sur l’année 2021. Ce dernier contient un ensemble de chiffres clés au sujet de ses différentes missions, dont voici une liste non exhaustive.

Ransomware

Le directeur de la NSA a déclaré observer une baisse de la fréquence des attaques par ransomware depuis deux mois [14]

Rob Joyce, directeur de l’agence de renseignement américaine NSA, est intervenu lors d’un évènement dédié à la cybersécurité organisé par le National Cyber Security Centre (NCSC) au Royaume-Uni.
Il a déclaré observer une baisse de la fréquence des attaques par ransomware depuis les deux derniers mois.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-2340
[2] CXA-2022-2319
[3] CXA-2022-2300
[4] CXA-2022-2259
[5] CXA-2022-2401
[6] CXA-2022-2282
[7] CXA-2022-2402
[8] CXN-2022-2264
[9] CXN-2022-2336
[10] CXN-2022-2338
[11] CXN-2022-2281
[12] CXN-2022-2325
[13] CXN-2022-2369
[14] CXN-2022-2359


Théophile

Analyste CERT-XMCO