Résumé de la semaine 2 (du 8 au 14 janvier)

Résumé de la semaine 2 (du 8 au 14 janvier)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre du Patch Tuesday [1] ainsi que les correctifs publiés pour SAP [2a][2b], pour les NAS QNAP [3], pour Firefox ESR [4], Thunderbird [5] et Firefox [6], pour FlyWayDB [7], pour Adobe Acrobat [8], pour Synology [9], pour Jenkins [10] ainsi que pour iOS [11].

Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

3 codes d’exploitation ont été publiés cette semaine. Des correctifs sont disponibles pour chacune des vulnérabilités.

Prise de contrôle du système via une vulnérabilité au sein des appareils SonicWall SMA-100 [12]

Ce code d’exploitation se présente sous la forme d’un module écrit en Ruby pour le framework offensif Metasploit. Le programme s’authentifie sur l’interface web et injecte une commande dans le paramètre CERT lors de la suppression d’un certificat afin d’exécuter des commandes arbitraires.

Divulgation d’informations via une vulnérabilité au sein de WordPress [13a][13b]

Ce code d’exploitation se présente sous la forme d’une requête HTTP. En envoyant cette requête à une application vulnérable, un attaquant est alors en mesure d’extraire les identifiants stockés dans la base de données.

Contournement de sécurité via 3 vulnérabilités au sein d’Antivirus Microsoft Defender [14a][14b]

Ce code d’exploitation se présente sous la forme de commandes Windows et d’un programme écrit en Jscript. En exécutant ce code, l’attaquant peut alors exécuter du code arbitraire sur le système.

Informations

Attaque

Le groupe chinois DEV-0401 exploite la faille Log4shell sur les systèmes VMware Horizon [15a][15b]

Le 10 janvier, Microsoft a publié un communiqué pour avertir les entreprises d’une campagne en cours du groupe chinois DEV-0401 exploitant la faille Log4shell (CVE-2021-44228) sur les systèmes VMware Horizon afin de déployer le ransomware Night Sky.

Une contrefaçon de l’application dnSpy ciblerait les chercheurs en sécurité et les développeurs [16a][16b][16c][16d]

Le 8 janvier, les chercheurs de 0day enthusiast et MalwareHunterTeam ont identifié une campagne d’attaque usurpant l’application dnSpy. Cette application est un débogueur et un éditeur d’assemblage .NET en open source très connu et particulièrement utilisé par les chercheurs en sécurité ainsi que les développeurs lors de l’analyse de logiciels malveillants.

Vulnérabilité

Des millions de routeurs impactés par une vulnérabilité permettant à un attaquant distant d’exécuter du code arbitraire [17a][17b]

L’équipe de recherche SentinelOne a découvert lors d’une compétition d’ethical hacking une vulnérabilité impactant plusieurs millions de routeurs. Permettant à un attaquant distant d’exécuter du code arbitraire, cette faille réside dans le composant NetUSB. Parmi les marques de routeurs affectées, on retrouve notamment Netgear, TP-Link, D-Link ou encore Western Digital.

Entreprise

Le développeur des librairies NPM colors et faker a volontairement saboté son code source pour dénoncer le comportement de certaines entreprises les utilisant [18a][18b][18c][18d][18e][18f]

Le 8 janvier, un dysfonctionnement global des bibliothèques NPM nommées colors et faker a été observé. Après analyse, il s’avère que le code source des bibliothèques a été modifié par son auteur afin de créer une boucle infinie et de retourner des mots-clés « liberté » ainsi que des caractères aléatoires.

Annonce

La CISA a publié une liste de 15 vulnérabilités que les administrations fédérales vont devoir rapidement corriger [19a][19b][19c][19d]

Le 10 janvier, la Cybersecurity and Infrastructure Security Agency (CISA) a ajouté 15 vulnérabilités à son catalogue des vulnérabilités connues et exploitées. Parmi celles-ci, trois vulnérabilités doivent être corrigées par les administrations fédérales concernées avant le 24 janvier.

Ransomware

Une nouvelle clinique française victime d’une attaque par ransomware [20]

Le Pôle Santé Léonard de Vinci à Chambray-lès-Tours est victime d’une attaque par ransomware depuis le vendredi 7 janvier 2022.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2022-0124
[2] CXA-2022-0154
[3] CXA-2022-0177
[4] CXA-2022-0155
[5] CXA-2022-0153
[6] CXA-2022-0150
[7] CXA-2022-0144
[8] CXA-2022-0142
[9] CXA-2022-0201
[10] CXA-2022-0224
[11] CXA-2022-0185
[12] CXA-2022-0196
[13] CXA-2022-0209
[14] CXA-2022-0218
[15] CXN-2022-0157
[16] CXN-2022-0079
[17] CXN-2022-0151
[18] CXN-2022-0108
[19] CXN-2022-0188
[20] CXN-2022-0149


Théophile

Analyste CERT-XMCO