Résumé de la semaine 2 (du 9 au 15 janvier)

Résumé de la semaine 2 (du 9 au 15 janvier)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre du Patch Tuesday [1], par SAP [2], par Jenkins [3] ainsi que par Mozilla pour Thunderbird [4].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Un code d’exploitation a été publié cette semaine. Aucun correctif n’est actuellement disponible.

PrestaShop [5]

Ce code d’exploitation se présente sous la forme d’une charge utile à insérer directement dans l’URL vulnérable. Un attaquant distant peut injecter des clauses SQL en aveugle (Blind SQL injection) afin de provoquer un déni de service et d’accéder à des informations sensibles contenues dans la base de données.

 

Informations

Recherche

Publications d’une analyse technique de Sunspot, le malware utilisé pour compromettre Solarwinds Orion [6a][6b]

Crowdstrike a récemment publié les résultats de ses analyses de Sunspot. Sunspot est le nom donné au malware ayant compromis Orion, la solution de supervision réseau de la société Solarwinds. Pour le moment, Crowdstrike n’attribue les différents éléments malveillants de l’attaque à aucun groupe, et baptise donc ce « nouveau » groupe StellarParticle. Les différents éléments de l’attaque sont nommés comme suit : Sunspot, Sunburst et Teardrop.

Fuite d’informations

Des données des victimes de l’attaque contre SolarWinds seraient mises en vente sur le site SolarLeaks [7a][7b]

En décembre 2020 l’entreprise SolarWinds a subi une attaque, qui aurait affecté 18 000 de leurs clients. Une attaque supposément perpétrée par une organisation d’origine russe. À la suite de ces faits, un site baptisé solarleaks[.]net a été mis en ligne via un registrar souvent utilisé par les groupes russes Fancy Bear et Cozy Bear. Ce dernier prétend vendre des données volées pendant cette attaque.

Des données de connexion de 5 millions de Français mises en vente sur le Dark Web [8]

Damien Bancal, plus connu sous le pseudonyme de Zataz, a découvert que plusieurs bases de données contenant des données de connexion de citoyens français étaient mises en vente sur le Dark Web. Plus de 5 millions de comptes seraient concernés mais la provenance de ces données n’est pas connue pour le moment.

Annonce

La NSA publie une rétrospective de l’année 2020 [9]

La NSA a récemment publié une rétrospective de l’année 2020. Ce document revient sur les actions menées pendant l’année par l’agence américaine, et sur les enjeux actuels. La publication de ce rapport s’inscrit également dans une démarche de construction d’une relation de confiance avec tous les partenaires de l’agence ainsi que du gouvernement américain.

International

DarkMarket l’un des plus gros marchés illégaux du Dark Web mis hors ligne par les autorités allemandes [10]

L’un des marchés les plus prolifiques du Dark Web, vient d’être mis hors ligne (janvier 2021) par des procureurs allemands, grâce à l’arrestation de son supposé gérant : un Australien de 34 ans. Baptisé DarkMarket, ce marché illégal était géré depuis le nord de l’Allemagne. Sur ce marché on pouvait retrouver entre autres: de la drogue, de l’argent contrefait, des données de cartes de crédit et des cartes SIM anonymes.

Ransomware

Les opérateurs de ransomware commencent à cibler les dirigeants des entreprises victimes pour augmenter leur chance d’être payé [11]

En début d’année 2020, les différents groupes d’opérateurs de ransomware commençaient à exfiltrer des données de leurs victimes afin de pouvoir les menacer de les publier en cas de non-paiement de la rançon. Depuis quelques mois, c’est au tour des opérateurs du ransomware Clop d’innover. Leur nouvelle tactique consiste à rechercher spécifiquement les ordinateurs des dirigeants de l’entreprise compromise, afin d’y dérober des informations susceptibles d’être utilisées pour forcer au paiement de la rançon.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-0176
[2] CXA-2021-0172
[3] CXA-2021-0203
[4] CXA-2021-0122
[5] CXA-2021-0107
[6] CXN-2021-0216
[7] CXN-2021-0205
[8] CXN-2021-0178
[9] CXN-2021-0175
[10] CXN-2021-0163
[11] CXN-2021-0105


Jules Wermeister

Analyste CERT-XMCO