Résumé de la semaine 20 (du 14 au 20 mai)

Résumé de la semaine 20 (du 14 au 20 mai)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Apple pour macOS [1][2][3], iOS et iPadOS [4], pour Jenkins [5], par Apache pour Tomcat [6], par SonicWall pour ses produits SMA 1000 [7], par Microsoft pour Edge [8], pour Moodle [9a][9b][9c][9d][9e] et pour le Framework Spring [10].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 2 codes d’exploitation ont été publiés. Des correctifs sont disponibles.

Prise de contrôle du système via une vulnérabilité au sein d’Apple Safari [11a] [11b]

Ce code d’exploitation se présente sous la forme d’une page HTML. En incitant sa victime à visiter cette page, un attaquant va réutiliser une zone mémoire après sa libération (use after free) et exécuter du code arbitraire sur le système.

Élévation de privilèges via une vulnérabilité au sein d’ADSelfService Plus [12a] [12b]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. Après avoir mis en place un serveur SMB permettant de capturer des hashs NTLMv2 et un serveur de relais permettant de transmettre ces hashs vers d’autres services, un attaquant peut exécuter ce programme afin d’émettre une requête spécifiquement conçue permettant de récupérer le hash NTLMv2 du compte exécutant ADSelfService puis de le relayer vers d’autres services.

Informations

Ransomware

Nouvelle campagne du ransomware Deadbolt contre les NAS de l’éditeur QNAP [13]

QNAP Systems a détecté une nouvelle campagne d’attaque menée par le groupe de ransomware Deadbolt. Selon les équipes de QNAP Product Security Incident Response Team (QNAP PSIRT), l’attaque cible les périphériques NAS utilisant QTS 4.3.6 et QTS 4.4.1.

Threat Intelligence

L’APT Bitter cible le Bangladesh [14]

Bitter cible actuellement une unité d’élite de la police du Bangladesh via une campagne de phishing ciblé depuis août 2021. Le mail servant d’appât prétend contenir des informations relatives au fonctionnement du service. Le document en pièce jointe est un maldoc (Excel ou RTF) exploitant des vulnérabilités connues de Microsoft Office (CVE-2017-11882, CVE-2018-0798 et CVE-2018-0802) qui télécharge et exécute un cheval de Troie.

Fuite d’informations

Le ransomware Conti à l’origine d’une fuite de données des employés du géant américain Parker-Hannifin [15a] [15b]

Le conglomérat industriel américain Parker-Hannifin, spécialisé dans les technologies de contrôle du mouvement, a annoncé avoir subi une importante fuite de données concernant ses employés le 13 mai. L’annonce fait suite à la publication de 419 Go de données appartenant à l’entreprise sur le site .ONION du groupe de ransomware Conti en avril 2022.

Attaque

Des milliers de sites WordPress compromis par une campagne d’attaque massive [16]

Des milliers de sites WordPress sont la cible de cyberattaques massives. Les attaquants injectent du JavaScript malveillant qui redirige les visiteurs vers des sites de phishing. Dans certains cas, les victimes sont redirigées vers une page contenant un faux CAPTCHA. En cliquant dessus, ils commencent à recevoir des publicités indésirables, même si le site n’est pas ouvert.

Malware

La nouvelle porte dérobée BPFdoor ciblerait les systèmes Linux et Solaris [17a] [17b]

Une porte dérobée (backdoor) baptisée BPFdoor et ciblant les systèmes Linux et Solaris aurait été identifiée, 5 ans après sa création. Le malware permettrait à un attaquant de déposer un reverse shell sur la machine compromise.

Conflit Ukraine

Une campagne d’attaque ciblerait les internautes allemands cherchant à s’informer sur le conflit en Ukraine [18]

Les chercheurs de Malwarebytes ont identifié une campagne d’attaque ayant ciblé des internautes allemands à la recherche d’informations sur la guerre en Ukraine. L’attaque consisterait à déployer le Remote Access Trojan (RAT) sur les machines compromises.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-2471
[2] CXA-2022-2449
[3] CXA-2022-2448
[4] CXA-2022-2446
[5] CXA-2022-2474
[6] CXA-2022-2451
[7] CXA-2022-2420
[8] CXA-2022-2413
[9] CXA-2022-2505
[10] CXA-2022-2437
[11] CXA-2022-2509
[12] CXA-2022-2417
[13] CXN-2022-2503
[14] CXN-2022-2508
[15] CXN-2022-2475
[16] CXN-2022-2429
[17] CXN-2022-2425
[18] CXN-2022-2507


Jules Wermeister

Analyste CERT-XMCO