Résumé de la semaine 20 (du 15 au 21 mai)

Résumé de la semaine 20 (du 15 au 21 mai)

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Kubernetes [1], par Centreon [2], par LibreOffice [3], par Atlassian pour Confluence Server [4] et par Pulse Secure pour son VPN Pulse Connect Secure [5].

Ces correctifs adressent des dommages allant de la divulgation d’informations à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 3 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.

Élévation de privilèges et divulgation d’informations via une vulnérabilité au sein des produits Dell [6]

Ce code d’exploitation se présente sous la forme d’un programme écrit en langage C. En incitant sa victime à ouvrir ce programme, un attaquant est alors en mesure d’obtenir les droits d’administration du système et de déclencher un arrêt intempestif de ce dernier.

Déni de service via une vulnérabilité au sein de Windows 10 et Windows Server (20H2 et 2004) [7]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En envoyant une requête HTTP spécifiquement conçue, le script exploite la vulnérabilité de la fonction http!UlpParseContentCoding causant un déni de service.

Prise de contrôle du système via une vulnérabilité au sein d’Exim [8a] [8b] [8c]

Ce code d’exploitation se présente sous la forme d’un client TLS écrit en C. Ce programme permet d’obtenir un reverse shell sur la machine distante spécifiée en paramètre.

Informations

Ransomware

Le groupe derrière le ransomware DarkSide a perdu l’accès à ses serveurs publics [9a] [9b]

Le groupe derrière le ransomware DarkSide a perdu l’accès a ses serveurs et à ses cryptomonnaies suite à des pressions gouvernementales selon un communiqué du groupe. Cela fait suite à l’affaire Colonial Pipeline. Suite à cet évènement, le groupe à l’origine du ransomware REvil a également commencé à imposer des restrictions sur les organisations pouvant être ciblées : les entreprises travaillant dans des domaines sociaux (santé, éducation…) ainsi que les entreprises gouvernementales.

Les services de santé irlandais attaqués par un ransomware [10]

Le HSE (Health Service Executive), le système de santé irlandais, a mis hors ligne tous ses systèmes informatiques suite à une attaque par un ransomware.
Le programme de vaccination n’est pas impacté, de même que le service ambulancier.

Le FBI et l’ACSC publient des avertissements à propos d’une campagne d’attaques utilisant le ransomware Avaddon [11a] [11b]

Le FBI (Federal Bureau of Investigation) et l’ACSC (Australian Cyber Security Centre) ont récemment émis des avertissements à propos d’une campagne d’attaques utilisant le ransomware Avaddon. Cette campagne est menée par des acteurs non identifiés et des victimes ont été observées au sein de divers secteurs dans de nombreux pays, dont la France.

RGPD

L’application WhatsApp a été interdite de récupérer les données personnelles des utilisateurs en Allemagne [12]

Le Commissaire à la protection des données et à la liberté d’information de Hambourg (HmbBfDI) a récemment fait une annonce concernant des restrictions supplémentaires appliquées à Facebook et son application WhatsApp.
En réponse à ces mesures, Facebook a annoncé faire appel contre ces mesures, en précisant que les autorités européennes auraient mal compris les nouvelles conditions d’utilisation de l’application.

Phishing

Découverte de fausses applications mobiles de trading et de cryptomonnaie [13a] [13b]

Un réseau criminel dérobe papiers d’identité, argent et cryptomonnaies à l’aide de fausses applications bancaires et plateformes de trading. Elles prennent l’apparence des applications officielles de centaines d’entreprises asiatiques et s’installent à travers des plateformes alternatives aux stores iOS et Android. Sur Android, les attaquants incitent leurs victimes à télécharger des applications web qui imitent des applications natives grâce au projet open source StringFrog.

Malware

Kaspersky publie une analyse du malware Bizarro [14]

Les chercheurs de Kaspersky ont publié un rapport sur le trojan bancaire Bizarro. Dans ce rapport, ils font état de l’internationalisation du malware, qui était originellement présent uniquement au Brésil, et dont les activités ont maintenant été détectées en Europe (Espagne, Portugal, France et Italie). Il est a noté que le malware utilise l’agent utilisateur Mozilla/4.0 (compatible;MSIE 6.0; Windows NT 5.0) lors de ses communications avec les serveurs de commandes (C2) et qu’un espace manque entre compatible et MSIE. Cette typographie n’a pas été fixée dans les dernières versions du malware et permet de faciliter sa détection via des sondes réseau (NIDS).

Le groupe FIN7 est de retour avec un nouveau malware baptisé Lizar [15]

L’équipe de chercheurs de BI ZONE a publié un article à propos d’une nouvelle souche baptisée Lizar liée au groupe d’attaquants FIN7. Celle-ci était proposée à la base comme un outil Windows utilisé pour mener des prestations d’audit de cybersécurité (comme l’outil Cobalt Strike). L’analyse de ce malware montre un véritable travail d’ingénierie par les développeurs afin d’offrir un set d’outils fiable et complet pour leurs opérations.

Publication sur le malware FluBot [16]

Le groupe de chercheurs en sécurité ESET a publié le 17 mai 2020 une notice d’information sur le malware FluBot. Celui-ci arrivé récemment sur le secteur européen cible activement les smartphones sous Android. Le groupe d’attaquant utilise actuellement l’ensemble des smartphones infectés afin notamment de faire des campagnes de spam par SMS.

Fuite d’information

Fuite de code source de la société Rapid7 suite à l’incident Codecov [17a] [17b] [17c]

La société Rapid7 a révélé jeudi avoir eu une fuite de code source et d’identifiants internes. Aucun autre environnement de production n’a été accédé durant cette attaque, et les clients potentiellement affectés ont été contactés pour s’assurer que des précautions soient prises pour réduire les risques.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-2421
[2] CXA-2021-2385
[3] CXA-2021-2423
[4] CXA-2021-2372
[5] CXA-2021-2366
[6] CXA-2021-2374
[7] CXA-2021-2411
[8] CXA-2021-2419
[9] CXN-2021-2378
[10] CXN-2021-2396
[11] CXN-2021-2407
[12] CXN-2021-2380
[13] CXN-2021-2400
[14] CXN-2021-2401
[15] CXN-2021-2403
[16] CXN-2021-2426
[17] CXN-2021-2409


Marc Lambertz