Résumé de la semaine 23 (du 4 au 10 juin)

Résumé de la semaine 23 (du 4 au 10 juin)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Atlassian pour Confluence [1a] [1b], par Couchbase [2], par Fortinet pour FortiAnalyzer [3], par Google pour Android [4], et par Apache pour HTTPd Server [5].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 3 codes d’exploitation ont été publiés. Un correctif est disponible pour 2 d’entre eux.

Prise de contrôle du système via une vulnérabilité au sein de Confluence Server et Confluence Data Center (CONFSERVER-79016) [6a] [6b] [6c]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En ciblant un serveur vulnérable, un attaquant est en mesure d’exécuter des commandes arbitraires. Un correctif est disponible.

Prise de contrôle du système via une vulnérabilité au sein de produits Microsoft [7]

Ce code d’exploitation se présente sous la forme d’un module en Ruby pour le framework Metasploit. En exécutant ce programme, un attaquant peut générer un document Microsoft Word spécifiquement conçu qui, lorsqu’il sera ouvert, chargera automatiquement un document HTML exploitant le schéma ms-msdt afin d’exécuter des commandes arbitraires sur le système.

Élévation de privilèges via une vulnérabilité au sein du noyau Linux [8a] [8b]

Ce code d’exploitation se présente sous la forme d’un programme écrit en langage C. En exécutant ce programme sur un système compromis, un attaquant est alors en mesure d’élever ses privilèges. Un correctif est disponible.

Informations

Threat Intelligence

Découverte de la version Linux de Black Basta qui cible les serveurs VMware ESXi [9]

Les chercheurs de l’entreprise Uptycs ont observé le ransomware Black Basta en train de chiffrer des machines virtuelles VMware ESXi fonctionnant sur des serveurs Linux d’entreprises. Plus précisément, Black Basta va rechercher la présence de machines virtuelles dans le répertoire /vmfs/volume du serveur VMware ESXi, puis les chiffrer.

AlphaBay s’impose à nouveau sur le Dark Web [10a] [10b]

Depuis plusieurs années, les forces de l’ordre jouent au chat et à la souris avec les marketplaces du dark Web. Lorsque l’une est fermée, une autre émerge. Mais le cas d’AlphaBay est singulier. Cette marketplace spécialisée dans la vente de stupéfiants et d’autres produits illégaux a été fermée dans le cadre de l’opération Bayonet. Mais en août dernier, après 5 ans de silence, le numéro de 2 d’AlphaBay, DeSnake, refait surface et annonce le retour de la plateforme.

Botnet

Le botnet Emotet serait en forte croissance, avec de nouvelles fonctionnalités [11a] [11b] [11c]

L’entreprise de sécurité Proofpoint aurait identifié une nouvelle fonctionnalité du botnet Emotet permettant d’exfiltrer les informations bancaires contenues sur le navigateur Chrome d’une machine compromise. Cette nouvelle s’inscrit dans un contexte de retour en force d’Emotet malgré son démantèlement par les forces de l’ordre en janvier 2021. Le botnet a commencé à refaire surface 10 mois après l’opération. Entre janvier et mai 2022, les emails liés au botnet ont crû de plus de 11 000% par rapport à la période de septembre – décembre 2021.

Malware

HP publie l’analyse technique du malware SVCReady [12]

Les chercheurs de HP ont publié une analyse technique d’un nouveau malware nommé SVCReady. Il a été observé pour la première fois le 22 avril 2022. Les chercheurs ont détecté des similitudes entre cette campagne et de précédentes campagnes attribuées au mode opératoire TA551. De plus, les chercheurs indiquent avoir étudié plusieurs échantillons du malware et y avoir détecté des variations indiquant que le malware est en développement actif.

Recherche

Une vulnérabilité affectant les réseaux 5G a été découverte [13]

Lors de la conférence RSA, des chercheurs de Deloitte et Touche ont présenté leurs recherches sur l’exploitation d’une vulnérabilité affectant les réseaux 5G. La vulnérabilité repose sur l’architecture du réseau 5G, découpé en « tranches » et permettant le multiplexage (passage de plusieurs informations à travers un seul support de transmission). Les chercheurs ont démontré qu’il était possible de compromettre l’ensemble d’un réseau 5G via une seule tranche.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-2738
[2] CXA-2022-2783
[3] CXA-2022-2777
[4] CXA-2022-2757
[5] CXA-2022-2793
[6] CXA-2022-2742
[7] CXA-2022-2752
[8] CXA-2022-2776
[9] CXN-2022-2791
[10] CXN-2022-2763
[11] CXN-2022-2796
[12] CXN-2022-2794
[13] CXN-2022-2781


Estelle Dupuy

Analyste CERT