Résumé de la semaine 23 (du 7 au 11 juin)

Résumé de la semaine 23 (du 7 au 11 juin)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft lors du Patch Tuesday [1], pour Adobe Acrobat [2], par Google pour son navigateur Chrome [3] et son système d’exploitation Android [4], par SAP [5] et par Apache pour son serveur web [6].

Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 2 bulletins portant sur des codes d’exploitation ont été publiés par le CERT-XMCO. Un correctif est disponible pour chacune des vulnérabilités exploitées.

Prise de contrôle du système via une vulnérabilité au sein de VMWare vCenter [7]

Ce code d’exploitation se présente sous la forme d’un script écrit en Python. En exécutant ce script après avoir spécifié en argument l’adresse d’un serveur vCenter vulnérable, un attaquant est en mesure d’envoyer une suite de requêtes POST spécifiquement conçues afin d’ouvrir un invite de commandes distant (reverse shell) sur l’adresse 192.168.139.1:4444.

Prise de contrôle du système via une vulnérabilité au sein de Gitlab [8]

Ce code d’exploitation se présente sous la forme d’un script écrit en Python. Il permet à un attaquant authentifié d’envoyer à l’application une image spécifiquement conçue afin d’exécuter du code arbitraire sur le système sous-jacent.

Informations

Vulnérabilités

Découverte d’un nouvel acteur appelé « PuzzleMaker » et exploitant des failles 0-day impactant Google Chrome et Windows [9]

Les chercheurs de Kasperky Technologies ont découvert le 14 avril 2021 une vague d’attaques ciblées contre plusieurs entreprises. Ces attaques exploitaient un enchainement de failles 0-day au sein de Google Chrome et de Windows afin de compromettre le système de leurs victimes.

Cybercriminalité

L’Opération Ironside permet de réaliser une vague d’arrestation au sein du crime organisé à travers le monde entier [10a][10b][10c]

En 2018, la société canadienne Phantom Secure est démantelée par les autorités. Cette société fournissait des smartphones sécurisés à des criminels. Lors de cette arrestation, le FBI a recruté un informateur qui avait participé à la conception du réseau. Cet informateur a créé un nouveau réseau sécurisé du même type baptisé « Anom » et l’a « offert » au FBI.

Annonce

Github met à jour sa politique concernant l’hébergement de code d’exploitation [11]

Suite a l’exploitation de plusieurs vulnérabilités à l’aide de codes malveillants hébergés sur GitHub, l’éditeur avait annoncé revoir sa politique d’hébergement de code d’exploitation. À l’issue de la consultation avec la communauté en cybersécurité, et après avoir donné un délai d’un mois pour effectuer des propositions, GitHub prévoit 4 changements majeurs.

Fuite d’informations

RockYou2021 : une compilation de plus de 8 milliards de mots de passe partagée sur des forums [12a] [12b] [12c][12d]

Un fichier de plus de 100 gigaoctets contenant plus de 8 milliards de mot de passe a récemment été partagé sur des forums. Ce fichier est nommé RockYou2021.txt, en référence à rockyou.txt, la célèbre liste de mots de passe ayant fuité en 2009.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2021-2815
[2] CXA-2021-2801
[3] CXA-2021-2831
[4] CXA-2021-2721
[5] CXA-2021-2800
[6] CXA-2021-2855
[7] CXA-2021-2705
[8] CXA-2021-2706
[9] CXN-2021-2819
[10] CXN-2021-2817
[11] CXN-2021-2729
[12] CXN-2021-2787


Estelle Dupuy