Résumé de la semaine 24 (du 11 au 17 juin)

Résumé de la semaine 24 (du 11 au 17 juin)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Microsoft [1], SAP [2], Adobe Illustrator [3], Couchbase [4], Centreon [5a][5b], Apache Hadoop [6], Intel Xeon [7], VMware ESXi [8a][8b], Apache Tomcat [9][10] et Drupal [11].

Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Un code d’exploitation a été publié cette semaine.

Prise de contrôle du système via une vulnérabilité au sein de Laravel [12]

Ce code d’exploitation se présente sous la forme d’un programme écrit en PHP. En l’exécutant, un attaquant est en mesure de générer une charge utile qui lorsqu’elle sera fournie à la fonction unserialize exécutera le programme calc.exe sur le système vulnérable. Cette exploitation pourrait facilement être modifiée par un attaquant pour exécuter des commandes arbitraires sur le système. Aucun correctif n’est disponible pour le moment.

Informations

Vulnérabilité

6 chercheurs américains découvrent une faille dans les processeurs Intel et AMD [13a] [13b] [13c]

Dans le « preprint » d’un article à paraître lors du 31ème USENIX Security Symposium à Boston en août 2022, 6 chercheurs américains détaillent une nouvelle vulnérabilité découverte dans les processeurs Intel et AMD.
Cette vulnérabilité existe car dans certaines circonstances, la fréquence des processeurs x86 modernes dépend des données traitées. Ces variations de fréquence peuvent être observées sans avoir besoin de privilèges, y compris par un attaquant distant.

Les chercheurs de Trellix découvrent huit vulnérabilités dans les systèmes de contrôle d’accès physiques LenelS2 [14a] [14b] [14c] [14d] [14e]

Suite à leur conférence au Hardwear.io Security Trainings and Conference, les chercheurs de Trellix ont publié un rapport détaillant la découverte de 8 vulnérabilités dans le système de contrôle d’accès industriel HID Mercury de LenelS2.
Ce système est utilisé dans de nombreux secteurs incluant la santé, l’éducation, le transport et les institutions gouvernementales.

Le groupe TA570 exploiterait la vulnérabilité Follina pour déployer le malware Qbot [15a] [15b] [15c] [15d]

Selon l’entreprise Proofpoint, le groupe TA570 exploiterait activement la vulnérabilité affectant Microsoft Office baptisée Follina et référencée CVE-2022-30190.
Follina a été révélée le 27 mai 2022 et permet à un attaquant d’exécuter du code arbitraire sur les versions Office suivantes : 2013, 2016, 2019, 2021, Office ProPlus et Office 365.

Threat Intelligence

Les chercheurs de Malwarebytes publient une analyse du profil de Karakurt [16a] [16b]

En suivant plusieurs agences de sécurité américaines, les chercheurs de MalwarebytesLabs ont publié une analyse du profil de groupe de vol de données Karakurt.
En effet, Karakurt est un groupe dont les activités malveillantes connaissent une forte croissance depuis le début de ses activités au second semestre 2021.

Ransomware

Microsoft rapporte le déploiement du ransomware BlackCat sur des serveurs Exchange [17a] [17b]

Les chercheurs de Microsoft ont publié une analyse technique du Ransomware as a Service (RaaS) BlackCat. Utilisant le langage Rust, il a été observé pour la première fois en novembre 2021.

Le ransomware Hello XD installe désormais une backdoor [18]

Les opérateurs de Hello XD ont développé une nouvelle version de leur ransomware, avec un mécanisme de chiffrement plus évolué. Basé sur le code source de Babuk, Hello XD a été utilisé depuis novembre 2021 dans quelques attaques de double extorsion. Les récentes évolutions de ce ransomware (algorithme de chiffrement plus évolué et nouvelles fonctionnalités de dissimulation) semblent toutefois illustrer la volonté des opérateurs de s’émanciper de Babuk pour développer un ransomware unique.

Fuite d’informations

Kaiser Permanente (US) victime d’une fuite de données de santé [19]

Kaiser Permanente, leader de l’assurance santé à but non lucratif et fournisseur de soins de santé aux États-Unis, a été victime d’une fuite de données impactant 69,000 personnes. Ce consortium, fondé en 1945, a annoncé sur son site internet qu’un attaquant avait accédé à la boîte mail d’un employé contenant des données de santé.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2022-2920
[2] CXA-2022-2909
[3] CXA-2022-2905
[4] CXA-2022-2902
[5] CXA-2022-2824
[6] CXA-2022-2939
[7] CXA-2022-2914
[8] CXA-2022-2891
[9] CXA-2022-2830
[10] CXA-2022-2829
[11] CXA-2022-2823
[12] CXA-2022-2925
[13] CXN-2022-2913
[14] CXN-2022-2892
[15] CXN-2022-2833
[16] CXN-2022-2937
[17] CXN-2022-2847
[18] CXN-2022-2816
[19] CXN-2022-2835


Théophile

Analyste CERT-XMCO