Résumé de la semaine 24 (du 12 juin au 18 juin)

Résumé de la semaine 24 (du 12 juin au 18 juin)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Synology [1], Mattermost [2], Apple iPad [3] et Google Chrome [4].
Ces correctifs adressent des dommages permettant la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 4 codes d’exploitation ont été publiés. Un correctif est disponible pour 3 d’entre eux.

Prise de contrôle du système via une vulnérabilité au sein de GLPI [5a][5b]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme, un attaquant est alors en mesure de déposer un webshell PHP et d’exécuter des commandes sur le serveur.

Manipulation de donnée et divulgation d’information via une vulnérabilité au sein de Cerberus FTP [6]

Ce code d’exploitation se présente sous la forme d’une requête HTTP. En incitant sa victime à cliquer sur un lien spécifiquement conçu, un attaquant est alors en mesure de procéder a la récupération du cookie de session, modification de l’apparence du site web ciblé dans le contexte du navigateur, voire redirection de l’utilisateur vers un site malveillant (par exemple, un site de phishing affichant un faux formulaire destiné à voler des identifiants et des mots de passe).

Divulgation d’informations via une vulnérabilité au sein du noyau Linux [7]

Ce code d’exploitation se présente sous la forme d’un programme écrit en C. En exécutant ce fichier sur un système vulnérable, un attaquant est en mesure d’accéder à des partis d’adresse du noyau (système 64 bits), ou à des adresses du noyau (système 32 bits) pouvant permettre de contourner le KASLR. Aucun correctif n’est disponible à l’heure actuelle.

Contournement de sécurité via une vulnérabilité au sein de Sharepoint [8]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme, un attaquant authentifié est alors en mesure d’effectuer une requête de son choix depuis le serveur.

Informations

International

Un nouveau groupe de cyberattaquants cible les diplomates [9a][9b][9c]

Les chercheurs de l’entreprise d’antivirus ESET ont récemment découvert un nouveau groupe de cyberattaquants ciblant les diplomates européens, africains et moyen-orientaux. Le groupe, baptisé BackdoorDiplomacy, serait en activité depuis 2017 et serait lié à de nombreuses attaques réussies contre des ministères des Affaires étrangères dans de nombreux pays d’Afrique, du Moyen-Orient, d’Europe et d’Asie. Mais le groupe aurait aussi été impliqué dans des attaques contre des entreprises de télécommunications africaines et au moins une organisation caritative au Moyen-Orient.

Ransomware

Disparition de l’opérateur Avaddon [10a][10b][10c]

Le journal Bleeping Computer a reçu 2,934 clés de déchiffrement appartenant au groupe Avaddon. Ces clés leur ont été fournies par une source anonyme indiquant que cela venait du FBI. À plusieurs reprises, différents opérateurs de ransomware ont fourni à ce journal leurs clés de déchiffrement avant d’arrêter leurs opérations.

Opération policière en cours contre le groupe Cl0p en Ukraine [11]

Les autorités ukrainiennes ont identifié 6 personnes soupçonnées d’appartenir au groupe cybercriminel Cl0p. Une vingtaine de perquisitions menées au domicile et dans les véhicules des suspects aurait permis de démanteler les circuits de blanchiment des cryptomonnaies extorquées à leurs victimes. D’après les enquêteurs, l’infrastructure employée pour propager le virus a été fermée. Le site de Cl0p était cependant toujours en ligne ce matin.

Publication

Découverte d’une attaque sur le protocole TLS [12]

Une nouvelle attaque nommée ALPACA a été découverte au sein du protocole TLS. Cette attaque exploite le manque de protection des endpoints TCP dans le protocole TLS.
Il existe plusieurs manières d’exploiter l’attaque qui dépendent de la configuration et des protocoles utilisés par le serveur cible.

Un bug dans Microsoft Power Apps permettait de compromettre l’accès à Teams, Outlook et Sharepoint [13a][13b]

Dans un billet de blog, le chercheur Evan Grant de la société Tenable a récemment détaillé une attaque qui permettait d’accéder aux mails, aux messages Teams et aux documents Sharepoint ainsi que d’envoyer des messages et des mails. Cette attaque reposait sur un bug dans l’application Power Apps de Micrsosoft, plus précisément sur une mauvaise validation d’un nom de domaine de l’application Power Automate.

Attaque

Retour sur la compromission de SITA, un fournisseur majeur de services informatiques pour les compagnies aériennes [14]

Les chercheurs de Group-IB ont analysé plus en détail la campagne ColumnTK, qui a touché l’entreprise SITA, un fournisseur international de services informatiques pour les compagnies aériennes.
L’entreprise a annoncé avoir été compromise le 24 février 2021. L’annonce n’a pas fait beaucoup de bruits cependant, jusqu’à ce que Air India annonce une fuite massive de ses données clients le 21 mai 2021. D’autres compagnies aériennes qui figuraient également parmi les clients de SITA ont également annoncé avoir été compromises.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-2918
[2] CXA-2021-2908
[3] CXA-2021-2894
[4] CXA-2021-2949
[5] CXA-2021-2888
[6] CXA-2021-2866
[7] CXA-2021-2903
[8] CXA-2021-2867
[9] CXN-2021-2909
[10] CXN-2021-2875
[11] CXN-2021-2950
[12] CXN-2021-2873
[13] CXN-2021-2935
[14] CXN-2021-2907


Théophile

Analyste CERT-XMCO