Résumé de la semaine 25 (du 18 au 24 juin)

Résumé de la semaine 25 (du 18 au 24 juin)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Splunk [1], par Cisco pour Adaptive Security Appliance (ASA) [2], par Google pour son navigateur Chrome [3], par OpenSSL [4] et par Apache pour Tomcat [5].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, un bulletin portant sur le code d’exploitation a été publié par le CERT-XMCO.

Prise de contrôle du système via une vulnérabilité au sein de PHP [6]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python et permet à un attaquant d’exécuter du code arbitraire.

Informations

Ransomware

Détection d’une campagne DeadBolt à l’encontre des équipements QNAP [7]

Une campagne de ransomware DeadBolt a été identifiée par les équipes de QNAP. D’après les rapports des victimes, la campagne cible les équipements QNAP NAS utilisant des versions obsolètes de QTS 4.x. Une enquête plus approfondie est en cours de réalisation par QNAP.

Recherche

La vulnérabilité affectant Azure Synapse Analytics aurait nécessité trois correctifs [8]

Le chercheur Tzah Pahima de Orca Security a publié une analyse détaillée de la vulnérabilité SynLapse (référencée CVE-2022-29972) affectant Microsoft Azure. Microsoft Azure offre un service d’analyse de données fourni sur le cloud.

Threat Intelligence

Une fonctionnalité dans Microsoft 365 rendrait possible des attaques par ransomware [9a] [9b]

Les chercheurs de Proofpoint ont découvert l’existence d’une fonctionnalité présente dans la Suite Microsoft 365 permettant à un attaquant de chiffrer des fichiers stockés sur SharePoint et OneDrive.
La fonctionnalité à l’origine de la faille s’appelle AutoSave et permet de créer des copies des anciennes versions d’un fichier en cours d’édition sur OneDrive ou SharePoint.

International

APT28 exploiterait activement Follina dans le cadre de la guerre en Ukraine [10]

D’après les analystes de Malwarebytes, le groupe APT28 lié au renseignement russe ciblerait activement des organisations ukrainiennes à travers l’exploitation de la vulnérabilité Follina (référencée CVE-2022-30190).
Ces analystes ont identifié, le 20 juin 2022, ont identifié un document malveillant qui avait été utilisé à travers Follina pour télécharger et exécuter un malware de type infostealer.

Botnet

Cloudflare a atténué une attaque DDoS de 26 millions de requêtes par seconde [11]

L’entreprise américaine de services de contenus cloud Cloudflare a déclaré avoir détecté et atténué une attaque par déni de service avec un pic de 26 millions de requêtes par seconde.
Il s’agirait de la plus grande attaque DDoS HTTPS jamais enregistrée.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-2972
[2] CXA-2022-3020
[3] CXA-2022-2986
[4] CXA-2022-3026
[5] CXA-2022-3044
[6] CXA-2022-3051
[7] CXN-2022-2974
[8] CXN-2022-3025
[9] CXN-2022-2994
[10] CXN-2022-3017
[11] CXN-2022-2997


Estelle Dupuy

Analyste CERT