Résumé de la semaine 27 (du 03 au 09 juillet)

Résumé de la semaine 27 (du 03 au 09 juillet)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft pour Windows [1] et pour PowerShell [2], par Joomla! [3a] [3b] [3c] [3d] [3e], par GitLab [4] et par Apache pour Tomcat [5] [6a] [6b].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, aucun code d’exploitation n’a été publié.

Informations

Attaque

La compromission de Kaseya aurait permis à REvil d’infecter 1 million de postes pendant le week-end du 4 juillet [7a] [7b] [7c]

Le 2 juillet 2021, plus de 350 entreprises utilisant les logiciels de l’entreprise Kaseya ont été victimes d’un ransomware. Cette entreprise fournit des solutions de sécurité et de gestion d’infrastructure. Ces services sont fournis par la solution Virtual System Administrator (VSA), installée directement chez les clients et gérée à distance par les équipes de Kaseya.

Guide

La CISA et le FBI publient une liste de recommandations pour les entreprises impactées par la compromission de Kaseya le week-end dernier [8a] [8b] [8c]

En réponse à l’attaque de Kaseya, la Cybersecurity & Infrastructure Security Agency (CISA) et le FBI ont décidé de mener une investigation conjointe. Ils ont publié ce dimanche une liste de recommandations pour les infogérants et leurs clients concernés par l’incident.

Fuite d’informations

En introduisant un biais pour complexifier les mots de passe, le gestionnaire de mot de passe de Kaspersky les a rendus vulnérables [9]

En 2019, une vulnérabilité affectant le générateur du gestionnaire de mots de passe de Kaspersky a été découverte. Cette vulnérabilité, référencée CVE-2020-27020, a depuis été corrigée, mais tous les mots de passe générés avant l’application de ce correctif sont encore vulnérables et doivent être régénérés. Ce biais consistait à rendre plus probable l’apparition des caractères rarement utilisés par un humain dans un mot de passe tels que q, x, z, w, et à rendre plus rare l’apparition des caractères plus communs tels que n, a, e.

Botnet

Découverte de Diavol, un nouveau malware déployé par le botnet TrickBot [10]

Les groupes d’attaquants derrière le malware TrickBot ont développé un nouveau ransomware appelé Diavol. Il a été détecté pour la première fois au début du mois par les chercheurs de Fortinet, suite à une attaque qui avait échoué. La création de Diavol est attribuée au groupe d’attaquants russe Wizard Spider. Apparu en 2016, le cheval de Troie TrickBot s’attaquait traditionnellement aux systèmes Windows des banques. Il a toutefois beaucoup évolué au cours des dernières années, se dotant d’un arsenal offensif redoutable. Malgré les efforts des autorités pour le démanteler, il est aujourd’hui l’un des malwares les plus dangereux au monde.

Piratage

Des chercheurs de Microsoft dévoilent des vulnérabilités permettant de prendre le contrôle de certains routeurs NETGEAR [11a] [11b]

Des chercheurs en sécurité de chez Microsoft ont dévoilé 3 failles de sécurité impactant la gamme de routeurs NETGEAR DGN2200v1. La compromission d’un équipement de ce type peut être utilisée pour ensuite compromettre le réseau sous-jacent. Les vulnérabilités étaient dues à des erreurs dans le mécanisme d’authentification du démon HTTPd (score CVSS : 7.19.4) et concernaient les routeurs avec une version du firmware inférieure à la v1.0.0.60. Un correctif est disponible depuis décembre 2020.

Cybercriminalité

Une plateforme cloud classifiée appartenant à l’OTAN a été compromise [12]

Un groupe de pirate a compromis une plateforme cloud appartenant à l’OTAN, nommée SOA & Id (Service-Oriented Architecture and Identity Access Management). Ce dernier est parvenu, de façon opportuniste, à accéder au système en compromettant l’infrastructure de l’entreprise espagnole Everis.
Les attaquants auraient tenté d’extorquer de l’argent à la société en leur demandant une rançon. En échange de la non-divulgation des données accédées, Everis aurait été incité à payer la somme de 14 500 XMR (qui correspond à la cryptomonnaie Monero et qui équivaut aujourd’hui à environ 2,67 millions d’euros).

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-3152
[2] CXA-2021-3121
[3] CXA-2021-3150
[4] CXA-2021-3179
[5] CXA-2021-3148
[6] CXA-2021-3137
[7] CXN-2021-3123
[8] CXN-2021-3140
[9] CXN-2021-3157
[10] CXN-2021-3156
[11] CXN-2021-3127
[12] CXN-2021-3141


Marc Lambertz

Analyste CERT-XMCO