Résumé de la semaine 28 (du 10 au 16 juillet)

Résumé de la semaine 28 (du 10 au 16 juillet)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft lors du Patch Tuesday [1], par Solarwinds pour Serv-U [2], par Mozilla pour Firefox [3a][3b] et Thunderbird [4], par Adobe pour Acrobat [5], par Apache pour Tomcat [6a][6b][6c] et par SAP [7].

Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, aucun code d’exploitation n’a été publié.

Informations

Vulnérabilité

SolarWinds a publié un correctif en urgence pour sa gamme de produits Serv-U [8]

SolarWinds a publié un bulletin critique concernant une vulnérabilité activement exploitée affectant sa gamme de produits Serv-U. Cette dernière permet à un attaquant distant non authentifié de prendre le contrôle du système.
Le CERT-XMCO recommande l’application dès que possible des correctifs de sécurité ainsi que de mener une investigation pour s’assurer que les serveurs n’ont pas été compromis.

Cybercriminalité

Sonicwall a publié un bulletin urgent afin de prévenir les utilisateurs d’une campagne d’attaque en cours sur leurs appliances obsolètes [9a][9b][9c]

Sonicwall a récemment publié un bulletin de sécurité urgent sur son blog et à l’intégralité de ses clients utilisant les appliances SRA et SMA. Ce bulletin prévient les utilisateurs qu’une large campagne d’attaque ciblant ce type d’équipement est en cours.
D’après les informations divulguées par Sonicwall, cette campagne se base sur des informations récupérées lors d’une précédente campagne d’attaque observée en janvier et utilisant des vulnérabilités 0-day sur ce même type d’appliance.

Phishing

Le groupe APT Lazarus se fait passer pour Airbus, General Motors ou Rheinmetall et cible les ingénieurs à la recherche d’un emploi [10a][10b][10c][10d]

Le groupe APT nord-coréen Lazarus a encore frappé en se faisant passer pour des sociétés américaines ou européennes dans le domaine de l’aéronautique telles que Airbus, General Motors et Rheinmetall.
Les cibles sont des ingénieurs à la recherche d’un emploi. Cette campagne consiste donc à inciter la victime à télécharger un fichier malveillant sous la forme d’un document Word.

Malware

Un nouveau malware utilise OBS Studio pour enregistrer l’écran de ses victimes [11a][11b]

Un nouveau malware, nommé BIOPASS, vient d’être découvert sur des sites de paris en ligne chinois. Des attaquants se servent de vulnérabilités dans ces sites pour y implanter du code JavaScript malveillant, et inciter les utilisateurs à télécharger un installeur d’Adobe Flash Player ou de Microsoft Silverlight modifié.
Ce malware, une fois en place, installe le logiciel de diffusion OBS Studio sur la machine infectée pour enregistrer en direct l’écran de la victime, et envoyer le flux vidéo à un attaquant.

Fuite d’informations

La société d’assurance CNA Financial a déclaré une fuite d’informations concernant les données personnelles de plus de 75 000 personnes [12a][12b][12c]

L’entreprise d’assurance états-unienne CNA Financial a récemment déclaré une fuite d’information concernant les données personnelles de plus de 75 000 de ses clients. L’incident fait suite à une attaque de ransomware ayant eu lieu durant le mois de mars 2021.
Les attaquants ont accédé au système d’information à de multiples reprises entre le 5 mars et le 21 mars. Ils ont alors extrait une quantité restreinte d’informations, avant d’exécuter le ransomware.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2021-3302
[2] CXA-2021-3217
[3] CXA-2021-3298
[4] CXA-2021-3279
[5] CXA-2021-3233
[6] CXA-2021-3220
[7] CXA-2021-3289
[8] CXN-2021-3221
[9] CXN-2021-3283
[10] CXN-2021-3300
[11] CXN-2021-3202
[12] CXN-2021-3201


Noé Zalic

Analyste CERT-XMCO