Résumé de la semaine 28 (du 9 au 15 juillet)

Résumé de la semaine 28 (du 9 au 15 juillet)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre du Patch Tuesday [1], par SAP [2], par VMware pour ses produits vCenter [3] et ESXi [4], pour Grafana [5a][5b] ainsi que par Adobe pour ses produits Acrobat et Reader [6].

Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, un code d’exploitation a été publié. Un correctif est disponible.

Déni de service via une vulnérabilité au sein de NGINX [7]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En ciblant un serveur NGINX ayant comme serveur DNS une machine présente sur le même réseau que l’attaquant, l’attaquant peut réaliser une attaque de type ARP poisonning afin d’usurper ce serveur DNS et provoquer un déni de service sur le serveur NGINX.

Informations

Attaque

Des acteurs malveillants se font passer pour des entreprises de cybersécurité pour infecter leurs cibles [8]

Le 8 juillet, les analystes de CrowdStrike ont identifié une campagne de phishing au cours de laquelle les acteurs malveillants se font passer pour des entreprises de cybersécurité (dont CrowdStrike) pour infecter leurs cibles.

Threat Intelligence

Publication d’une étude technique du malware OrBit ciblant les systèmes Linux [9a] [9b]

Les chercheurs de Intezer ont publié une étude détaillée du malware OrBit ciblant les systèmes Linux. OrBit est intéressant en raison de sa grande capacité de filtrage des informations émises. Cela lui permet de réduire au maximum ses chances d’être détecté.

Santé

Le ransomware Maui vise le secteur de la santé [10a] [10b] [10c]

Le CISA (Cybersecurity and Infrastructure Security Agency – US) a publié une alerte concernant le ransomware Maui, qui cible les organisations du secteur de la santé. Ce ransomware présente un certain nombre de spécificités, inhabituelles dans le paysage des ransomwares : le chiffrement des fichiers de la victime est effectué manuellement par les opérateurs, les attaquants ne déposent pas de note de rançon, l’opération ne dispose pas d’une infrastructure externe à partir de laquelle les attaquants envoient la clé de déchiffrement.

Fuite d’informations

L’entreprise chinoise Mangatoon subit une fuite de données massive [11]

En mai 2022, l’acteur cybercriminel pompompurin aurait compromis une base de données de l’entreprise Mangatoon afin de la mettre en vente sur le forum Breached dont il est administrateur. La compromission concernerait environ 23 millions de personnes utilisant notamment l’application Mangatoon disponible sur iOS et Android.

Annonce

PyPI rend l’authentification multifacteur obligatoire pour les projets Python critiques [12]

Le 8 juillet 2022, les responsables de PyPI (Python Package Index), le dépôt officiel de logiciels tiers pour Python, ont déclaré que l’authentification multifacteur (MFA) serait obligatoire pour les projets critiques. La MFA sera ainsi requise pour publier, mettre à jour ou modifier des projets critiques.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2022-3372
[2] CXA-2022-3347
[3] CXA-2022-3348
[4] CXA-2022-3351
[5] CXA-2022-3403
[6] CXA-2022-3375
[7] CXA-2022-3399
[8] CXN-2022-3370
[9] CXN-2022-3329
[10] CXN-2022-3324
[11] CXN-2022-3318
[12] CXN-2022-3309


Clément Bertaux