Résumé de la semaine du 16 juillet 2022

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Oracle [1], par Apple pour ses produits Safari [2], macOS [3][4][5], iOS et iPadOS [6], par Atlassian pour plusieurs de ses produits [7] et pour Questions for Confluence [8], par Drupal [9a][9b][9c][9d], par Google pour Chrome [10], par Zyxel [11], par Apache pour Tomcat [12], par SonicWall [13] et par SPIP [14].

Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Code d’exploitation

Cette semaine, un bulletin portant sur le code d’exploitation a été publié par le CERT-XMCO.

Élévation de privilèges via une vulnérabilité au sein de Questions for Confluence [15]

Ce code d’exploitation se présente sous la forme d’un template Nuclei. En ciblant un serveur vulnérable, un attaquant est en mesure de s’authentifier sur le serveur. Un correctif est disponible.

Informations

Threat Intelligence

Retour d’expérience sur l’émergence LAPSUS$, ses caractéristiques et son mode opératoire [16a] [16b] [16c]

Le groupe malveillant LAPSUS$ s’est fait connaître au premier trimestre 2022 en menant des attaques médiatisées contre de grandes entreprises du numérique.

Des hackers se font passer pour des journalistes pour infiltrer des médias [17a] [17b]

Les journalistes et les organismes de presse restent des cibles privilégiées pour les menaces persistantes avancées (APT) aussi bien chinoises que nord-coréennes, iraniennes ou turques. La raison : leurs accès à des informations exclusives, inconnues du grand public. Ainsi, le groupe Zirconium (aka TA412) s’est attaqué à des journalistes américains en leur envoyant des mails contenant un tracker qui alertait les attaquants lorsqu’ils étaient ouverts.

Cybercriminalité

Le FBI a publié une alerte sur des schémas de fraude liés aux cryptomonnaies aux États-Unis [18]

Le Internet Crime Complaint Center (IC3) du FBI a publié une alerte sur des cas d’arnaques aux cryptomonnaies basées sur l’usurpation de l’identité d’institutions financières. Le FBI a identifié 244 victimes avérées entre octobre 2021 et mai 2022, représentant une perte totale de 42,7 millions de dollars en cryptomonnaies.

Malware

ESET publie une étude du malware CloudMensis ciblant les appareils macOS [19a] [19b]

Les chercheurs d’ESET ont publié une étude du malware CloudMensis ciblant les appareils macOS. Ce malware a très probablement été conçu dans une optique d’espionnage ciblé.

Attaque

Des attaquants modifient les métadonnées de dépôts GitHub pour tromper les développeurs [20a] [20b] [20c]

Les avantages du développement en open source ne sont plus à démontrer. Porte-étendard des plateformes d’hébergement de code, GitHub revendique 56 millions d’utilisateurs, dont 54% de développeurs. D’après les chercheurs de Checkmarx, des acteurs malveillants falsifient les métadonnées de leurs projets pour les rendre dignes de confiance. Leur but : que des développeurs peu regardants intègrent du code malveillant à leurs propres projets sur la seule base de ces métadonnées.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2022-3515
[2] CXA-2022-3542
[3] CXA-2022-3540
[4] CXA-2022-3537
[5] CXA-2022-3527
[6] CXA-2022-3533
[7] CXA-2022-3535
[8] CXA-2022-3524
[9] CXA-2022-3531
[10] CXA-2022-3526
[11] CXA-2022-3464
[12] CXA-2022-3523
[13] CXA-2022-3568
[14] CXA-2022-3569
[15] CXA-2022-3559
[16] CXN-2022-3538
[17] CXN-2022-3420
[18] CXN-2022-3522
[19] CXN-2022-3510
[20] CXN-2022-3451

Marc Lambertz

Découvrir d'autres articles