Résumé de la semaine 3 (du 15 au 21 janvier)

Résumé de la semaine 3 (du 15 au 21 janvier)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Oracle lors du Critical Patch Update [1], par Google pour Chrome [2], pour Drupal [3a][3b] ainsi que par VMware pour ses produits Workstation et Horizon [4].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

2 codes d’exploitation ont été publiés cette semaine. Des correctifs sont disponibles pour chacune des vulnérabilités.

Divulgation d’informations via une vulnérabilité au sein de Trend Micro Deep Security [5]

Ce code d’exploitation se présente sous la forme d’un script écrit en Bash. Un attaquant possédant un accès distant au réseau peut exécuter ce script afin d’accéder à des fichiers arbitraires sur le système impacté (le code d’exploitation lit par défaut le fichier etc/shadow).

Élévation de privilèges via une vulnérabilité au sein de Trend Micro Deep Security [6]

Ce code d’exploitation se présente sous la forme d’un script écrit en Bash. En exécutant ce script sur le système, un attaquant est alors en mesure d’exécuter du code arbitraire avec les droits associés à l’utilisateur root.

Informations

Vulnérabilité

Une faille présente dans Safari 15 pourrait entraîner la fuite de données personnelles d’un utilisateur [7a][7b][7c][7d]

Le 14 janvier dernier, les chercheurs de Fingerprint JS ont publié une démonstration d’un bug dans l’API JavaScript, nommée IndexedDB, présente sur Safari 15. La faille rend possible une interaction entre deux pages web. Dès lors, un site web malveillant ouvert sur une fenêtre pourrait avoir accès aux informations du compte Google de l’utilisateur, ouvert sur une autre fenêtre.

84 000 sites WordPress affectés par une même vulnérabilité CSRF impactant trois extensions [8a][8b]

Le 13 janvier 2022, des chercheurs en sécurité de la société Wordfence ont publié leur découverte d’une faille de sécurité affectant 3 extensions WordPress utilisés par plus de 84 000 sites web. Elle pourrait être exploitée par un acteur malveillant pour prendre le contrôle de sites vulnérables.

Publication

Microsoft publie en urgence des correctifs au Patch Tuesday de janvier 2022 [9a][9b][9c]

Le 18 janvier, Microsoft a publié en urgence des correctifs pour adresser plusieurs dysfonctionnements apparus à la suite des mises à jour du Patch Tuesday de janvier 2022.
Parmi les principaux problèmes observés, on peut notamment citer : le redémarrage intempestif de Windows Server Domain Controllers, l’échec du fonctionnement de Hyper-V sur les serveurs Windows ou l’échec dans l’exécution de machines virtuelles.

Threat Intelligence

Les autorités russes arrêtent 14 individus suspectés d’appartenir au groupe de ransomware REvil [10]

Le vendredi 14 janvier 2022, les services fédéraux de sécurité de Russie (FSB) ont annoncé avoir interpellé 14 membres suspectés d’appartenir au groupe de ransomware REvil. L’opération a été menée suite aux demandes des États-Unis depuis l’été 2021 d’agir contre les cybercriminels présents le sol russe. Le groupe REvil est accusé d’être responsable de certaines attaques ransomware de grande ampleur, notamment contre les entreprises stratégiques JBS ou Kaseya.

Ransomware

Le groupe de ransomware Qlocker a lancé une seconde vague d’attaques ciblant les NAS QNAP [11a][11b][11c][11d][11e][11f]

Le 6 janvier dernier, le groupe de ransomware Qlocker a lancé une campagne d’attaque ciblant les serveurs de stockage réseau (NAS en anglais) de la marque QNAP exposés sur internet.
Le groupe est connu pour avoir conduit une campagne similaire en avril 2021 contre les clients QNAP en exploitant la faille affectant le logiciel Hybrid Backup Sync 3.

Entreprise

Pour la 7ème année consécutive, le CESIN publie son baromètre de la cybersécurité dans les grandes entreprises françaises [12]

Chaque année depuis 2015, le CESIN publie son baromètre de la perception de la cybersécurité et de ses enjeux au sein des grandes entreprises françaises. Les résultats de l’étude 2022 réalisée par OpinionWay portent sur un échantillon significatif de 282 répondants. Cette édition met en avant notamment que 54% des entreprises déclarent avoir fait face à au moins une cyberattaque.

International

Europol annonce l’arrêt du service VPNLab après une opération internationale dans 10 pays [13a][13b]

L’organisation européenne Europol a annoncé, ce mardi 18 janvier 2022, l’arrêt du service VPNLab, soupçonné d’être utilisé par des cybercriminels. Le 17 janvier dernier, une opération combinée de 10 pays a permis la confiscation de 15 serveurs, rendant le service inaccessible.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2022-0318
[2] CXA-2022-0341
[3] CXA-2022-0348
[4] CXA-2022-0265
[5] CXA-2022-0371
[6] CXA-2022-0372
[7] CXN-2022-0347
[8] CXN-2022-0314
[9] CXN-2022-0317
[10] CXN-2022-0260
[11] CXN-2022-0248
[12] CXN-2022-0261
[13] CXN-2022-0272


Jules Wermeister

Analyste CERT-XMCO