Résumé de la semaine 30 (du 23 au 29 juillet)

Résumé de la semaine 30 (du 23 au 29 juillet)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour PrestaShop [1a][1b][2], par Mozilla pour Firefox [3a][3b][3c] ainsi que pour Samba [4a][4b][4c].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, aucun code d’exploitation n’a été publié.

Informations

Vulnérabilité

Attaques en cours sur la solution open source PrestaShop afin de récupérer des données bancaires [5a] [5b]

L’équipe de développement de la solution de e-commerce open source Prestashop a publié un correctif de sécurité urgent le 22 juillet 2022. Utilisées par près de 300 000 sites de e-commerce dans le monde, de nombreuses versions de Prestashop sont exposées à la vulnérabilité CVE-2022-36408 qui permet d’exécuter du code à partir d’injections SQL.

Deux vulnérabilités critiques découvertes sur les serveurs FileWave MDM [6a] [6b]

Deux failles de sécurité critiques ont été découvertes sur les serveurs FileWave de gestion de flotte (mobile fleet management – MDM) : CVE-2022-34907 et CVE-2022-34906. FileWave MDM est une solution de gestion de flotte d’équipements multiplate-forme. Elle permet notamment aux administrateurs de mettre à jour et de configurer les machines de leur parc depuis un serveur unique.

Cybercriminalité

Une vulnérabilité affectant Google Chrome concernerait également Edge et Safari [7a] [7b] [7c]

Le chercheur Jan Vojtěšek de l’éditeur antivirus Avast a publié une note sur l’exploitation d’une faille affectant le navigateur Google Chrome. Il est très probable que la vulnérabilité fonctionne également sur Edge et Safari. L’exploitation de cette vulnérabilité, vendue par une entreprise israélienne nommée Candiru, permettait in fine d’installer un spyware sur la machine de journalistes et d’autres cibles spécifiques.

Ransomware

Le ransomware Lockbit 3.0 mettrait en œuvre une partie des capacités de BlackMatter [8a] [8b]

Les analystes de TrendMicro ont fait le lien entre certaines fonctionnalités du ransomware BlackMatter (connu auparavant sous le nom DarkSide) et Lockbit 3.0 (nouveau variant du ransomware Lockbit). L’adoption d’une nouvelle identité est une technique couramment utilisée par les opérateurs de ransomware afin d’accroître leurs capacités et de relancer leurs activités en se fragmentant.

Threat Intelligence

Le groupe Roaming Mantis cible les utilisateurs français d’iPhone et de téléphones Android [9]

Pas moins de 70 0000 équipements sous Android seraient la cible du groupe chinois Roaming Mantis. Cet acteur de la menace motivé par l’appât du gain s’attaque spécifiquement aux utilisateurs français, aussi bien d’iPhone que de téléphones sous Android.

Piratage

Le groupe Magecart a compromis des milliers de données de carte bancaire sur des applications de commande en ligne [10]

Le groupe de cybercriminels Magecart a compromis les applications de commandes en ligne de restaurant. Cette campagne a permis de détourner des données de carte bancaire provenant des commandes effectuées sur ces dernières. Les informations de carte de paiement ainsi récupérées sont revendues sur le dark Web.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-3605
[2] CXA-2022-3596
[3] CXA-2022-3631
[4] CXA-2022-3629
[5] CXN-2022-3604
[6] CXN-2022-3625
[7] CXN-2022-3621
[8] CXN-2022-3620
[9] CXN-2022-3588
[10] CXN-2022-3624


Jules Wermeister

Analyste CERT-XMCO