Résumé de la semaine 32 (du 6 au 12 août)

Résumé de la semaine 32 (du 6 au 12 août)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre du Patch Tuesday [1a] [1b], par Adobe pour Illustrator [2], par Palo Alto pour PAN OS [3], par SAP [4] et par VMware pour Workstation [5].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.

Prise de contrôle du système via une vulnérabilité au sein de PAN-OS [6]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme, un attaquant est en mesure d’exécuter des commandes arbitraires en tant que root sur le système sous-jacent.

Prise de contrôle du système via une vulnérabilité au sein de Zoho ManageEngine ADAudit Plus [7]

Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. En exécutant ce programme contre une application vulnérable, un attaquant est en mesure d’exécuter des commandes arbitraires sur le serveur ciblé.

Informations

Fuite d’informations

Slack a fait fuiter les mots de passe hashés de certains utilisateurs pendant 5 ans [8a] [8b]

Le 4 août, l’entreprise Slack a déclaré avoir découvert un bug dans la création de liens d’invitation à des espaces de travail. Lorsqu’un utilisateur générait ou révoquait un lien d’invitation, Slack transmettait la version « hashée » (et « salée ») de son mot de passe aux autres membres de l’espace de travail.

Botnet

Analyse du botnet RapperBot [9]

RapperBot est un botnet qui reprend de nombreux éléments du code source de Mirai, en y ajoutant de nouvelles fonctionnalités. Depuis la mi-juin, ce dernier évolue rapidement. Dans ses versions les plus récentes,Rapperbot ajoute toutes les heures un compte administrateur « suhelper » sur la machine compromise. De plus, les fonctionnalités permettant de réaliser des attaques par déni de service distribué (DDoS) ont été réintégrées et la diffusion automatisée a été remplacée par le maintien des accès aux serveurs SSH.

International

Le groupe chinois TA428 conduit une campagne d’espionnage industriel en Europe de l’Est [10a] [10b] [10c]

Les analystes de Kaspsersky ont découvert qu’une nouvelle version de la backdoor PortDoor est utilisée par le groupe TA428. Les attaquants ciblent des entités gouvernementales ainsi que le secteur de la défense. La campagne actuelle serait en cours depuis au moins janvier 2022. TA428 ciblerait principalement des organisations situées en Russie, en Biélorussie, en Ukraine et en Afghanistan.

Ransomware

Cisco a été ciblé par un opérateur de ransomware [11a] [11b] [11c]

L’entreprise Cisco a subi une attaque perpétrée par le groupe Yanluowan. Le groupe n’aurait pas déployé de ransomware, mais a tout de même effectué une demande de rançon, sur le modèle de l’attaque « ransom-without-ware ». L’attaque aurait eu lieu à la fin du mois de mai 2022. Au total 2,8Go de données ont été subtilisées, notamment 3 100 fichiers différents. Une partie des données a été publiée sur le darkweb.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-3872
[2] CXA-2022-3848
[3] CXA-2022-3897
[4] CXA-2022-3859
[5] CXA-2022-3857
[6] CXA-2022-3892
[7] CXA-2022-3792
[8] CXN-2022-3849
[9] CXN-2022-3820
[10] CXN-2022-3816
[11] CXN-2022-3895


Estelle Dupuy

Analyste CERT