Résumé de la semaine 34 (du 20 au 26 août)

Résumé de la semaine 34 (du 20 au 26 août)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Atlassian pour Bitbucket Server et Data Center [1], par Mozilla pour Firefox [2], Firefox ESR [3][4] et Thunderbird [5][6], par ManageEngine pour Password Manager Pro [7], par Gitlab pour GitLab Community Edition et Gitlab Enterprise Edition [8] et pour Webmin [9].

Ces correctifs remédient à des dommages allant de la divulgation d’informations sensibles à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.

Prise de contrôle du système via une vulnérabilité au sein de Password Manager Pro [10]

Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. En exécutant ce programme contre une instance de Password Manager Pro vulnérable, un attaquant est alors en mesure d’exécuter du code arbitraire sur le serveur ciblé.

Prise de contrôle du système via une vulnérabilité au sein de Webmin [11]

Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. En exécutant ce programme contre une instance Webmin vulnérable, un attaquant est alors en mesure d’exécuter des commandes arbitraires sur le serveur ciblé.

 

Informations

Entreprise

De graves manquements à la sécurité chez Twitter ont été révélés par un lanceur d’alerte [12a] [12b]

Le 23 août 2022, CNN a publié le témoignage de Peiter Zatko, chef de la sécurité chez Twitter de 2020 à 2021, dans lequel il délivre des informations sur les conséquences des décisions prises en matière de sécurité au sein de l’entreprise.

Cybercriminalité

Le groupe nord-coréen Lazarus mènerait une nouvelle campagne de spear phishing usurpant l’entreprise Coinbase [13a] [13b]

L’entreprise ESET a identifié une nouvelle campagne d’espionnage menée par la menace persistante avancée (APT) nord-coréenne Lazarus.
La campagne de spear phishing, nommée In(ter)ception, consiste à cibler des ingénieurs avec de fausses offres d’emploi pour l’entreprise de cryptoactifs Coinbase.

Phishing

La campagne de phishing BazarCall de Conti utilisée par trois groupes d’acteurs malveillants [14a] [14b]

BazarCall (aussi appelé callback phishing ou vishing) désigne un type de campagne mêlant ingénierie sociale et phishing utilisé pour appeler des victimes en se faisant passer pour une entité légitime. BazarCall aurait été initié depuis au moins décembre 2021 par Conti.

Malware

Un puissant RAT Windows mis à la vente par EvilCoder [15]

Les chercheurs de Cyble ont découvert le site internet d’un certain EvilCoder. Ce développeur y propose à la vente de nombreux malware, dont un RAT (Remote Access Trojan) Windows : XWorm.

Ransomware

Le centre hospitalier Sud-Francilien aurait été victime d’une attaque par ransomware [16a] [16b]

Dans la nuit du samedi 20 au dimanche 21 août, le centre hospitalier Sud-Francilien (CHSF) à Corbeil-Essonnes a été la cible d’une cyberattaque.
L’attaque aurait fortement perturbé les logiciels métiers de l’hôpital, les systèmes de stockages liés à l’imagerie médicale ainsi que le système d’information lié aux admissions de patients.

Attaque

Google bloque la plus grosse attaque DDoS enregistrée à ce jour [17]

Google a annoncé que l’un des clients de son service Google Cloud Armor a été frappé par la plus grosse attaque DDoS enregistrée à ce jour. Avec un pic à 46 millions de requêtes par seconde via le protocole HTTPS, le précédent record enregistré par Cloudflare en juin est pulvérisé.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-4077
[2] CXA-2022-4078
[3] CXA-2022-4080
[4] CXA-2022-4081
[5] CXA-2022-4086
[6] CXA-2022-4087
[7] CXA-2022-4051
[8] CXA-2022-4034
[9] CXA-2022-4035
[10] CXA-2022-4076
[11] CXA-2022-4039
[12] CXN-2022-4055
[13] CXN-2022-4017
[14] CXN-2022-4032
[15] CXN-2022-4040
[16] CXN-2022-4036
[17] CXN-2022-4012


Clément Bertaux