Résumé de la semaine 34 (du 21 au 27 août)

Résumé de la semaine 34 (du 21 au 27 août)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Atlassian pour Confluence [1a][1b], par OpenBSD pour OpenSSL [2], par Microsoft pour Edge [3a][3b][3c][3d][3e][3f], par Cisco [4] et par F5 [5] pour leurs produits.
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, aucun code d’exploitation n’a été publié.

Informations

Vulnérabilité

La collection de vulnérabilités ProxyShell est activement exploitée par différents acteurs malveillants [6]

Une collection de vulnérabilités nommée ProxyShell a été découverte durant le mois d’août 2021. Son exploitation permet à un attaquant d’exécuter du code à distance sur un serveur Microsoft Exchange.
Deux jours après la publication d’une preuve de concept, l’ISC SANS a effectué un scan d’internet qui a mis en lumière que plus de 30 400 serveurs Exchange (sur un total de 100 000) étaient encore vulnérables à ProxyShell malgré la publication de correctifs par Microsoft.

Un bug dans Razer Synapse permet d’obtenir des privilèges d’administration sur Windows 10 et 11 [7a][7b]

Un utilisateur de Twitter (@j0nh4t) a récemment publié une vidéo montrant l’abus d’une mauvaise configuration dans Razer Synapse permettant d’élever ses privilèges sur Windows 10 et 11.

IoT

Des attaquants ont tenté d’exploiter une vulnérabilité sur des objets connectés concernant au moins 65 fabricants [8]

Une série de quatre vulnérabilités (CVE-2021-35392, CVE-2021-35393, CVE-2021-35394 et CVE-2021-35395) a été découverte sur le modèle de composant RTL819xD de la marque taiwanaise Realtek. Cette puce électronique est intégrée dans une large variété d’objets connectés.
Un scan Shodan a permis de révéler qu’au moins 65 fabricants d’objets électroniques sont impactés. Pas loin de 200 modèles d’objet ont été identifiés.

Publication

Une filiale du groupe Nokia a communiqué sur l’attaque de Conti l’ayant impacté [9]

La filiale SAC Wireless du groupe Nokia est chargée de la conception, la construction et la mise à niveau des réseaux cellulaires (notamment 4G LTE et 5G).
Celle-ci a découvert l’intrusion de l’opérateur Conti le 16 juin suite au chiffrement complet de son infrastructure.

Fuite d’informations

Les pirates du groupe ShinyHunters prétendent avoir dérobé les informations de 70 millions de clients AT&T [10a][10b]

Des pirates se réclamant du groupe ShinyHunters ont récemment annoncé sur un forum du dark web la mise en vente d’une base de données contenant des informations personnelles de plus de 70 millions de clients américains du géant des télécommunications AT&T.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-3980
[2] CXA-2021-3918
[3] CXA-2021-3879
[4] CXA-2021-3961
[5] K50974556
[6] CXN-2021-3899
[7] CXN-2021-3925
[8] CXN-2021-3975
[9] CXN-2021-3902
[10] CXN-2021-3977


Noé Zalic

Analyste CERT-XMCO