Résumé de la semaine 36 (du 4 au 10 septembre)

Résumé de la semaine 36 (du 4 au 10 septembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour WordPress [1], FortiWeb [2] et Microsoft Edge [3].
Ces correctifs adressent des dommages allant de la divulgation d’informations sensibles à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, aucun code d’exploitation n’a été publié par le CERT-XMCO.

Informations

Vulnérabilité

La vulnérabilité permettant l’injection de commandes sur Confluence est activement exploitée sur Internet [4]

L’U.S. Cyber Command a mis en garde le public au sujet d’une vulnérabilité de Confluence le 3 septembre 2021. Ce logiciel extrêmement utilisé par des organisations majeures aussi diverses que la NASA, LinkedIn ou Audi, permet notamment la gestion de projets pour des équipes au sein d’un espace collaboratif. Un correctif de la faille a déjà été publié par Atlassian. En exploitant celle-ci, un attaquant peut provoquer une exécution de code arbitraire et la compromission du serveur sur lequel est exécutée l’application.

Prise de contrôle du système via une vulnérabilité au sein du composant MSHTML de Microsoft Windows [5a][5b]

Une vulnérabilité a été découverte au sein du composant MSHTML de Microsoft Windows. Son exploitation permet à un attaquant de prendre le contrôle du système.
D’après Microsoft, cette vulnérabilité est actuellement activement exploitée sur Internet.

Fuite d’informations

Les identifiants de connexion de 22,498 VPN Fortinet ont été publiés sur Internet [6]

Mardi 7 septembre 2021 à 19h09, l’opérateur de ransomware Groove a publié une archive contenant les identifiants de connexion et les adresses IP de 22,498 VPN Fortinet. Cette archive nommée ze.gz contient 498,908 identifiants pouvant être utilisés par des attaquants afin d’accéder à l’infrastructure de nombreuses entreprises.

RGPD

La CNIL irlandaise condamne WhatsApp à 255 millions d’euros d’amende [7a][7b][7c]

Le 2 septembre dernier, la CNIL irlandaise appelée Data Protection Commission (DPC), a condamné WhatsApp à 225 millions d’euros d’amende pour manquement au RGPD. L’origine du litige concernait l’article 13 du RGPD, sur les « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée ».

Recherche

Un ensemble de 16 vulnérabilités nommé BrackTooth a été publié par un groupe de chercheurs [8a][8b]

Le protocole Bluetooth Classic (BT) a été analysé par un groupe composé de chercheurs de l’université de Singapour ainsi que de l’institut I2R. Ces chercheurs ont ainsi trouvé 16 vulnérabilités ayant un impact allant du déni de service à la prise de contrôle du système.

Juridique

ProtonMail a fourni l’adresse IP d’un militant pour le climat à la Justice française [9a][9b]

D’après une capture d’écran montrant un extrait de procès-verbal, la société ProtonMail a permis à la Police française d’obtenir l’adresse IP associée à une adresse email. Pourtant, la documentation du fournisseur mentionnait explicitement ne pas enregistrer l’adresse IP des utilisateurs par défaut.

Cybercriminalité

Un développeur soupçonné d’avoir travaillé pour les opérateurs du malware TrickBot a été arrêté en Corée du Sud [10a][10b]

Un homme de nationalité russe identifié sous le nom de Monsieur A. a été interpellé à l’aéroport de Séoul puis interrogé par les autorités locales. Son arrestation fait suite à une demande d’extradition émise par les États-Unis. Monsieur A. est soupçonné d’avoir travaillé comme développeur web pour les opérateurs de TrickBot en 2016, alors qu’il habitait en Russie.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-4189
[2] CXA-2021-4157
[3] CXA-2021-4143
[4] CXN-2021-4137
[5] CXA-2021-4173
[6] CXN-2021-4191
[7] CXN-2021-4187
[8] CXN-2021-4145
[9] CXN-2021-4144
[10] CXN-2021-4172


Théophile

Analyste CERT-XMCO