Résumé de la semaine 38 (du 17 au 23 septembre)

Résumé de la semaine 38 (du 17 au 23 septembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par ISC pour BIND [1] [2] [3] [4] [5] [6], par Apache pour Kafka [7], par Jenkins [8], par Mozilla pour Firefox [9] et Thunderbird [10] ainsi que par Grafana [11a] [11b].

Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, un bulletin portant sur des codes d’exploitation a été publié par le CERT-XMCO.

Prise de contrôle du système via une vulnérabilité au sein de Bitbucket Server et Data Center [12]

Ce code d’exploitation impacte Bitbucket Server et Data Center. Il se présente sous la forme d’un module en Ruby pour le framework offensif MetaSploit et permet à un attaquant disposant d’un compte valide d’obtenir un shell interactif sur le serveur. Un correctif est disponible.

 

Informations

Phishing

Une campagne de phishing utiliserait les infrastructures de Pôle Emploi afin de cibler des entreprises françaises [13]

L’entreprise Vade a identifié une campagne de phishing ciblant des entreprises françaises à la recherche de candidats. Cette campagne d’attaque est particulièrement efficace en ce que l’email de phishing est transmis à l’entreprise via le serveur email de Pôle Emploi avec une IP légitime.

Piratage

Publication de nouveaux détails sur la compromission d’Uber [14a] [14b]

Uber confirme l’accès aux rapports de vulnérabilité par l’attaquant. L’entreprise a confirmé que l’intrusion a permis d’accéder aux rapports de vulnérabilité de HackerOne, ajoutant cependant que « tous les bugs issus des rapports auxquels l’attaquant a pu accéder ont été corrigés ». Uber précise ne pas avoir encore découvert de preuve que l’attaquant a accédé à sa base de code et y a injecté du code malveillant.

Les données de plus de 50 000 utilisateurs de Revolut compromises suite à une cyberattaque [15]

L’entreprise Revolut a confirmé avoir subi dans la nuit du dimanche 18/09/2022 une cyberattaque permettant à un tiers non autorisé d’accéder aux informations personnelles de dizaines de milliers de clients. En tout, 50 150 clients, tous prévenus par Revolut, auraient été impactés.

Ransomware

Un outil de déchiffrement pour le ransomware LockerGoga a été publié [16a] [16b]

En octobre 2021, des arrestations conduites par la police de Zürich se sont accompagnées d’une enquête qui a permis de découvrir l’existence « de nombreuses clés privées liées à des attaques par LockerGoga ». Ces clés ont aidé certaines victimes à récupérer leurs données chiffrées par le ransomware LockerGoga ainsi que par un autre ransomware, MegaCortex.

Emotet serait désormais utilisé afin de déployer les ransomwares ALPHV et Quantum [17a] [17b]

Selon les chercheurs d’Advintel, le botnet Emotet (aussi connu sous le nom de SpmTools) serait désormais utilisé afin de déployer les ransomwares ALPHV/BlackCat et Quantum.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-4526
[2] CXA-2022-4528
[3] CXA-2022-4535
[4] CXA-2022-4525
[5] CXA-2022-4509
[6] CXA-2022-4507
[7] CXA-2022-4483
[8] CXA-2022-4529
[9] CXA-2022-4527
[10] CXA-2022-4510
[11] CXA-2022-4533
[12] CXA-2022-4534
[13] CXN-2022-4458
[14] CXN-2022-4479
[15] CXN-2022-4522
[16] CXN-2022-4487
[17] CXN-2022-4523


Arthur Gautier

Analyste CERT