Résumé de la semaine 38 (du 18 au 24 septembre)

Résumé de la semaine 38 (du 18 au 24 septembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Cisco pour Cisco IOS XE [1a] [1b] [1c] [1d], par Google pour son navigateur Google Chrome [2], par Samba [3], par Moodle [4a] [4b] [4c] [4d] [4e], par Apache pour son serveur Web [5] et par VMWare pour vCenter [6].

Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système

 

Codes d’exploitation

Cette semaine, un bulletin portant sur des codes d’exploitation a été publié par le CERT-XMCO. Il dispose d’un correctif.

Divulgation d’informations via une vulnérabilité au sein de WordPress [7]

Ce code d’exploitation se présente sous la forme d’un script écrit en Bash. En ciblant un serveur WordPress vulnérable avec le script, un attaquant authentifié est en mesure de lire des fichiers arbitraires sur le système.

 

Informations

Entreprise

Une étude met en évidence les risques liés à l’externalisation des infrastructure IT [8]

Une étude menée par la société Cyberpion a récemment mis en lumière les risques liés à l’externalisation des infrastructures IT. Cette pratique, notamment liée au développement du cloud, est largement adoptée, et l’étude chiffre à 73% la proportion d’infrastructure IT externe pour les sociétés du Fortune 500. Les systèmes exposés incluent notamment les serveurs, le stockage dans le cloud, les CDNs (Content Distribution Networks), les serveurs DNS et les serveurs mails. Parmi ces systèmes, un quart aurait échoué sur au moins un test de sécurité.

L’expiration prochaine d’un des certificats racines de Let’s Encrypt va empêcher un nombre conséquent d’appareils d’accéder à certains services en ligne [9a] [9b]

Le certificat racine IdentTrust DST Root CA X3 de l’autorité de certification Let’s Encrypt va expirer le 30 septembre 2021. Cet événement provoquera des problèmes de communication au sein de nombreux appareils fonctionnant à partir de systèmes d’exploitation anciens et non maintenus.

Ransomware

Des opérateurs de ransomware ont utilisé une faille zero-day MSHTML pour mener leurs attaques [10a] [10b] [10c] [10d]

La CVE-2021-40444, rendue publique le 07/09 par Microsoft, est une vulnérabilité liée au moteur de navigation MSHTML intégré à Office, qui permet à un attaquant d’exécuter du code arbitraire. D’après Microsoft, les premières attaques observées ont exploité la CVE-2021-40444 pour déployer Cobalt Strike. L’infrastructure Cobalt Strike utilisée pour réaliser ces attaques serait liée à Wizard Spider, l’opérateur des ransomware Conti et Ryuk.

Publication

La CNIL publiera le 6 octobre son nouveau Livre blanc sur les données et moyens de paiement [11]

La Commission nationale de l’informatique et des libertés (CNIL) publiera le 6 octobre son nouveau Livre blanc « Quand la confiance paie : les moyens de paiement d’aujourd’hui et de demain au défi de la protection des données ». Ce sera l’occasion pour la CNIL de clarifier ses positions sur les principaux enjeux économiques, juridiques et sociétaux liés aux données des nouvelles tendances des moyens de paiement (paiement sans contact, monnaies numériques, etc.).

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-4440
[2] CXA-2021-4417
[3] CXA-2021-4396
[4] CXA-2021-4387
[5] CXA-2021-4381
[6] CXA-2021-4418
[7] CXA-2021-4386
[8] CXN-2021-4398
[9] CXN-2021-4455
[10] CXN-2021-4400
[11] CXN-2021-4428


Arthur Gautier

Analyste CERT