Résumé de la semaine 39 (du 24 au 30 septembre)

Résumé de la semaine 39 (du 24 au 30 septembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Drupal [1a][1b], par Microsoft pour son navigateur Edge [2], par Google pour son navigateur Chrome [3], par Sophos [4] et par Apache pour Tomcat [5].
Ces correctifs remédient à des dommages allant de la divulgation d’information à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, aucun code d’exploitation n’a été publié.

Informations

Vulnérabilité

Deux nouvelles vulnérabilités Exchange similaires à ProxyShell sont exploitées activement [6a] [6b] [6c] [6d] [6e]

Le jeudi 29 septembre 2022, la société vietnamienne GTSC a publié un bulletin révélant l’exploitation active d’une chaine de vulnérabilités impactant Microsoft Exchange et ne disposant pas de correctif de sécurité.

Cette chaîne de vulnérabilités, découverte dans le cadre de leurs activités de SOC et de réponse à incidents, présente de nombreuses similarités avec les vulnérabilités nommées ProxyShell. Cette campagne d’exploitation est attribuée à un groupe sinophone malveillant, notamment du fait de l’encodage du webshell et l’utilisation d’outils open source d’origine chinoise.

Deux vulnérabilités de type RCE ont été découvertes sur l’application mobile WhatsApp [7]

WhatsApp a publié une annonce de mise à jour de sécurité pour ses applications mobiles. Cette dernière indique que deux vulnérabilités permettant à un attaquant d’exécuter du code arbitraire à distance ont été découvertes.

Observation de tentatives d’exploitation de la vulnérabilité CVE-2022-36804 Atlassian Bitbucket [8]

Les chercheurs de ShadowServer ont publié le 29/09/2022 un tweet indiquant que leurs honeypots ont détecté de premières tentatives d’exploitation de la vulnérabilité référencée CVE-2022-36804 qui affecte les serveurs Atlassian Bitbucket. Cette publication fait suite à la publication de codes d’exploitation compatibles avec le framework d’attaque MetaSploit.

Phishing

Une campagne de phishing usurpant CircleCI ciblerait des utilisateurs Github [9]

Le 16 septembre, les équipes de Github ont identifié une campagne de phishing usurpant la plateforme CircleCI et visant à obtenir les accès à des comptes Github. Les équipes de Github affirment avoir identifié l’ensemble des comptes ayant été compromis et avoir alors procédé à la réinitialisation des mots de passe associés.

Le groupe nord-coréen Lazarus mènerait une nouvelle campagne de spear phishing sur la plateforme Crypto.org [10a] [10b]

L’APT (Advanced Persistent Threat) Lazarus diffuserait un nouveau variant de son malware ciblant les individus intéressés par des opportunités professionnelles dans le secteur de la cryptomonnaie pour mener des opérations d’espionnage et de vol de cryptomonnaies. L’APT nord-coréenne ciblerait les échanges de cryptomonnaie depuis 2018. Cette campagne s’inscrit dans la continuité d’une première opération de spear phishing baptisée In(ter)ception qui ciblait des individus inscrits sur la plateforme Coinbase. Ce nouveau variant ciblerait les machines utilisant le système d’exploitation macOS.

Cybercriminalité

La police londonienne aurait arrêté un homme de 17 ans, à la suite des cyberattaques affectant Uber et Rockstar [11]

Le 23 septembre, la police londonienne a annoncé avoir arrêté un jeune britannique de 17 ans, suspecté d’avoir participé aux cyberattaques ciblant Uber et Rockstar Games. Très peu d’informations ont été partagées par les autorités au sujet de l’enquête. Néanmoins, certains chercheurs pensent que le suspect pourrait appartenir au groupe Lapsus$.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-4666
[2] CXA-2022-4656
[3] CXA-2022-4643
[4] CXA-2022-4583
[5] CXA-2022-4665
[6a] CXN-2022-4691
[6b] CXA-2022-4705
[7] CXN-2022-4609
[8] CXN-2022-4602
[9] CXN-2022-4581
[10] CXN-2022-4654
[11] CXN-2022-4652


Estelle Dupuy

Analyste CERT