Résumé de la semaine 39 (du 25 septembre au 1er octobre)

Résumé de la semaine 39 (du 25 septembre au 1er octobre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Exim [1], par Apple pour macOS [2], par Google pour Google Chrome [3] [4] et pour OpenSSH [5a] [5b].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.

Manipulation de données via une vulnérabilité au sein de routeurs Cisco Small Business [6]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En recevant en entrée l’IP de la machine cible ainsi que l’IP à injecter, ce programme va créer un paquet spécifiquement conçu et l’envoyer à la machine vulnérable afin que l’IP précisée en paramètre soit injectée dans sa table de routage.

Prise de contrôle du système via une vulnérabilité au sein de VMware vCenter [7]

Ce code d’exploitation se présente sous la forme d’une requête HTTP. En requêtant une route spécifique et en passant dans l’en-tête Content-Type une charge malveillante, un attaquant peut exécuter du code arbitraire sur le système sous-jacent.

Informations

Vulnérabilité

Une vulnérabilité permettant d’exécuter du code arbitraire impactant de nombreux routeurs Netgear a été identifiée [8a] [8b] [8c] [8d]

Une vulnérabilité référencée CVE-2021-40847 a été identifiée par un chercheur de l’entreprise GRIMM. Cette vulnérabilité impacte de nombreux routeurs Netgear de la branche SOHO (Small Office / Home Office) et permet d’exécuter du code arbitraire avec les privilèges root à condition d’être en position d’interception sur le réseau.

Malware

FoggyWeb, le nouveau malware permettant un accès persistant au serveur ADFS et utilisé par Nobelium [9]

Un nouveau malware nommé FoggyWeb et utilisé par le groupe d’attaquants Nobelium a été identifié par les équipes de Microsoft. Celui-ci serait utilisé depuis avril 2021. Il permettrait aux attaquants de télécharger des composants spécifiquement conçus sur le système et d’extraire des informations sensibles tout en ayant un accès persistant au système.

Recherche

Un chercheur divulgue trois vulnérabilités 0-days sur iOS 15.0 [10]

Plusieurs jours après la sortie d’iOS 15.0, le chercheur illusionofchaos a révélé que sur les quatre vulnérabilités signalées entre le 10 mars et le 4 mai 2021, une seule avait été corrigée dans iOS 14.7 et les trois autres étaient toujours présentes dans iOS 15.0. Tout cela, sans qu’Apple ne l’ait indiqué dans les notes de publication de sécurité. Face au manque de réaction de l’entreprise à la suite de ses découvertes, illusionofchaos a partagé les détails des trois vulnérabilités toujours existantes.

IoT

Une vulnérabilité 0day concernerait 100 millions d’objets connectés et 10 000 entreprises [11a] [11b] [11c] [11d] [11e]

Selon des chercheurs de Guardara, une vulnérabilité a été trouvée sur la plateforme NanoMQ de l’entreprise EMQ. Cette dernière sert à surveiller l’activité des objets connectés (IoT). Le problème viendrait d’une mauvaise configuration de la mémoire tampon (CWE-119) utilisant le protocole de communication standard de l’IoT appelé MQTT (Message Queuing Telemetry Transport).

Piratage

Les téléphones de 5 ministres français présentent des traces liées au logiciel espion Pegasus [12]

Suite aux révélations du Projet Pegasus (cf. CXN-2021-3350), les analyses menées par l’ANSSI sur les téléphones de cibles politiques françaises livrent leurs premiers résultats. Selon Mediapart, qui a eu accès aux documents confidentiels du service étatique, les téléphones de cinq ministres comporteraient des « marqueurs suspects ». Cette expression regroupe à la fois les traces d’infection réussies et les traces de repérage préalables à une infection.

Ransomware

Conti renforce ses capacités de destruction de sauvegardes [13a] [13b]

Suite à la généralisation des attaques par ransomware, les sauvegardes systématiques et régulièrement testées des victimes sont parvenues à constituer un frein majeur aux opérations des acteurs malveillants. Ces derniers y ont d’abord répondu en développant la technique de double extorsion qui consiste à exfiltrer les données des systèmes avant de les chiffrer puis de menacer de les publier. Les chercheurs d’AdvIntel ont publié le 30 septembre une analyse sur les techniques du groupe Conti qui s’est spécialisé dans la destruction des sauvegardes de ses victimes.

Publication

La NSA et la CISA ont publié un guide pour la mise en place d’un serveur VPN sécurisé [14a] [14b]

La NSA (National Security Agency) et la CISA (Cybersecurity and Infrastructure Security Agency) ont récemment publié un guide sur le choix et la mise en place d’une solution de VPN sécurisée. Le document a été rédigé en réponse à de précédentes campagnes d’attaques contre des serveurs VPN menés par des APT.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-4529
[2] CXA-2021-4505
[3] CXA-2021-4500
[4] CXA-2021-4558
[5] CXA-2021-4499
[6] CXA-2021-4515
[7] CXA-2021-4538
[8] CXN-2021-4537
[9] CXN-2021-4521
[10] CXN-2021-4512
[11] CXN-2021-4502
[12] CXN-2021-4493
[13] CXN-2021-4551
[14] CXN-2021-4536


Marc Lambertz

Analyste CERT-XMCO