Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Moodle [1a] [1b] [1c] [2], par PrestaShop [3], pour PolKit [4a] [4b] [4c], par Apache pour Tomcat [5a] [5b] [5c] [5d] et par VMware pour vCenter Server [6].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 3 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.

Prise de contrôle du système via une vulnérabilité impactant Log4j au sein d’UniFi Network Application [7]

Ce code d’exploitation est un module Metasploit écrit en Ruby qui permet à un attaquant distant d’exécuter des commandes arbitraires sur le serveur grâce à l’exploitation de la vulnérabilité Log4Shell.

Déni de service via une vulnérabilité au sein d’imprimantes Xerox [8]

Ce code d’exploitation se présente sous la forme d’un fichier TIFF spécifiquement conçu et encodé en base 64. En envoyant ce fichier à une imprimante, un attaquant est alors en mesure de provoquer l’arrêt de celle-ci ainsi que son redémarrage en boucle.

Divulgation d’informations sensibles via une vulnérabilité impactant WebLogic Server au sein d’Oracle Fusion Middleware [9]

Ce code d’exploitation tire parti de la vulnérabilité référencée CVE-2022-21371 et se présente sous la forme de 4 requêtes HTTP. En envoyant ces requêtes, un attaquant est alors en mesure d’accéder à des fichiers sensibles.

Informations

Attaque

Plusieurs portes dérobées découvertes dans des extensions WordPress populaires [10a] [10b] [10c] [10d] [10e]

Dans un contexte marqué par les attaques contre les chaînes d’approvisionnement, deux vulnérabilités récemment révélées affecteraient des extensions WordPress. La première vulnérabilité a permis de compromettre 40 thèmes et 53 extensions de l’entreprise AccessPress Themes. La seconde consistait en une XSS affectant l’extension WordPress Email Template Designer – WP HTML Mail. Celle-ci impactait, quant à elle, 20 000 sites.

Ransomware

Une nouvelle famille de ransomware intitulée White Rabbit aurait été identifiée par Trend Micro [11a] [11b] [11c]

Les chercheurs de Trend Micro ont identifié un nouveau ransomware nommé White Rabbit apparu aux États-Unis en décembre 2021.

International

Des hacktivistes biélorusses ont lancé la première attaque ransomware à des fins politiques [12]

Lundi 24 janvier 2022, un groupe d’attaquants biélorusses à motivation politique, connu sous le nom de Belarusian Cyber Partisans, a annoncé sur Twitter et Telegram avoir pénétré dans les systèmes informatiques de la compagnie de chemins de fer biélorusses Belarusian Railway. Les attaquants ont affirmé avoir déployé un ransomware, pour lequel ils ne fourniraient la clé de déchiffrement que si le gouvernement biélorusse répondait à une liste de demandes (libérations de prisonniers, etc.).

Recherche

Des chercheurs détournent VirusTotal pour obtenir plus d’un million d’informations d’identification volées [13a] [13b]

Des chercheurs de SafeBreach ont découvert que VirusTotal, le célèbre service en ligne d’analyse de fichiers, d’URL et d’adresses IP, peut être utilisé pour collecter des informations d’identification volées par des logiciels malveillants.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.

Références portail XMCO

[1] CXA-2022-0412
[2] CXA-2022-0400
[3] CXA-2022-0462
[4] CXN-2022-0446
[5] CXA-2022-0483
[6] CXA-2022-0486
[7] CXA-2022-0447
[8] CXA-2022-0421
[9] CXA-2022-0479
[10] CXN-2022-0419
[11] CXN-2022-0398
[12] CXN-2022-0461
[13] CXN-2022-0440