Résumé de la semaine 4 (du 23 au 29 janvier)

Résumé de la semaine 4 (du 23 au 29 janvier)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Xen [1], par Mozilla pour Thunderbird [2], Firefox ESR [3] et Firefox [4], par Apple pour ses systèmes iOS et iPadOS [5], par Gitlab [6a] [6b]ainsi que pour Moodle [7a] [7b] [7c] [8] [9].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Un code d’exploitation a été publié cette semaine. Un correctif est disponible.

Prise de contrôle du système via une vulnérabilité au sein d’Oracle WebLogic Server [7]

Ce code d’exploitation se présente sous la forme d’un script écrit en Python. Un attaquant disposant d’identifiants valides exécutant ce script va déployer un serveur LDAP en écoute. Ce serveur sera utilisé afin de contourner le mécanisme d’authentification du serveur WebLogic et d’y exécuter une commande arbitraire fournie en paramètre.

 

Informations

Cybercriminalité

Le botnet Emotet a été démantelé [11a][11b]

Une opération internationale coordonnée par Europol et Eurojust a abouti au démantèlement du botnet Emotet.
Le malware éponyme était distribué au moyen de documents Word malveillants, envoyés dans le cadre de campagnes de phishing.

Après Emotet, les ransomwares NetWalker et Egregor sous pression [12a][12b]

Le 27 janvier, les autorités bulgares ont saisi un serveur appartenant au groupe NetWalker. En parallèle de cette opération, les sites utilisés par Egregor ont vu leur accès impossible.

Attaque

Mimecast, Palo Alto Network, Qualys et Fidelis confirment avoir été victimes de l’attaque contre Solarwinds [13]

Cette semaine, quatre nouvelles sociétés de cybersécurité ont annoncé avoir été touchées par l’attaque contre la solution Orion de Solarwinds.

Des attaquants nord-coréens mènent une campagne d’attaque sur les réseaux sociaux ciblant des chercheurs en sécurité [14]

Le blog de Google sur l’analyse des groupes d’attaquants (TAG - Threat Analysis Group) a publié aujourd’hui des informations sur une nouvelle campagne d’attaque. L’une des spécificités de cette dernière est qu’elle cible des chercheurs en sécurité travaillant sur l’identification de nouvelles vulnérabilités. Google a attribué la provenance de ces attaques à une entité gouvernementale nord-coréenne.

SonicWall victime d’une «attaque coordonnée» tirant parti d’une vulnérabilité zero-day dans les produits de la gamme SMA-100 [15a] [15b]

Dans une annonce récente publiée sur son site, l’entreprise SonicWall (qui propose des solutions de sécurité) a annoncé être victime d’une attaque coordonnée. Les attaquants auraient tiré parti d’une vulnérabilité zero-day dans une gamme de leur produit : les équipements SMA-100 (Secure Mobile Access).

La société Malwarebytes victime du groupe à l’origine de l’attaque contre SolarWinds [16a] [16b][16c]

Plusieurs intrusions ont été constatées dans les boîtes mail de l’entreprise. La découverte a été faite après que Microsoft ait notifié à Malwarebytes une activité suspecte provenant d’une application de protection du courrier électronique au sein d’Office 365.

Vulnérabilité

Une vulnérabilité triviale dans sudo existait depuis plus de 10 ans [17]

Ce 26 janvier, les chercheurs de Qualys ont publié un article détaillant leurs recherches sur l’utilitaire sudo. Ce dernier permet aux utilisateurs d’exécuter des commandes spécifiques avec les privilèges d’autres utilisateurs. L’utilitaire est couramment inclus dans les distributions Unix et Linux.

Une chercheuse du Google Project Zero met en garde contre des vulnérabilités au sein d’applications de messagerie qui permettaient d’espionner les utilisateurs [18]

Natalie Silvanovich, une chercheuse du Google Project Zero a publié un article résumant les découvertes d’un an de recherche sur les applications de messageries.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-0442
[2] CXA-2021-0430
[3] CXA-2021-0429
[4] CXA-2021-0426
[5] CXA-2021-0422
[6] CXA-2021-0408
[7] CXA-2021-0403
[8] CXA-2021-0394
[9] CXA-2021-0398
[7] CXA-2021-0379
[11] CXN-2021-0431
[12] CXN-2021-0464
[13] CXN-2021-0428
[14] CXN-2021-0409
[15] CXN-2021-0404
[16] CXN-2021-0405
[17] CXN-2021-0417
[18] CXN-2021-0392


Aurélien Denis

Analyste CERT-XMCO