Résumé de la semaine 40 (du 2 octobre au 8 octobre)

Résumé de la semaine 40 (du 2 octobre au 8 octobre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Apache pour HTTPd Server [1], par Grafana [2], par Mozilla pour Firefox [3], par Google pour Android [4] et pour Google Chrome [5], et par Gitlab [6] .
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.

Divulgation d’informations via une vulnérabilité affectant les serveurs Apache HTTPd [7][8]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Bash et permet à un attaquant de lire des fichiers arbitraires et d’exécuter du code arbitraire sur le serveur.

Divulgation d’informations via une vulnérabilité au sein d’Atlassian Confluence Server (CONFSERVER-67893) [9]

Ce code d’exploitation permet à un attaquant de lire les fichiers présents par défaut sur une instance Confluence via l’envoi de 4 requêtes HTTP spécifiquement conçues.

 

Informations

Vulnérabilité

Publication d’un nouveau correctif pour une faille Zero-day activement exploitée impactant les serveurs Apache [10]

Ce lundi 4 octobre, la Apache Software Foundation a publié la version 2.4.50 de son serveur web HTTPd Server pour remédier à une vulnérabilité activement exploitée référencée CVE-2021-41773. Cependant, le correctif publié dans la version 2.4.50 s’est avéré incomplet, car un attaquant distant et non authentifié était toujours en mesure d’accéder aux contenus des serveurs vulnérables et d’exécuter du code arbitraire. Cette découverte a donné lieu à la publication de la version 2.4.51 par Apache.

International

Comment Facebook a disparu de la surface d’internet pendant 6 heures ? [11a][11b][11c]

Après que Facebook ait disparu du réseau internet pendant plus de 5 heures, des ingénieurs de Cloudflare expliquent comment cela a pu arriver.
Le premier élément de réponse provient du protocole BGP (Border Gateway Protocol). En effet, un dysfonctionnement au sein du protocole laissait sans réponse les requêtes des utilisateurs.
Le second élément est le facteur humain. Face à l’impossibilité pour les applications de se connecter aux sites de Facebook, WhatsApp, Instagram et Messenger, les utilisateurs ont réessayé de se connecter en rafraîchissant les pages internet saturant davantage le trafic.

Ransomware

Un ransomware s’attaque aux ESXi de VMware via un script Python [12a][12b]

Une récente investigation de Sophos publiée le 5 octobre a présenté la découverte d’une attaque par ransomware ciblant un hyperviseur VMware ESXi. Ce dernier se connecte en SSH aux hyperviseurs via le service SSH ESXi Shell avant d’éteindre puis de chiffrer ces derniers à l’aide d’un script en Python.

La nouvelle stratégie d’intimidation par le groupe Conti en cas de révélation des éléments de négociation [13a][13b][13c][13d]

Il arrive que certains employés, d’une entreprise touchée par un rançongiciel, téléversent le message laissé par l’attaquant sur un site d’analyse tel que VirusTotal. Ce faisant, des chercheurs en sécurité et/ou des journalistes peuvent accéder au mémo voire au chat des négociations et ensuite les partager sur les réseaux sociaux. Face à ce phénomène, le groupe Conti a récemment annoncé ne plus tolérer que les discussions avec les victimes soient partagées à des tiers. De ce fait, le groupe annonce avoir mis fin à toute négociation en cours et avoir publié les données de l’entreprise et avertit qu’en cas de fuite une fois la rançon payée, il publiera les données d’une autre victime en guise de représailles.

Entreprise

Des milliers de clients Coinbase volés à cause d’un défaut de MFA par SMS [14a][14b]

La plateforme d’échanges de cryptomonnaies Coinbase a révélé qu’un acteur malveillant a volé les portefeuilles de plus de 6000 de ses clients entre mars et mai 2021. Elle précise que, pour réaliser son attaque, l’acteur malveillant devait connaître leurs adresses email, mots de passe Coinbase, numéros de téléphone, mais également disposer d’un accès à leurs boites email. Cependant, même avec toutes ces informations, l’attaquant n’aurait pas été en mesure d’accéder aux comptes grâce à la couche de sécurité supplémentaire apportée par l’authentification multifacteurs, ou MFA. Seulement, la plateforme a indiqué que le processus de récupération de comptes par SMS était victime d’une vulnérabilité permettant à l’attaquant de recevoir le jeton d’authentification final.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-4663
[2] CXA-2021-4613
[3] CXA-2021-4615
[4] CXA-2021-4587
[5] CXA-2021-4662
[6] CXA-2021-4573
[7] CXA-2021-4630
[8] CXA-2021-4668
[9] CXA-2021-4629
[10] CXN-2021-4671
[11] CXN-2021-4594
[12] CXN-2021-4642
[13] CXN-2021-4578
[14] CXN-2021-4591


Estelle Dupuy

Analyste CERT