Résumé de la semaine 41 (du 8 au 14 octobre)

Résumé de la semaine 41 (du 8 au 14 octobre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre du Patch Tuesday [1], par Fortinet pour FortiOS [2a] [2b] [2c] [2d] [2e] [2f] [2g] et FortiTester [3a] [3b] [3c], par Apple pour iOS [4], par Google pour Google Chrome [5], par Zimbra pour Zimbra Collaboration [6] [7], par Adobe pour Acrobat [8], pour SAP [9], pour OpenSSL [10] et par Citrix pour Citrix HyperVisor [11] [12].

Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 2 bulletins portant sur des codes d’exploitation ont été publiés par le CERT-XMCO. Ils disposent d’un correctif.

Prise de contrôle du système via une vulnérabilité au sein de GLPI [13a] [13b] [13c]

Ce code d’exploitation est un script en Python. En indiquant l’adresse d’un serveur vulnérable, un attaquant peut utiliser ce script afin d’exécuter des commandes PHP arbitraires sur le système.

Contournement de sécurité via une vulnérabilité au sein de FortiOS, FortiProxy et FortiSwitchManager [14a] [14b]

Ce code d’exploitation est un script en Python. En envoyant une requête HTTP(S) spécifiquement conçue à une instance vulnérable, un attaquant peut ajouter une clé SSH au compte administrateur afin de pouvoir s’y connecter.
 

Informations

Vulnérabilités

Des attaquants exploitent activement la RCE affectant la suite Zimbra [15a] [15b]

Les équipes de Rapid7 ont observé de nombreuses tentatives d’exploitation de la vulnérabilité référencée CVE-2022-41352 affectant la suite collaborative Zimbra.

Cryptomonnaies

566 millions de dollars dérobés à la plateforme Binance Bridge [16]

Dans une déclaration postée sur Twitter et sur son site internet, la société Binance a confirmé avoir été victime d’une attaque permettant aux attaquants de dérober 2 millions de Binance Coins (BNB), soit un total de 566 millions de dollars.

Malware

Facebook poursuit 3 entreprises chinoises qui distribuent de fausses applications WhatsApp de vol de données [17a] [17b]

La multinationale Meta (propriétaire de WhatsApp) poursuit en justice les entreprises de messagerie chinoises HeyMods, Highlight Mobi et HeyWhatsApp. Celles-ci sont accusées d’avoir développé des répliques illégitimes de WhatsApp pour mener des activités malveillantes depuis au moins mai 2022. En tout, plus d’un million de victimes seraient touchées.

International

La compétition stratégique entre Chine et États-Unis illustrée par deux listes : les vulnérabilités les plus exploitées par la Chine et les entreprises chinoises liées à l’APL [18a] [18b] [18c]

Le 6 octobre dernier, trois agences américaines (CISA, FBI et la NSA) ont publié la liste des 20 vulnérabilités les plus exploitées par les acteurs étatiques chinois. En parallèle, le Département américain de la Défense (DoD) a lui aussi publié une liste, présentant les entreprises chinoises qui entretiennent des liens avec l’Armée Populaire de Libération (APL). La liste mentionne des entreprises comme China Unicom, China Mobile, Huawei, Hikvision, et SMIC.

Phishing

Découverte d’une plateforme de Phishing-as-a-Service baptisée Caffeine [19]

Les analystes de Mandiant ont identifié la plateforme de Phishing-as-a-Service Caffeine accessible à tous les détenteurs d’une adresse mail. Trois niveaux d’offres sont disponibles pour Caffeine en fonction des fonctionnalités choisies par les cybercriminels.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2022-4911
[2] CXA-2022-4851
[3] CXA-2022-4877
[4] CXA-2022-4866
[5] CXA-2022-4912
[6] CXA-2022-4913
[7] CXA-2022-4917
[8] CXA-2022-4915
[9] CXA-2022-4921
[10] CXA-2022-4932
[11] CXA-2022-4919
[12] CXA-2022-4927
[13] CXA-2022-4856
[14] CXA-2022-4984
[15] CXN-2022-4852
[16] CXN-2022-4871
[17] CXN-2022-4846
[18] CXN-2022-4891
[19] CXN-2022-4922


Marc Lambertz

Analyste CERT-XMCO