Résumé de la semaine 42 (du 16 octobre au 22 octobre)

Résumé de la semaine 42 (du 16 octobre au 22 octobre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Oracle lors du CPU [1], par Cisco pour IOS XE [2], par SonicWall [3], et par Trend Micro [4].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

2 codes d’exploitation ont été publiés cette semaine. Chacun d’entre eux a un correctif disponible.

Manipulation de données et contournement de sécurité via une vulnérabilité au sein de SonicWall SMA100 [5a][5b]

Ce code d’exploitation se présente sous la forme d’une ligne de commande écrit en Bash. En exécutant cette commande, un attaquant est alors en mesure de provoquer la réinitialisation des mots de passe de sa cible au redémarrage.

Déni de service via 2 vulnérabilités au sein de Squid [6]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Ruby. En exécutant ce programme, un attaquant est alors en mesure de provoquer le déni de service du serveur proxy ciblé.

Informations

Cybercriminalité

Les arnaques au président à l’heure des deepfakes : 35 millions de dollars dérobés à une banque émiratie [7a][7b][7c][7d][7e]

En 2020, une banque émiratie a été victime d’une arnaque au président par deepfake. Résultat, 35 millions de dollars ont été dérobés. Selon les autorités de Dubaï, c’est la technologie deep voice qui a permis aux attaquants de reproduire la voix d’un dirigeant de la banque afin de crédibiliser la demande de virement. L’opération aurait été organisée par 17 personnes qui ont ensuite transféré les fonds vers différentes banques à travers le monde afin de brouiller les pistes.

La Russie, première puissance en termes de cyberattaques en 2020 d’après Microsoft [8a][8b][8c]

Microsoft a publié un rapport intitulé « Microsoft Digital Defense Report » sur les tendances en matière de cybersécurité pour l’année 2020. Ce rapport souligne la prédominance des attaques en provenance de la Russie. Pour preuve, 58% des attaques d’origine étatique observées par Microsoft viendraient de Moscou. Ces attaques ont évolué en quantité (+52% par rapport à 2019) ainsi qu’en qualité (en un an, le « taux de réussite » est passé de 21% à 32%).

Vulnérabilité

Une mauvaise configuration du logiciel Prometheus pourrait entraîner une fuite de données critiques [9a][9b][9c][9d]

Une fuite de données potentielle affecterait les utilisateurs du logiciel Prometheus d’après les experts de JFrog. Prometheus est un outil open-source de surveillance et d’alerte des infrastructures réseau. Parmi les données analysées, on trouve le niveau d’utilisation de la mémoire de la machine, le trafic réseau ou encore les connexions d’autres personnes à une application.

Ransomware

La CISA, le FBI et la NSA publient une notice d’information sur BlackMatter en vue de prochaines attaques [10]

Lundi 18 octobre 2021, la Cybersecurity and Infrastructure Security Agency (CISA), le FBI et la National Security Agency (NSA) ont publié une notice d’information commune sur le ransomware BlackMatter. D’après ces trois agences, BlackMatter serait le successeur de DarkSide, le groupe accusé d’être derrière l’attaque contre Colonial Pipeline en mai 2021. Elles anticipent une future vague d’attaques de la part de cet acteur malveillant.

95% des ransomwares cibleraient les systèmes d’exploitation Windows [11a][11b][11c]

Le rapport de VirusTotal sur les ransomwares, dont nous vous avions parlé la semaine dernière, indique que 95% des ransomwares cibleraient les systèmes d’exploitation (OS) Windows.

Fuite d’informations

L’intégralité de la base des cartes d’identité d’Argentine aurait été dérobée [12a][12b]

Début octobre, un utilisateur a publié la photo d’identité figurant sur la carte d’identité de plusieurs dizaines de célébrités de nationalité argentine. On trouvait parmi elles, le président argentin ou encore Lionel Messi.
Le lendemain, une annonce était publiée sur un forum de pirate populaire proposant d’accéder (individuellement) aux informations personnelles de l’intégralité de la population d’Argentine, soit plus de 45 millions de personnes.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2021-4908
[2] CXA-2021-4928
[3] CXA-2021-4930
[4] CXA-2021-4818
[5] CXA-2021-4932
[6] CXA-2021-4951
[7] CXN-2021-4929
[8] CXN-2021-4831
[9] CXN-2021-4906
[10] CXN-2021-4905
[11] CXN-2021-4856
[12] CXN-2021-4902


Théophile

Analyste CERT-XMCO