Résumé de la semaine 43 (du 23 au 29 octobre)

Résumé de la semaine 43 (du 23 au 29 octobre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Apple pour macOS [1] et iOS [2][3], par Adobe pour Photoshop [4] et Illustrator [5], pour Gitlab [6] ainsi que pour les NAS QNAP [7].

Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 3 codes d’exploitation ont été publiés. Des correctifs sont disponibles.

Prise de contrôle du système et élévation de privilèges via une vulnérabilité au sein de Microsoft Azure Open Management Infrastructure (OMI) [8a][8b]

Ce code d’exploitation se présente sous la forme d’un module écrit en Ruby pour le framework MetaSploit (MSF). L’exécution de ce module permet d’envoyer une requête HTTP spécifiquement conçue et ainsi exécuter une commande arbitraire avec les privilèges root.

Manipulation de données via une vulnérabilité au sein de WordPress [9]

Ce code d’exploitation se présente sous la forme d’un programme écrit en JavaScript. En exécutant ce code au sein de la console de son navigateur, un attaquant authentifié est en mesure de supprimer un fichier arbitraire sur le serveur du site vulnérable.

Contournement de sécurité et divulgation d’informations via une vulnérabilité au sein de Jetty [10]

Ce code d’exploitation se présente sous la forme d’une requête HTTP. En envoyant cette requête à un serveur vulnérable, un attaquant est alors en mesure d’accéder au contenu du répertoire WEB-INF et de contourner des restrictions de sécurité.

Informations

Attaque

La société de cybersécurité Huntress découvre une vulnérabilité activement exploitée pour déployer des ransomwares dans le logiciel de comptabilité BillQuick [11]

La société de cybersécurité Huntress a rédigé un billet sur une vulnérabilité au sein du logiciel de comptabilité BillQuick édité par BQE Software. Toutes les versions de BillQuick Web Suite inférieures à 22.0.9.1 sont vulnérables à la CVE-2021-42258. Cette vulnérabilité est critique : une injection SQL permet de récupérer l’ensemble des données client ainsi que d’exécuter du code sans authentification et à distance.

Malware

Découverte de logiciels malveillants embarqués dans le paquet npm ua-parser-js [12a][12b]

Le 25 octobre, Sonatype a annoncé avoir identifié la compromission du paquet npm ua-parser-js. D’après le mainteneur du projet, son compte npm aurait été dérobé et 3 versions de la bibliothèque contenant des mineurs de cryptomonnaies ont été incluses (0.7.29, 0.8.0 et 1.0.0).

Microsoft a signé par erreur un logiciel malveillant nommé FiveSys [13][13b][13c]

Microsoft a récemment signé un pilote nommé FiveSys, qui s’est avéré être en réalité un rootkit, selon les chercheurs en sécurité de Bitdefender. Un incident avait déjà été rendu public en juin 2021, où Microsoft avait également signé un autre pilote malveillant nommé Netfilter. Dans les deux cas, les acteurs derrière ces logiciels malveillants ont réussi à contourner le processus de certification de l’entreprise.

Ransomware

L’entreprise taïwanaise Gigabyte ciblée par une seconde attaque par ransomware en une année [14a][14b][14c][14d]

Le groupe de ransomware AvosLocker aurait réussi à exfiltrer des données de l’entreprise taïwanaise Gigabyte en charge de la production de cartes-mères et de serveurs. Le groupe a publié un communiqué de presse ainsi qu’un échantillon des données qu’il affirme avoir volé. Parmi ces données, on trouve notamment des contrats avec des tiers et des données personnelles d’employés.

International

Europol annonce l’interpellation de 150 acteurs d’une plateforme de vente du Darkweb [15]

Europol a annoncé mardi 26 octobre une opération menée conjointement entre 8 pays européens et les États-Unis. L’opération nommée Dark HunTOR avait pour objectif d’arrêter 150 acheteurs et vendeurs opérant sur le réseau TOR. Elle a permis la saisie de 27,6 millions d’euros, 45 armes et 234 kilos de drogue.

Publication

Coveware souligne la forte progression des attaques par ransomware dans son rapport Q3 2021 [16]

Rendu publique le 21 octobre 2021, le rapport Q3 2021 des experts de l’entreprise de sécurité Coveware fait état d’une augmentation sensible des attaques par ransomware. En effet, si au cours du dernier trimestre les pressions gouvernementales se sont multipliées contre les acteurs malveillants, cela n’a pas empêché la hausse des attaques de type ransomware.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-5027
[2] CXA-2021-5033
[3] CXA-2021-5034
[4] CXA-2021-5016
[5] CXA-2021-5008
[6] CXA-2021-5047
[7] CXA-2021-4954
[8] CXA-2021-5051
[9] CXA-2021-4981
[10] CXA-2021-4971
[11] CXN-2021-5004
[12] CXN-2021-5001
[13] CXN-2021-4968
[14] CXN-2021-5007
[15] CXN-2021-5006
[16] CXN-2021-4963


Jules Wermeister

Analyste CERT-XMCO