Résumé de la semaine 44 (du 24 au 30 octobre)

Résumé de la semaine 44 (du 24 au 30 octobre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft pour son navigateur Microsoft Edge [1] (une vulnérabilité 0-day exploitée sur Internet a notamment été corrigée), par Pulse Secure pour Pulse Connect Secure [2] et par Juniper pour son système d’exploitation Junos [3]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 2 bulletins portant sur des codes d’exploitation ont été publiés par le CERT-XMCO. Tous deux disposent d’un correctif de sécurité.

Oracle Weblogic Server [4a] [4b]

Ce code d’exploitation se présente sous la forme d’une série d’URLs HTTP. En envoyant ces requêtes spécifiquement forgées, un attaquant distant est en mesure d’exécuter du code arbitraire. Depuis la publication du code d’exploitation, des traces d’exploitation sur Internet de cette vulnérabilité sont observées.

Nagios XI [5]

Ce code d’exploitation se présente sous la forme de deux URLs. En incitant un administrateur authentifié à cliquer sur le premier lien, un script snmplog.php va être créé sur le serveur. Si l’attaquant accède à ce second lien, il sera en mesure d’exécuter des commandes arbitraires sur le système en tant que l’utilisateur apache.

 

Informations

Attaques

Vague d’attaques de défiguration ciblant de nombreux sites Internet français [6a] [6b]

Le compte Twitter de Cybermalveillance.gouv.fr met en garde contre une vague d’attaque de défiguration de site visant des sites internet français. La défiguration d’un site consiste en une altération par un pirate de l’apparence d’un site internet. Cette altération prend souvent la forme d’un changement de couleur (noir, blanc), d’ajout d’images, logos, messages n’ayant aucun rapport avec le but originel du site ou de la présence des mentions owned ou hacked.

Les fournisseurs de services de plus en plus ciblés par des attaques visant leur service DNS [7]

D’après EfficientIP, 83% des fournisseurs de services auraient déjà subi une attaque ciblant leur service DNS. Les fournisseurs de services de télécommunications seraient les plus durement touchés. 8% d’entre eux auraient subi une attaque de ce genre résultant en une perte de plus de 5 millions de dollars. L’indisponibilité de leur service DNS affecte l’ensemble de leurs clients, parmi lesquels des entreprises nécessitant une disponibilité 24/7 de leur réseau. Ces attaques portent atteinte à l’image de marque des services attaqués, dont certains clients se désabonnent.

Un attaquant dérobe l’équivalent de 24 millions de dollars en cryptomonnaies au service Harvest Finance [8a] [8b]

Un attaquant a volé 24 millions de dollars à Harvest Finance, un service de finance décentralisée. Après avoir investi d’importantes sommes en diverses cryptomonnaies sur le portail web d’Harvest Finance, l’attaquant a exploité une vulnérabilité dans un mécanisme cryptographique qui lui a permis de voler dans tous les portefeuilles de cryptomonnaies de la plateforme.

Ransomware

Sopra Steria confirme être victime du ransomware Ryuk [9a] [9b] [9c]

Sopra Steria, ESN française, compte environ 45 000 employées dans 25 pays différents. Celle-ci délivre de nombreux services informatiques comme l’intégration de système, le développement logiciel, voire la cybersécurité. L’entreprise a confirmé être la victime d’une cyberattaque qui aurait eu lieu le 20 octobre au soir. Selon un autre communiqué plus récent, le malware à l’origine de l’attaque serait le ransomware Ryuk connu pour ces nombreuses utilisations ces derniers temps.

Phishing

Les pirates complexifient leurs attaques contre les boîtes mail professionnelles [10a] [10b]

Dans une étude de la société Area 1 Security, des chercheurs ont récemment présenté les tendances des attaques visant les boites mail professionnelles, ou BEC (Business Email Compromise). Selon cette étude, entre mars et août 2020, plus de 925 000 emails malveillants sont parvenus à contourner les mesures de sécurité d’Office 365, ainsi que des solutions de passerelles de messagerie sécurisées (SEG, Secure Email Gateways).

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2020-5466
[2] CXA-2020-5479
[3] CXA-2020-5484
[4] CXA-2020-5507
[5] CXA-2020-5426
[6] CXN-2020-5470
[7] CXN-2020-5470
[8] CXN-2020-5475
[9] CXN-2020-5461
[10] CXN-2020-5476


Arthur Gautier