Résumé de la semaine 44 (du 30 octobre au 5 novembre)

Résumé de la semaine 44 (du 30 octobre au 5 novembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Sitecore [1], par Cisco pour Cisco Policy Suite [2], par Google pour Android [3], pour Kubernetes [4a] [4b] et pour Google Chrome [5], par Mozilla pour Firefox [6], pour Firefox ESR [7] et pour Thunderbird [8].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.

Prise de contrôle du système via une vulnérabilité au sein de Sitecore [9]

Ce code d’exploitation se présente sous la forme d’une requête HTTP POST au format XML. L’envoi de cette requête vers l’URI /sitecore/shell/ClientBin/Reporting/Report.ashx permet d’exécuter une commande système arbitraire (ici cmd /c nslookup).

Prise de contrôle du système via une vulnérabilité au sein de Gitlab [10]

Ce code d’exploitation se présente sous la forme d’un module du framework Metasploit. Ce dernier est activement utilisé par des attaquants.

Informations

Vulnérabilité

Une vulnérabilité sur un plugin WordPress permettait à un utilisateur de supprimer les données d’une page voire d’en ajouter [11a] [11b] [11c] [11d] [11e]

Les chercheurs de Wordfence ont identifié une vulnérabilité (CVE-2021-39333) dans le plugin Hashthemes Demo Importer du logiciel de gestion de contenu et de site web WordPress. Ce plugin, censé simplifier la gestion du site par l’administrateur, serait utilisé par plus de 8000 hôtes.

Exploitation massive d’une vulnérabilité d’exécution de code à distance sur GitLab [12]

Suite à la publication d’un code d’exploitation la semaine dernière tirant partie d’une vulnérabilité sur Gitlab, celle-ci serait activement exploitée par des acteurs malveillants et ce, malgré sa correction depuis plus de six mois. En effet, il semblerait que sur les 60 000 installations GitLab accessibles sur Internet, environ 50% seraient toujours impactées par cette vulnérabilité critique d’exécution de code à distance (RCE). Cette vulnérabilité, référencée CVE-2021-22205, permet l’exécution d’un code arbitraire à distance et affecte toutes les versions depuis la 11.9. Elle a été corrigée par GitLab le 14 avril 2021 dans les versions 13.8.8, 13.9.6 et 13.10.3.

Une vulnérabilité nommée Trojan Source a été découverte au sein de la spécification Unicode [13a] [13b] [13c] [13d]

Une équipe de l’université de Cambridge a publié le 1er novembre 2021 un papier décrivant une nouvelle attaque affectant la spécification Unicode. Cette vulnérabilité référencée CVE-2021-42574 permet à un attaquant, en utilisant certains caractères de la spécification Unicode, de créer des fichiers dont le rendu visuel sera différent de celui qui sera interprété par le compilateur ou par l’interpréteur. Dans la majorité des cas, des caractères de contrôle de séquence sont insérés au sein de commentaire.

Attaques

Les attaques sur les API sont en passe de devenir le principal vecteur d’attaque en 2022 [14]

Les chercheurs d’Akamai ont publié un rapport sur l’état de la menace cyber sur les API (Application Progamming Interface). Si les attaques par ransomware et déni de service distribué (DDoS) sont bien connues et surveillées, celles relatives aux API le sont beaucoup moins. Un premier facteur d’explication est le fait que les attaques sur les API sont moins « impressionnantes » que les autres. Un second facteur est la difficulté à localiser la plateforme (ordinateur ou smartphone) sur laquelle se trouve la vulnérabilité.

IoT

Google corrige 39 failles pour Android dont une vulnérabilité 0-day en cours d’exploitation [15a] [15b]

Google a récemment publié son bulletin mensuel contenant 39 correctifs pour son système d’exploitation mobile Android, dont une vulnérabilité 0-day, utilisée actuellement pour des attaques ciblées et limitées. Cette dernière, référencée CVE-2021-1048, prend la forme d’une vulnérabilité de type use-after-free. Ce type de vulnérabilité permet à un attaquant d’exécuter du code malveillant afin de prendre le contrôle du système de la victime. Malgré la publication de ce correctif, Google n’a pas révélé plus d’informations sur la vulnérabilité, la nature des intrusions, ou les attaquants l’ayant utilisée. Celle-ci est la sixième de type 0-day corrigée pour Android depuis le début de l’année.

International

Une opération de police européenne mène à l’arrestation de 12 suspects soupçonnés de 1800 attaques de ransomware [16a] [16b]

Dans un communiqué de presse, Europol a récemment annoncé l’arrestation de 12 suspects dans le cadre d’une coopération des polices européennes. Les suspects auraient participé à des attaques de ransomware ayant touché plus de 1800 organisations réparties dans 71 pays depuis 2019. Parmi les suspects se trouveraient les responsables de l’attaque contre le producteur d’aluminium Norsk Hydro en 2019. Leurs activités se répartissaient entre l’intrusion initiale, la compromission du réseau interne (avec Cobalt Strike ou Powershell Empire), l’exécution de ransomware (LockerGoga, MegaCortex, et Dharma), et le blanchiment des bitcoins obtenus.

Publication

Le FBI publie une notice d’information sur Ranzy Locker [17]

Le 25 octobre 2021, le Federal Bureau of Investigation (FBI) a publié une notice d’information formalisant les principales connaissances établies sur le ransomware Ranzy Locker. Ce dernier suit le modèle de la double extorsion en identifiant des fichiers sensibles pour les exfiltrer avant d’activer le chiffrement. Plusieurs fois, les attaquants auraient demandé une rançon supplémentaire à leurs victimes pour ne pas divulguer sur Internet les informations volées. En plus de chiffrer les fichiers et de supprimer toutes les sauvegardes trouvées sur les machines, l’exécutable Ranzy Locker tente de se déplacer latéralement vers d’autres ressources sur le même réseau. Enfin, le ransomware ciblerait uniquement les systèmes Windows (ordinateurs, serveurs et machines virtuelles).

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-5104
[2] CXA-2021-5148
[3] CXA-2021-5095
[4] CXA-2021-5082
[5] CXA-2021-5065
[6] CXA-2021-5090
[7] CXA-2021-5089
[8] CXA-2021-5116
[9] CXA-2021-5105
[10] CXA-2021-5122
[11] CXN-2021-5102
[12] CXN-2021-5093
[13] CXN-2021-5097
[14] CXN-2021-5084
[15] CXN-2021-5107
[16] CXN-2021-5123
[17] CXN-2021-5075


Marc Lambertz

Analyste CERT-XMCO