Résumé de la semaine 45 (du 6 au 12 novembre)

Résumé de la semaine 45 (du 6 au 12 novembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre du Patch Tuesday [1], par Palo Alto pour Global Protect [2], par Siemens pour Nucleus ReadyStart [3], par SAP [4] et par Samba [5a] [5b] [5c].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 2 codes d’exploitation sous la forme de modules Metasploit écrits en Ruby ont été publiés. Un correctif est disponible pour chacun d’entre eux.

Élévation de privilèges via une vulnérabilité au sein de Windows 10 [6]

Un attaquant peut exécuter ce module Metapsploit sur le système afin d’obtenir les autorisations de NT AUTHORITY\SYSTEM. Ce code d’exploitation a été testé uniquement sur Windows 10, mais peut s’avérer fonctionnel pour d’autres versions Windows.

Prise de contrôle du système via une vulnérabilité au sein de SG UTM WebAdmin [7]

Ce module Metasploit envoie une requête HTTP POST contenant une commande arbitraire au sein du paramètre SID, entrainant l’exécution de cette commande sur le système avec les privilèges root.

 

Informations

Fuite d’informations

Les données de 7 millions d’utilisateurs dérobées à la suite d’une attaque sur la société RobinHood [8a][8b] [8c]

Le 8 novembre 2021 via son blog, le courtier RobinHood a annoncé que des données de ses utilisateurs avaient été volées à la suite d’une attaque par ingénierie sociale datant du 3 novembre dernier. L’attaquant aurait eu accès au système d’assistance clientèle, à partir duquel il a pu extraire les informations de 7 millions de clients. Toutefois, la société a des raisons de croire qu’aucune information sensible n’a été dérobée.

Attaque

Une campagne d’attaque exploitant la vulnérabilité CVE-2021-42237 vise actuellement les serveurs Sitecore [9]

D’après l’Australian Cyber Security Center (ACSC), une vulnérabilité impactant Sitecore est exploitée dans le cadre d’une campagne d’attaque. Cette vulnérabilité découverte le 2 novembre par des chercheurs de l’entreprise Assetnote permettait à un attaquant d’exécuter du code arbitraire sur le système sans authentification préalable. Toutefois, celle-ci avait été corrigée en amont, le 13 octobre, par Sitecore sans communication de leur part.

Cybercriminalité

Le groupe TeamTNT cible de nouveau les serveurs Docker mal configurés [10a] [10b] [10c][10d] [10e]

Une campagne d’attaque du groupe TeamTNT ciblant les serveurs Docker mal-configurés et ayant pour objectif d’installer des mineurs de cryptomonnaies sur ces derniers a été identifiée par des chercheurs de TrendMicro. Des campagnes similaires avaient déjà été menées par le groupe en août et octobre 2020. Durant ces dernières, le groupe avait déployé un ver pour exploiter des instances Docker et c’était lancé dans le développement d’activités de minage et de vol d’identifiants.

Ransomware

Sept affiliés aux ransomwares GandCrab/REvil ont été arrêtés ce 8 novembre par Europol [11a] [11b] [11c] [11d] [11e]

Le 8 novembre, Europol a annoncé l’arrestation de 7 personnes suspectées d’être des affiliés des ransomwares REvil (Sodinokibi) et GandCrab. Ces derniers auraient participé à plus de 7000 attaques en 2019 ce qui représente une rançon totale de 230 millions d’euros. De nombreuses opérations internationales ciblant des personnes impliquées dans l’économie des ransomwares (RaaS) ont eu lieu en Corée du Sud, en Pologne, en Roumanie et au Koweït en 2021.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-5244
[2] CXA-2021-5256
[3] CXA-2021-5238
[4] CXA-2021-5223
[5] CXA-2021-5198
[6] CXA-2021-5232
[7] CXA-2021-5168
[8] CXN-2021-5177
[9] CXN-2021-5218
[10] CXN-2021-5236
[11] CXN-2021-5179


Estelle Dupuy

Analyste CERT