Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par VMware pour vCenter Server [1], par Sensiolabs pour Symfony [2] ainsi que par HashiCorp pour Vault et Vault Enterprise [3].
Ces correctifs adressent des dommages allant de la divulgation d’informations sensibles à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 9 bulletins portant sur des codes d’exploitation ont été publiés par le CERT-XMCO. Parmi eux, 6 sortent du lot et sont particulièrement intéressants.
Prise de contrôle du système via une vulnérabilité au sein de Microsoft Exchange [4]
Ce code d’exploitation est un script Python. Un attaquant disposant d’identifiants valides peut indiquer l’adresse d’un serveur Exchange vulnérable afin d’exécuter mspaint.exe sur le système. Ce code d’exploitation pourrait être facilement adapté afin de réaliser des actions malveillantes. Un correctif est disponible.
Prise de contrôle du système et contournement de sécurité via 3 vulnérabilités au sein de CommVault Command Center [5]
Ce code d’exploitation est un script Python. Il chaîne 3 vulnérabilités différentes afin de permettre à un attaquant distant et non authentifié d’exécuter du code arbitraire avec les privilèges SYSTEM. Aucun correctif n’est disponible.
Élévation de privilèges via une vulnérabilité au sein de Windows [6]
Ce code d’exploitation est un exécutable Windows écrit en C++. En l’exécutant sur un système vulnérable, un attaquant local obtiendra les droits NT AUTHORITY/SYSTEM. Un correctif est disponible.
Prise de contrôle du système via une vulnérabilité au sein de Manage Engine ADSelfService Plus [7]
Ce code d’exploitation est un module écrit en Ruby pour le framework MetaSploit. En l’exécutant, un attaquant pourra exécuter un fichier JAR arbitraire avec les privilèges de l’application. Un correctif est disponible.
Prise de contrôle du système et manipulation de données via une vulnérabilité au sein du noyau Linux [8]
Ce code d’exploitation est un programme en C. Un attaquant peut exécuter ce programme sur un système vulnérable afin d’exécuter du code arbitraire sur le système. Un correctif est disponible.
Prise de contrôle du système et manipulation de données via une vulnérabilité au sein de PHP [9]
Ce code d’exploitation est un programme en PHP. En l’exécutant, un attaquant pourra exécuter une commande arbitraire sur le système. Aucun correctif n’est disponible.
Informations
Fuite d’informations
L’hébergeur GoDaddy affecté par un piratage de données touchant 1,2 million de clients [10a] [10b]
Le 22 novembre 2021, l’hébergeur de domaines GoDaddy a publié une notification de fuite de données adressée à la U.S. Securities and Exchange Commission (SEC) suite à la compromission, par des acteurs malveillants, de son environnement d’hébergement WordPress managé. L’incident a été découvert le 17 novembre par GoDaddy, mais les attaquants auraient eu un accès continu aux systèmes depuis le 6 septembre 2021, soit plus de deux mois.
Recherche
Une vulnérabilité permettant d’exécuter du code arbitraire a été corrigée dans Imunify360 [11a] [11b] [11c]
Un chercheur de Cisco Talos a récemment découvert une vulnérabilité permettant d’exécuter du code arbitraire au sein d’Imunify360. La faille de sécurité, référencée CVE-2021-21956, provenait du composant Ai-bolit, qui gère notamment les fonctionnalités d’analyse de code malveillant. Un attaquant était en mesure d’exploiter cette vulnérabilité en forçant le moteur d’analyse à traiter un fichier spécifiquement conçu.
Annonce
GitHub s’engage dans la sécurité de l’écosystème npm [12a] [12b]
Le 15 novembre dernier, GitHub a annoncé sa volonté de s’investir dans la sécurité du registry npm. Outil central lors du développement en JavaScript, ce dernier est régulièrement visé afin de compromettre des paquets populaires et de déployer des malwares dans les projets des utilisateurs. Pour contrer cela, GitHub souhaite dans un premier temps améliorer sa capacité de détection automatique de malwares et imposer une authentification à double facteur à compter du premier trimestre 2022.
Piratage
Découverte de 11 bibliothèques Python malveillantes dans le dépôt officiel PyPI [13a] [13b] [13c]
Des chercheurs de l’équipe sécurité de la plateforme JFrog ont découvert 11 bibliothèques Python malveillantes enregistrées dans le dépôt Python Package Index (PyPI). Ces paquets (qui ont depuis été supprimés) ont infecté plus de 30 000 personnes.
Juridique
Apple porte plainte contre NSO Group, créateur du logiciel espion Pegasus [14a] [14b]
Dans un communiqué de presse, Apple annonce avoir engagé une procédure judiciaire contre la société israélienne NSO Group. De plus, le géant américain affirme vouloir priver l’entreprise de tous les produits Apple. Cette décision fait suite au scandale d’espionnage à grande échelle via le spyware Pegasus développé par NSO Group.
Cybercriminalité
Des rapprochements russo-chinois observés sur des forums cybercriminels [15]
Les chercheurs de FlashPoint ont publié le 16 novembre dernier un rapport qui fait état de rapprochements entre attaquants russes et chinois sur des forums cybercriminels. Le forum RAMP serait le plus actif en la matière. Celui-ci aurait d’ailleurs enregistré la création de 30 comptes venant de Chine.
Un groupe d’attaquants exploite les vulnérabilités ProxyShell et ProxyLogon afin de déployer le malware Squirrelwaffle [16a] [16b]
L’entreprise Trend Micro a publié un bulletin le 19 novembre sur une nouvelle méthode de déploiement de Squirrelwaffle. Cette méthode a été attribuée au groupe d’attaquant TR et exploite ProxyShell et ProxyLogon, deux vulnérabilités critiques ayant touché Microsoft Exchange cette année.
International
Une nouvelle règle obligera les banques américaines à signaler un cyberincident sous 36 heures [17a] [17b]
Les régulateurs bancaires américains du Département du Trésor, de la Réserve fédérale et de la Federal Deposit Insurance Corporation (FDIC) viennent de s’accorder sur une nouvelle règle, qui obligera les institutions bancaires américaines à leur signaler tout cyberincident sous 36 heures. Celle-ci sera effective au 1er avril 2022, avec une conformité totale requise au 1er mai 2022.
Publication
L’ANSSI met à jour son guide sur les règles de programmation pour le développement sécurisé de logiciels en langage C [18]
L’agence nationale de la sécurité des systèmes d’information (ANSSI) vient de publier la version 1.3 de son référentiel sur les Règles de programmation pour le développement sécurisé de logiciels en langage C. Son objectif est de mettre à jour les recommandations de l’ANSSI en matière de restrictions quant à l’utilisation du langage C, et de remplacer la version 1.2 du même référentiel (datant du 21/07/2020).
Manutan fait un retour d’expérience sur son attaque par DopplePaymer [19]
Manutan est un géant européen de la distribution d’équipements pour les entreprises et les collectivités. Il s’est fait attaquer par le groupe de ransomware DoppelPaymer en février 2021. Le directeur des opérations IT est revenu sur cette expérience dans une interview publiée récemment.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2021-5454
[2] CXA-2021-5457
[3] CXA-2021-5401
[4] CXA-2021-5407
[5] CXA-2021-5417
[6] CXA-2021-5421
[7] CXA-2021-5464
[8] CXA-2021-5465
[9] CXA-2021-5470
[10] CXN-2021-5423
[11] CXN-2021-5448
[12] CXN-2021-5377
[13] CXN-2021-5389
[14] CXN-2021-5449
[15] CXN-2021-5403
[16] CXN-2021-5431
[17] CXN-2021-5428
[18] CXN-2021-5444
[19] CXN-2021-5469
