Résumé de la semaine 48 (du 27 novembre au 3 décembre)

Résumé de la semaine 48 (du 27 novembre au 3 décembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour FortiClient [1], Matomo [2] et Zoom [3].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Un code d’exploitation a été publié cette semaine.

Divulgation d’informations via une vulnérabilité au sein de Spring Boot Actuator Logview [4]

Ce code d’exploitation se présente sous la forme d’une requête HTTP. En envoyant cette requête, un attaquant distant et non authentifié est alors en mesure d’accéder au contenu du fichier /etc/passwd.

Informations

Recherche

Une vulnérabilité critique affectait la bibliothèque cryptographique NSS de Mozilla [5a][5b][5c][5d]

Un membre du Google Project Zero a identifié une vulnérabilité critique sur la bibliothèque cryptographique Network Security Services (NSS). Cette dernière permettait à un attaquant distant de provoquer l’arrêt d’une application vulnérable ainsi que d’exécuter du code arbitraire. Un correctif est disponible.

Attaque

Deux vulnérabilités critiques ont été découvertes dans 150 imprimantes HP [6]

Des chercheurs en cybersécurité ont divulgué mardi 30 novembre deux vulnérabilités affectant 150 imprimantes multifonctions HP (MFPs). Un attaquant pourrait les exploiter afin de prendre le contrôle d’appareils vulnérables, divulguer des informations sensibles et infiltrer le réseau de l’entreprise en prévision d’une future attaque. Un correctif est disponible.

Le groupe IKEA et ses partenaires ciblés par une attaque exploitant les vulnérabilités ProxyShell et ProxyLogon [7]

Le géant suédois de la vente de mobilier vient d’être victime d’une attaque. Celle-ci a été réalisée en injectant une réponse malveillante au sein d’une chaîne de mail (aussi communément appelé reply-chain). Cette attaque fait suite à la compromission du serveur Microsoft Exchange de l’entreprise.
L’impact s’étend jusqu’aux partenaires et fournisseurs du groupe IKEA selon un communiqué de l’entreprise.

Malware

Le malware Emotet distribué via de faux paquets Adobe via Windows App Installer [8]

Une nouvelle campagne de phishing visant à distribuer le malware Emotet sur les systèmes Windows 10 et 11 vient d’être identifiée par le groupe SSHCryptolaemus. Emotet est un malware bien connu, qui vole les emails de ses victimes pour les réutiliser dans d’autres campagnes et déployer des malwares tels que TrickBot et Qbot, menant généralement à l’installation de ransomwares.

International

Une opération menée par Interpol a permis d’interpeller plus de 1000 suspects dans des escroqueries en ligne [9]

La campagne HAECHI-II, réalisée par Interpol, à permis d’interpeller plus de 1000 suspects dans des affaires d’escroquerie. Ces derniers venaient de 20 pays différents et 27 millions de dollars ont pu être saisis. 2700 comptes bancaires ont aussi pu être gelés.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-5512
[2] CXA-2021-5519
[3] CXA-2021-5549
[4] CXA-2021-5535
[5] CXN-2021-5555
[6] CXN-2021-5554
[7] CXN-2021-5500
[8] CXN-2021-5551
[9] CXN-2021-5497


Théophile

Analyste CERT-XMCO