Résumé de la semaine 49 (du 4 décembre au 10 décembre)

Résumé de la semaine 49 (du 4 décembre au 10 décembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par SonicWall pour SMA 100 Series [1], par Grafana [2], par Google pour Android [3] et pour Google Chrome [4] et par Mozilla pour Firefox [5].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 3 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.

Contournement de sécurité et divulgation d’informations via une vulnérabilité au sein de Grafana [6a][6b]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Go. En ciblant un serveur vulnérable, un attaquant non authentifié est en mesure de lire des fichiers arbitraires sur le système.

Contournement de sécurité et divulgation d’informations via 2 vulnérabilités au sein de FreeSwitch [7a][7b][7c][7d][7e]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Go. Un attaquant non authentifié exécutant ce programme est en mesure d’envoyer des requêtes spécifiquement conçues afin de récupérer des informations techniques sensibles.

Manipulation de données et divulgation d’informations via une vulnérabilité au sein des produits Oracle Supply Chain [8]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. Le programme permet d’énumérer des noms d’utilisateurs, de chercher des mots de passe par défaut, d’effectuer des requêtes SQL, ainsi que d’exécuter du code via l’upload de fichiers JSP.

 

Informations

Vulnérabilités

Une faille au sein de Kafdrop expose les données des clusters Apache Kafka sur Internet [9]

Le 6 décembre 2021, les chercheurs de l’entreprise de sécurité Spectral ont publié leur découverte d’une faille de sécurité dans Kafdrop, une interface utilisateur web pour Apache Kafka. Au regard de l’utilisation massive de Kafdrop, cette faille serait largement répandue.
La faille, causée par des défauts de configuration, exposerait les données de potentiellement tous les clusters Kafka et permettrait à un attaquant non authentifié d’accéder aux clusters, d’obtenir des informations sensibles et d’obtenir des jetons d’authentification.

Grafana publie un correctif pour la CVE-2021-43798 suite à la publication d’exploits sur Twitter et GitHub [10a][10b]

Grafana, une solution open source de visualisation de données, fait l’objet d’une vulnérabilité permettant à un attaquant d’accéder à des informations sensibles en exécutant une attaque de type path traversal sur une URL présente par défaut sur les instances.
Les informations liées à la vulnérabilité ont été diffusées sur Internet le 7 décembre, amenant rapidement à la publication d’un code d’exploitation sur Twitter et GitHub. Toutefois, cette vulnérabilité avait déjà été identifiée par Grafana permettant ainsi la publication d’un correctif de sécurité par l’éditeur le jour suivant.

Un exploit 0-day permet d’exécuter du code arbitraire sur de nombreuses applications Java [11a][11b][11c]

Un exploit 0-day tirant parti de la vulnérabilité référencée CVE-2021-44228 a été publié le 10 décembre 2021. Celui-ci permet à un attaquant distant d’exécuter du code arbitraire à distance sur de nombreuses applications Java utilisant la bibliothèque Log4j. Les versions de Log4j impactées vont de la version 2.0 à la version 2.14.1 (incluse). Des outils permettant de générer des classes injectables dans des processus Java (comme Marshalsec project) ont déjà été publiés. De plus, la société GreyNoise (disposant d’honeypots) révèle que des scans recherchant les applications vulnérables sont actuellement menés. Cela présage de potentielles exploitations de la faille de sécurité par des groupes d’attaquants dans les jours qui viennent.

Ransomware

Le groupe de courtage Adelaïde, victime d’une attaque par ransomware [12]

Le groupe Adelaïde, qui regroupe les courtiers Verlingue, Génération et Coverlife, serait victime d’une attaque par ransomware depuis le 27 novembre. L’entreprise n’a reconnu l’attaque que le 6 décembre dernier. Si les premières conséquences de la compromission se résumaient à un délai de remboursement ralenti pour les clients, Verlingue a confirmé lundi qu’une base de données au Royaume-Uni avait été compromise. Les informations divulguées seraient des données de santé, des coordonnées bancaires, des numéros de téléphone et des adresses email.

International

Le groupe chinois NICKEL attaque les gouvernements, entités diplomatiques et ONG d’Amérique latine et d’Europe [13a][13b]

Le Microsoft Threat Intelligence Center (MSTIC) vient de publier un article détaillant les activités du groupe chinois NICKEL. Depuis au moins 2016, ce dernier a eu accès aux systèmes de ses cibles, lui permettant notamment d’exfiltrer des données sensibles, vraisemblablement à des fins d’espionnage pour le compte du gouvernement chinois. Le groupe infiltre le réseau de ses victimes en exploitant des systèmes et services vulnérables, notamment d’applications web comme Exchange ou SharePoint, mais aussi de VPN. Après intrusion, celui-ci tente de dérober des identifiants légitimes, de préférence appartenant à des utilisateurs privilégiés, afin d’obtenir un accès pérenne et discret à l’infrastructure de la cible.

Threat Intelligence

Le groupe Nobelium mènerait une campagne de phishing ciblant des organisations françaises [14a][14b][14c]

Le 6 décembre 2021, l’ANSSI a publié un rapport d’analyse sur une campagne de phishing en cours et opérée par le groupe d’attaquants russophones Nobelium. De fait, depuis février 2021, plusieurs organisations françaises ont vu leurs comptes de messagerie compromis et utilisés afin de transmettre des emails malveillants auprès d’organisations étrangères. La réciproque a été également observée. D’après ce rapport, les attaquants procédaient à une phase de préparation et de reconnaissance en vue de lancer une attaque de type phishing leur permettant de télécharger chez les victimes une charge Cobalt Strike et d’ainsi extraire les informations récoltées vers une Dropbox.

Fuite d’informations

Les données personnelles de 57 000 employés de la RATP accessibles via un serveur HTTP non sécurisé [15a][15b]

En octobre 2021, des chercheurs de vpnMentor ont découvert un serveur HTTP non sécurisé et accessible via Internet, appartenant à la RATP. Celui-ci contenait les données personnelles de 57 000 employés, ainsi que des codes sources et des clés d’API pour les sites et services de la RATP. Celles-ci ont été enregistrées entre 2014 et 2019. Selon vpnMentor, le serveur était accessible à quiconque et concernerait le site web www.ce.ratp.fr. Les données personnelles figurant sur le serveur consistaient en : un nom complet, une adresse email, un identifiant d’employé, ainsi qu’un condensat de mot de passe.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-5631
[2] CXA-2021-5624
[3] CXA-2021-5622
[4] CXA-2021-5606
[5] CXA-2021-5609
[6] CXA-2021-5625
[7] CXA-2021-5589
[8] CXA-2021-5587
[9] CXN-2021-5649
[10] CXN-2021-5626
[11] CXN-2021-5673
[12] CXN-2021-5618
[13] CXN-2021-5607
[14] CXN-2021-5608
[15] CXN-2021-5628


Estelle Dupuy

Analyste CERT