Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Cisco pour ses routeurs Small Business [1], pour Samba [2], par Fortinet pour FortiWeb [3] et par Apple pour iOS [4], macOS [5] et Safari [6].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 5 codes d’exploitation ont été publiés. Un correctif est disponible pour la totalité d’entre eux.
Divulgation d’informations via une vulnérabilité au sein de PHPIPAM [7]
Ce code d’exploitation se présente sous la forme d’un script écrit en Python. Un attaquant disposant d’un compte valide peut exécuter ce script en spécifiant l’adresse d’une application vulnérable afin d’exécuter une commande SQL arbitraire pour récupérer les comptes utilisateurs et les condensats des mots de passe.
Divulgation d’informations via une vulnérabilité au sein de Jira Software Server [8]
Ce code d’exploitation se présente sous la forme de requêtes HTTP. En envoyant ces requêtes à un serveur vulnérable, un attaquant est en mesure de contourner des restrictions d’accès à des fichiers et ainsi d’afficher le contenu de ces derniers.
Prise de contrôle du système via une vulnérabilité au sein de Mozilla Firefox et Mozilla Firefox ESR [9]
Ce code d’exploitation se présente sous la forme d’un programme écrit en JavaScript. En incitant sa victime à ouvrir ce programme, un attaquant est alors en mesure de prendre le contrôle du système.
Manipulation de données et divulgation d’informations via une vulnérabilité au sein de Moodle [10]
Ce code d’exploitation se présente sous la forme d’une requête HTTP. En envoyant cette requête HTTP spécifiquement conçue, un attaquant est alors en mesure d’effectuer des requêtes SQL dans la base de données.
Prise de contrôle du système et contournement de sécurité via 2 vulnérabilités au sein de Cisco Small Business RV series [11]
Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en RUBY. En l’utilisant, un attaquant est en mesure d’exécuter des commandes arbitraires sur les équipements impactés en tant qu’utilisateur www-data.
Informations
Ransomware
Observatoire des victimes de ransomwares – janvier 2022 [12]
Dans le cadre de sa veille sur les attaques par ransomware, le CERT-XMCO suit quotidiennement l’activité des groupes d’attaquants afin d’identifier les opérations pouvant impacter ses clients.
En ce début d’année 2022, un suivi des activités de ces groupes est lancé sous la forme d’un observatoire mensuel des victimes de ransomwares.
Les chercheurs de Unit 42 publient une analyse du ransomware BlackCat [13]
Le 27 janvier 2022, les chercheurs de l’Unit 42 ont publié une analyse du nouveau groupe ransomware BlackCat.
Vulnérabilité
Deux vulnérabilités sur le logiciel CWP permettent à un attaquant d’exécuter du code à distance sur des serveurs Linux [14a][14b][14c][14d]
Le 22 janvier dernier, un chercheur en sécurité de Octagon Networks a identifié deux vulnérabilités permettant à un attaquant d’exécuter du code arbitraire à distance, en tant qu’utilisateur root, sur un serveur Linux.
Les vulnérabilités concernent le logiciel Control Web Panel (CWP), anciennement appelé CentOS Web Panel, conçu pour gérer des serveurs d’hébergement web dédiés et des serveurs privés virtuels (VPS).
Découverte d’une vulnérabilité critique au sein d’une extension utilisée par 600 000 sites WordPress [15]
Les chercheurs de PatchStack ont découvert une vulnérabilité critique de type RCE (remote code execution) au sein de l’extension Essential Addons for Elementor, sur la version 5.0.4 et les versions précédentes.
La faille permet à un utilisateur non authentifié d’écrire des fichiers arbitraires sur le système (LFI), et potentiellement d’exécuter du code sur le serveur web.
Exploitation active d’une faille 0-day dans la suite collaborative Zimbra [16a][16b]
L’entreprise de sécurité Volexity a publié le 3 février 2022 un rapport sur l’exploitation active d’une faille 0-day sur la suite Zimbra, qui viserait principalement des organisations européennes. Selon Volexity, les attaquants ont commencé à exploiter la vulnérabilité à partir du 14 décembre 2021.
Attaque
L’APT nord-coréenne Lazarus a utilisé le client Windows Update et Github pour conduire une campagne d’attaques entre décembre 2021 et janvier 2022 [17]
Les chercheurs de Malwarebytes ont publié l’analyse technique d’une campagne d’espionnage conduite entre décembre 2021 et janvier 2022. Les auteurs attribuent la campagne à APT 28 avec une confiance forte en raison d’un mode opératoire et d’indicateurs techniques similaires aux précédentes attaques attribuées au groupe.
Recherche
L’UE lance un programme de bug bounty sur 5 solutions open source [18a][18b]
L’organisation européenne European Commission Open Source Programme Office (EC OSPO) a lancé en janvier 2022, un programme de bug bounty d’une valeur totale de 200 000 euros dans le but de sécuriser les programmes open source.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2022-0578
[2] CXA-2022-0519
[3] CXA-2022-0549
[4] CXA-2022-0528
[5] CXA-2022-0523
[6] CXA-2022-0526
[7] CXA-2022-0505
[8] CXA-2022-0544
[9] CXA-2022-0574
[10] CXA-2022-0581
[11] CXA-2022-0595
[12] CXN-2022-0529
[13] CXN-2022-0573
[14] CXN-2022-0548
[15] CXN-2022-0543
[16] CXN-2022-0601
[17] CXN-2022-0546
[18] CXN-2022-0506
