Résumé de la semaine 52 (du 19 au 25 décembre)

Résumé de la semaine 52 (du 19 au 25 décembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Hitachi Disk Array Systems [1] et pour les produits Schneider [2].

Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 3 codes d’exploitation ont été publiés. Un correctif est disponible pour 2 d’entre eux.

Prise de contrôle du système via une vulnérabilité au sein de Webmin [3a] [3b] [3c] [3d]

Ce code d’exploitation se présente sous la forme d’un module Metasploit. Un attaquant distant et authentifié ayant accès au module de mise à jour des paquets est en mesure d’utiliser ce code afin d’envoyer des commandes en tant qu’administrateur. Aucun correctif n’est disponible actuellement.

Élévation de privilèges via une vulnérabilité au sein de Windows (2020-May) [4]

Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. En exécutant ce programme sur le système de la victime, un attaquant peut exploiter la fonction DrawIconEx afin d’écrire en dehors des limites mémoires du noyau et exécuter du code arbitraire en tant qu’utilisateur SYSTEM. Un correctif est disponible.

Prise de contrôle du système et contournement de sécurité via 2 vulnérabilités au sein de Gitlab CE et EE [5]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En ouvrant un port sur sa machine, puis en spécifiant l’adresse IP et le port du système vulnérable ainsi que son adresse IP et le port en écoute, un attaquant est alors en mesure de déclencher l’exécution d’un invité de commande distant (reverse shell). Un correctif est disponible.

Informations

Ransomware

L’ANSSI a publié un rapport sur le ransomware Egregor [6a] [6b] [6c]

L’ANSSI a récemment publié un rapport concernant le ransomware Egregor. Le rapport s’appuie sur les recherches effectuées par diverses organisations spécialisées dans la cybersécurité et propose une synthèse des connaissances sur ce groupe d’attaquants. Egregor a commencé une vaste campagne d’attaques depuis la mi-septembre 2020, et au moins 69 entreprises auraient été touchées, dont plusieurs françaises.

Annonce

Microsoft, McAfee et 17 autres organisations préparent le lancement de la « Ransomware Task-Force » [7a] [7b]

Face à la menace grandissante des ransomwares, un groupe de 19 organisations a récemment annoncé la formation d’une Task Force Ransomware (RTF). Cette équipe vise à regrouper des organisations diverses afin de produire des analyses et des recommandations pour lutter contre cette menace. Ces organisations diverses ont décidé de s’organiser afin de lutter contre cette menace transverse qui touche tous les secteurs, et qui se montre trop complexe pour qu’une seule entité suffise à la combattre.

Phishing

Le partage de la base de données du fabricant de portemonnaies de cryptomonnaies Ledger mène à une campagne de phishing [8a] [8b] [8c]

Le 29 juillet 2020, la startup française Ledger, dédiée à la conception de portemonnaies de cryptomonnaies, a publié un communiqué sur leur site revenant sur une compromission récente. L’investigation sur cette compromission leur a permis de découvrir que cette vulnérabilité avait fait l’objet d’une exploitation le 25 juin 2020 et que l’exploitation de cette vulnérabilité a permis aux attaquants de récupérer la base de données dédiée aux opérations d’e-commerce et de marketing.

Entreprise

Dernière confirmation dans l’attaque de SolarWinds : VMware confirme une brèche [9a] [9b] [9c]

L’entreprise VMware a confirmé courant décembre 2020 que l’attaque menée contre SolarWinds avait permis la création d’une brèche dans leur système. Une backdoor a donc été déployée par les attaquants, mais ces derniers n’ont pas cherché à exploiter la vulnérabilité.

Juridique

La CNIL sanctionne Amazon et Google pour leur utilisation abusive des cookies [10a] [10b] [10c] [10d]

La CNIL a récemment publié les délibérations de la formation restreinte du 7 décembre 2020, au sein desquelles les sociétés AMAZON EUROPE CORE, GOOGLE LLC et GOOGLE IRELAND LIMITED ont respectivement été condamnées à des amendes de 35, 60 et 40 millions d’euros. Les trois amendes ont pour cause le dépôt non consenti de cookies publicitaires sur les navigateurs des utilisateurs des sites concernés.

Smartphones

Les iPhone de 36 journalistes infectés avec le spyware Pegasus [11a] [11b] [11c]

Des chercheurs du Citizen Lab de l’université de Toronto ont découvert que les iPhone de 36 employés d’Al Jazeera avaient été compromis au cours des mois de juillet et août 2020. L’iPhone d’une journaliste de la chaîne de télévision londonienne Al Araby TV a également été compromis au moins 6 fois depuis le mois d’octobre 2019 (2 compromissions impliqueraient l’exploitation de vulnérabilités 0day).

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2020-6396
[2] CXA-2020-6400
[3] CXA-2020-6428
[4] CXA-2020-6397
[5] CXA-2020-6383
[6] CXN-2020-6398
[7] CXN-2020-6429
[8] CXN-2020-6417
[9] CXN-2020-6415
[10] CXN-2020-6412
[11] CXN-2020-6404


Noé Zalic