Résumé de la semaine 53 (du 26 décembre 2020 au 1er janvier 2021)

Résumé de la semaine 53 (du 26 décembre 2020 au 1er janvier 2021)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application du correctif publié par Synology pour leur utilitaire Synology Router Manager [1].

Ce correctif adresse une vulnérabilité permettant d’accéder à des informations sensibles.

 

Codes d’exploitation

Un code d’exploitation a été publié cette semaine. Un correctif est disponible.

Divulgation d’informations via une vulnérabilité au sein de SAP BusinessObjects Business Intelligence Platform [2]

Ce code d’exploitation se présente sous la forme d’une requête HTTP. En rejouant cette requête et en analysant son temps de réponse, un attaquant est alors en mesure de déterminer l’état d’un port (ouvert ou fermé) sur la machine dont l’adresse IP a été injectée au sein du paramètre aps.

 

Informations

Cybercriminalité

L’hébergeur Wasabi victime d’une indisponibilité après l’utilisation de ses services dans le cadre d’activités malveillantes [3a] [3b]

Le 28 décembre 2020, l’hébergeur Wasabi a été victime d’une panne suite à l’indisponibilité d’un de ses domaines (wasabisys[.]com). Cette indisponibilité était due à un blocage des résolutions DNS du domaine suite à la détection d’activités malveillantes. En effet, les serveurs de Wasabi étaient utilisés par un attaquant afin d’héberger un malware.

Une coopération internationale mène au démantèlement de la solution VPN Safe-Inet utilisée par les attaquants [4a] [4b] [4c]

Une opération conjointe d’agences américaines et européennes, baptisée «Opération Nova», a récemment mené au démantèlement de la solution VPN Safe-Inet. Cette solution était utilisée par des groupes de cybercriminels depuis plus de dix ans, et notamment dans le cadre de campagnes de ransomware récentes. Le service était en vente sur des forums du dark web pour une somme allant de 1,3 $ par jour à 190 $ par an.

Attaque

Des boîtes mail de parlementaires compromises à la suite d’une cyberattaque contre le parlement finlandais [5a] [5b] [5c]

Le parlement finlandais a récemment annoncé avoir été victime d’une cyberattaque au cours de l’automne 2020. Au cours de cette intrusion, les attaquants auraient notamment pu accéder aux boîtes mail de plusieurs parlementaires.

Citrix alerte sur une attaque DDoS ciblant ses répartiteurs de charge ADC [6]

Depuis le 24 décembre 2020, les répartiteurs de charge Citrix ADC subissent une attaque par déni de service distribué (DDoS). Cette attaque utilise le protocole DTLS afin de surcharger la bande passante du répartiteur. Pour le moment, l’équipe Citrix de réponse de sécurité n’a découvert aucun produit vulnérable aux attaques DDoS en raison d’un défaut dans le logiciel Citrix.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2020-6470
[2] CXA-2020-6463
[3] CXN-2020-6468
[4] CXN-2020-6457
[5] CXN-2020-6465
[6] CXN-2020-6456


Aurélien Denis