Résumé de la semaine 6 (du 05 au 11 février)

Résumé de la semaine 6 (du 05 au 11 février)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés lors du Patch Tuesday par Microsoft [1], par SAP [2], par Mozilla pour Firefox ESR 91.6 [3a] et pour Firefox 97 [3b] et par Gitlab [4].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Un code d’exploitation a été publié cette semaine. Un correctif est disponible.

Prise de contrôle du système via une vulnérabilité au sein des routeurs Cisco Small Business RV340/345 Series (cisco-sa-smb-mult-vuln-KA9PK6D) [5a] [5b]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. Ce programme permet d’envoyer une charge utile définie par l’attaquant à un routeur vulnérable pour l’exécuter. Le code d’exploitation en l’état ne contient pas de charge utile.

Informations

Ransomware

Emsisoft met à disposition un outil de déchiffrement pour les ransomwares Maze, Egregor et Sekhmet [6a] [6b]

Le 9 février 2022, les clés de déchiffrement des ransomwares Maze, Egregor et Sekhmet ont été publiées sur le forum de BleepingComputer par leur développeur présumé. Les clés de déchiffrement de ces 3 ransomware auraient ainsi été publiées sur le forum du média spécialisé BleepingComputer, par un utilisateur appelé Topleak qui affirme être le développeur des 3 ransomwares.

Attaque

La campagne de smishing Roaming Mantis cible désormais la France et l’Allemagne [7]

Les chercheurs de l’entreprise Securelist ont publié une étude sur la nouvelle version de la campagne d’attaque nommée Roaming Mantis ciblant la France et l’Allemagne. Le groupe d’attaquants utilise du smishing : la victime reçoit un SMS au sujet d’un colis à récupérer et est invitée à cliquer sur une URL malveillante.

Le site web Krebws on Security publie un article sur les campagnes toujours plus nombreuses de phishing passant par les slinks LinkedIn afin de contourner les mesures de sécurité actuelles. Le slink était initialement, un outil de marketing permettant à une organisation de développer ses activités via le site Internet Linkedin. L’outil consistait à la fois à suivre les performances d’une campagne publicitaire tout en faisant la promotion de ressources externes. Une entreprise pouvait donc, à partir de son compte Linkedin, rediriger les personnes qui cliquent sur l’URL vers un site web tiers.

Le FBI met en garde contre une campagne de phishing utilisant de faux QR codes [9]

Le Federal Bureau of Investigation (FBI) a publié un communiqué pour mettre en garde les citoyens américains d’une campagne d’arnaque aux faux QR codes en cours. Le service Internet Crime Complaint Center (IC3) explique que les attaquants échangent de véritables QR codes avec les leurs afin de rediriger les utilisateurs vers des sites de phishing visant soit à :

  • Installer un malware sur le téléphone de la personne ;
  • Voler les identifiants bancaires de la personne ;
  • Faire acheter des crypto-monnaies à la personne (qui seront ensuite volées et mixées par l’attaquant).

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-0707
[2] CXA-2022-0720
[3] CXA-2022-0698
[4] CXA-2022-0625
[5] CXA-2022-0716
[6] CXN-2022-0735
[7] CXN-2022-0700
[8] CXN-2022-0650
[9] CXN-2022-0621


Marc Lambertz

Analyste CERT-XMCO