Résumé de la semaine 8 (du 19 février au 25 février)

Résumé de la semaine 8 (du 19 février au 25 février)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Zabbix [1a] [1b] [1c], par Synology [2], par GLPI [3] ainsi que par Redmine [4a] [4b] [4c].

Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 4 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.

Divulgation d’informations via une vulnérabilité au sein de Samba [5]

Ce code d’exploitation se présente sous la forme d’un script écrit en Python. En l’exécutant avec pour cible un serveur Samba vulnérable, un attaquant est alors en mesure d’exfiltrer des données.

Manipulation de données et divulgation d’informations via une vulnérabilité au sein de Fortimail [6]

Ce code d’exploitation se présente sous la forme d’un lien spécifiquement conçu. En incitant sa victime à suivre ce lien, un attaquant est alors en mesure de forcer le navigateur de cette dernière à exécuter un code JavaScript malveillant. L’exploitation de cette vulnérabilité permet de manipuler des données et d’accéder à des informations sensibles.

Élévation de privilèges via une vulnérabilité au sein de Zabbix [7a] [7b]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En ciblant une instance vulnérable avec ce programme, un attaquant est en mesure de concevoir un jeton d’authentification lui permettant d’obtenir les privilèges administrateur.

Prise de contrôle du système et contournement de sécurité via une vulnérabilité au sein de pfSense [8]

Ce code d’exploitation se présente sous la forme d’un programme écrit en JavaScript. En injectant un code sed spécifiquement conçu encodé via la fonction htmlspecialchars au sein de la page diag_routes.php, un attaquant est alors en mesure d’exécuter du code arbitraire sur le système.

Informations

International

Impact de la crise en Ukraine dans le cyberespace [9a] [9b] [9c] [9d] [9e] [9f] [9g] [9h]

L’escalade militaire en cours en Ukraine se manifeste également dans le cyberespace. En effet, débutant par des attaques de type DDoS impactant les banques la semaine dernière, des sites liés au gouvernement ukrainien sont peu à peu devenus inaccessibles ou ont été infectés par un malware effaçant leurs données.

Recherche

Une vulnérabilité affectant l’application de messagerie web Horde concernerait des dizaines de millions de sites Internet [10a] [10b] [10c]

Un chercheur de l’entreprise SonarSource a identifié une vulnérabilité de type cross-site scripting (XSS) au sein de la fonction de prévisualisation des documents OpenOffice. Cette vulnérabilité permet à un attaquant d’insérer du code XML spécifiquement conçu dans un document .

Vulnérabilité

Une vulnérabilité, affectant l’EFS et censée avoir été corrigée par Microsoft, est toujours partiellement exploitable [11a] [11b] [11c] [11d]

Un chercheur en sécurité informatique a informé le public que la faille référencée CVE-2021-43893, censée avoir été corrigée par Microsoft en décembre 2021, est toujours exploitable.
Celle-ci impacte la fonctionnalité Encrypted File System(EFS) et permet à un attaquant d’élever ses privilèges, voire d’exécuter du code arbitraire sur le serveur.

Ransomware

Crowdstrike publie son rapport annuel sur l’état de la menace cyber en 2022 [12]

L’entreprise Crowdstrike a publié son rapport annuel présentant à la fois des chiffres sur l’économie criminelle (notamment les ransomware), ainsi que les changements notables de stratégie des groupes criminels et/ou adossés aux États pour l’année 2022.

Venafi publie une étude sur le paiement de rançons par les victimes de ransomware [13]

L’entreprise Venafi a publié une étude sur les expériences de victimes d’attaque par ransomware une fois leur rançon payée. Celle-ci indique que bien que le paiement de la rançon devrait résulter dans la suppression des fichiers volés et dans la fourniture d’une clé de chiffrement aux victimes, les données sont dans la majorité des cas toujours disponibles sur le Dark Web et/ou toujours inaccessible par les victimes.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-0945
[2] CXA-2022-0895
[3] CXA-2022-0943
[4] CXA-2022-0930
[5] CXA-2022-0899
[6] CXA-2022-0880
[7] CXA-2022-0953
[8] CXA-2022-0970
[9] CXN-2022-0941
[10] CXN-2022-0923
[11] CXN-2022-0889
[12] CXN-2022-0869
[13] CXN-2022-0940


Estelle Dupuy

Analyste CERT