Résumé de la semaine 8 (du 20 au 26 février)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par VMWare [1], par Cisco pour l’ACI Multi-Site Orchestrator [2], par DELL pour les routeurs SonicWall SMA100 [3a][3b] et enfin par Mozilla pour Firefox [4a][4b] et Thunderbird [5].

Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 2 bulletins portant sur des codes d’exploitation ont été publiés. Un correctif est disponible pour les vulnérabilités concernées.

Prise de contrôle et manipulation de données via 4 vulnérabilités au sein de Nagios XI [6]

Ce bulletin présente 4 codes d’exploitation se présentant sous la forme d’URL contenant des paramètres GET impactés par un manque de validation. En incitant sa victime à cliquer sur une de ces URLs, un attaquant est alors en mesure d’exécuter des commandes arbitraires sur le système sous-jacent.

Manipulation de données via une vulnérabilité au sein de VMWare vCenter [7]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme, un attaquant est alors en mesure de créer une archive .tar, de la télécharger sur un serveur vCenter et d’en extraire son contenu pour qu’il puisse être exécuté par la suite.

Note : Une campagne d’attaque massive utilisant ce code d’exploitation est en cours [8]

 

Informations

Attaque

Des attaquants scannent Internet à la recherche de serveurs vCenter Server affectés par la vulnérabilité référencée CVE-2021-21972 [9]

La vulnérabilité référencée CVE-2021-21972 affectant vCenter Server a été corrigée le 23 février par VMware. Selon les chercheurs de la société Bad Packets, des attaquants auraient lancé un scan d’Internet à grande échelle afin de détecter des instances à compromettre. Cette opération fait suite à la publication de codes d’exploitation de la vulnérabilité. Plus de 6 700 systèmes vCenter Server potentiellement vulnérables seraient actuellement exposés sur Internet.

Le registre régional d’adresse IP RIPE NCC révèle une attaque de type « credential stuffing » [10a][10b]

Le RIPE a révélé qu’il avait été victime d’une attaque de type credential stuffing au cours du week-end, visant son service d’authentification unique (SSO). Ce service SSO est utilisé pour se connecter à tous les sites du RIPE, y compris My LIR, Resources, RIPE Database, RIPE Labs, RIPEstat, RIPE Atlas, ainsi que le site web hébergeant les réunions du RIPE.

Santé

Mise en vente de 50.000 identifiants de connexion appartenant à des agents de centres hospitaliers français [11a][11b]

Une base de données contenant les identifiants de connexion de 50 000 agents du secteur hospitalier français a été détectée sur le site RaidForum. Cette base de données a été mise en vente par un attaquant nommé NahashS le 4 février 2021 sous le nom FR medicine related database pour un prix non défini. Celui-ci indique que la base provient d’un logiciel présent dans la quasi-totalité des centres hospitaliers français.

Le groupe Dedalus France dans le viseur après la fuite massive de données de santé de 500 000 patients français [12a][12b][12c]

Entre 2015 et 2020, les données personnelles et médicales de 500 000 patients français se sont vues dérobées par des cybercriminels. Ces données ont été rendues publiques le vendredi 12 février 2021. À la suite d’investigations, menées par différents organismes, il est avéré que la plupart des institutions dont les données ont été volées utilisent le même logiciel de saisie de données édité par Dedalus France.

Ransomware

L’Afnor subit une attaque du ransomware Ryuk [13]

Jeudi 18 février, l’Afnor (Association française de normalisation) met fin à ses services qu’elle expose sur Internet. Son service de presse annonce une attaque par le ransomware Ryuk. Un porte-parole de l’association affirme qu’il s’agit bien d’une cyberattaque de « grande ampleur ». Toutefois, aucun détail sur l’étendue des dégâts n’a été communiqué.

Recherche

Des chercheurs découvrent un nouveau moyen de modifier un document PDF sans invalider sa signature [14a][14b][14c]

Des chercheurs de la Ruhr University Bochum ont découvert un type d’attaque permettant de contourner le mécanisme de signature numérique des documents PDF. Baptisée attaque Shadow, cette technique permet à un attaquant de modifier un document PDF sans que cela invalide sa signature. Elle repose sur la flexibilité de la spécification PDF, qui aboutit à la validité de ces documents malveillants malgré leur altération.

Une faille permettait d’effectuer des transactions sans PIN avec les cartes Mastercard [15]

Des chercheurs en sécurité de l’École polytechnique fédérale de Zurich (ETH Zurich) avaient montré en août dernier qu’il était possible d’effectuer de gros paiements par NFC avec n’importe quelle carte Visa sans code PIN. Le réseau MasterCard a depuis corrigé ce problème, et les chercheurs ont confirmé que l’attaque ne fonctionnait plus sur les cartes MasterCard.

Les 10 vulnérabilités les plus marquantes de 2020 [16]

L’ANSSI a listé les 10 vulnérabilités les plus critiques qu’elle a traitées en 2020. Il est rappelé qu’aucun produit informatique n’est exempt de vulnérabilités. La découverte de vulnérabilités fait partie du cycle de vie du produit. Il est donc essentiel d’appliquer les correctifs proposés par les éditeurs de solutions.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-0934
[2] CXA-2021-0947
[3] CXA-2021-0944
[4] CXA-2021-0930
[5] CXA-2021-0938
[6] CXA-2021-0886
[7] CXA-2021-0969
[8] CXN-2021-0951
[9] CXN-2021-0951
[10] CXN-2021-0879
[11] CXN-2021-0885
[12] CXN-2021-0940
[13] CXN-2021-0890
[14] CXN-2021-0924
[15] CXN-2021-0919
[16] CXN-2021-0870

Théophile Demaegdt

Découvrir d'autres articles