Résumé de la semaine 9 (du 27 février au 5 mars)

Résumé de la semaine 9 (du 27 février au 5 mars)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft pour Exchange [1a][1b], pour Joomla! [2a][2b][2c][2d][2e][2f][2g][2h][2i], par Dell pour OpenManage [3] ainsi que par Google pour Chrome [4] et Android [5].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 2 codes d’exploitation ont été publiés. Des correctifs sont disponibles.

Dell OpenManage Server [6]

Ce code d’exploitation se présente sous la forme d’une requête HTTP. Cette requête permet d’envoyer une commande getwsmanclient spécifiquement conçue contenant localhost comme nom d’hôte afin de contourner le mécanisme d’authentification et ainsi obtenir des privilèges élevés sur l’application.

Joomla! [7]

Ce code d’exploitation se présente sous la forme d’un script écrit en Python. L’exécution de ce code permet à un attaquant d’exécuter des commandes arbitraires sur le serveur distant, en spécifiant les identifiants d’un compte admin et la commande à exécuter.

 

Informations

Attaque

Découverte d’une campagne d’attaques visant les serveurs Exchange et exploitant des failles 0-day [8]

Dans un article publié le 2 mars 2021, les équipes de Threat Intelligence de Microsoft ont annoncé que plusieurs vulnérabilités 0-day avaient été identifiées et sont activement exploitées sur des serveurs Exchange appartenant à des entreprises ciblées (la version Exchange Online n’est pas impactée). Attribuée au groupe Hafnium, un APT supposément lié au gouvernement chinois, cette campagne permettrait à ses opérateurs de compromettre des comptes utilisateurs au sein d’une organisation Exchange pour accéder à leurs emails et ensuite procéder à la mise en place de portes dérobées visant à maintenir leur accès.

Des attaquants utilisent des paquets NPM malveillants dans une nouvelle campagne d’attaques visant Amazon et Slack [9a][9b][9c][9d]

Les chercheurs de Bleeping Computer ont identifié une nouvelle campagne d’attaques. Celle-ci semble viser plusieurs grosses sociétés comme Amazon, Slack, Zillow ou Lyft et utilise une vulnérabilité catégorisée comme « une confusion de dépendances » (dependency confusion) afin d’injecter du code arbitraire dans des applications internes.

Ransomware

Après CGG, Qualys victime du ransomware Cl0p [10]

Les opérateurs du ransomware Cl0p continuent de faire de nouvelles victimes, cette fois-ci en exploitant une vulnérabilité du logiciel de transfert de fichiers volumineux FTA de l’éditeur Accellion. Des chercheurs du groupe Mandiant (FireEye) ont observé depuis mi-décembre 2020 que le groupe suspecté d’être derrière Cl0p déploie un nouveau webshell (logiciel malveillant permettant d’exécuter des commandes arbitraires sur un serveur web compromis) baptisé Dewmode par le biais de plusieurs vulnérabilités 0-day.

Publication

Publication d’un rapport de l’ANSSI sur le ransomware Ryuk [11a][11b]

L’ANSSI a publié le 26 février 2021 un rapport sur le ransomware Ryuk. Le rapport s’appuie sur les recherches effectuées par plusieurs organismes spécialisés en cybersécurité et propose une synthèse sur ce malware. Observé pour la première fois en août 2018, il s’agit d’une variante du ransomware Hermes, développé par le groupe CryptoTech. Ryuk serait responsable d’un cinquième des intrusions de type ransomware dans le monde en 2020.

Fuite d’informations

T-Mobile subit une fuite de données suite à des attaques par SIM swapping [12a][12b]

L’opérateur de télécommunication américain T-Mobile a subi une fuite de données qui a touché environ 400 utilisateurs. Ces derniers semblent avoir été victimes de SIM swapping. Le SIM swapping est une attaque qui permet à un attaquant de prendre le contrôle du numéro de téléphone de la cible pour ainsi pouvoir recevoir les appels et les SMS à sa place. Ainsi, l’attaquant peut facilement contourner les authentifications par SMS et récupérer les identifiants de sa victime.

Piratage

La NASA et la FAA également victimes de la compromission de SolarWinds [13]

Le groupe d’attaquants russe suspecté d’avoir mené l’attaque contre la société SolarWinds pour infiltrer les réseaux de plusieurs entreprises a également compromis les systèmes de la NASA et de la FAA (Federal Aviation Administration). Des chercheurs et des officiels des deux organisations ont présenté l’étendue de l’attaque auprès de la Commission du Sénat sur le renseignement (Senate Intelligence Committee).

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-1036
[2] CXA-2021-1052
[3] CXA-2021-1047
[4] CXA-2021-1045
[5] CXA-2021-1022
[6] CXA-2021-1055
[7] CXA-2021-1083
[8] CXN-2021-1035
[9] CXN-2021-1028
[10] CXN-2021-1062
[11] CXN-2021-1006
[12] CXN-2021-1023
[13] CXN-2021-1007


Jules Wermeister

Analyste CERT-XMCO