Résumé de la semaine du 10 décembre 2022

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre du Patch Tuesday [1], par SAP [2], par Citrix [3a][3b][3c] et par Fortinet pour FortiOS [4].

Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, aucun bulletin portant sur des codes d’exploitation n’a été publié par le CERT-XMCO.

Informations

Vulnérabilité

Une vulnérabilité critique dans les produits Citrix ADC et Gateway serait activement exploitée par le groupe APT5 [5a] [5b]

Le 13 décembre 2022, Citrix a identifié une vulnérabilité affectant les produits Citrix ADC et Gateway ayant une configuration spécifique.
La vulnérabilité, référencée CVE-2022-27518, est critique et permettrait à un attaquant de contourner les contrôles d’authentification puis d’exécuter du code arbitraire sur les appareils concernés.

Annonce

Un chercheur est parvenu à effacer des données via une faille dans des produits de sécurité [6a] [6b]

Or Yair, un chercheur en sécurité chez SafeBreach, est parvenu à transformer en malware effaceur de données des logiciels de détection (EDR) et des logiciels antivirus (AV) largement utilisés de MicrosoftSentinelOneTrendMicroAvast et AVG.
Le chercheur a exploité un manque de vérification dans le processus de suppression de fichiers détectés comme malveillant par les antivirus et les EDR.

Threat Intelligence

Une nouvelle backdoor ciblant les hyperviseurs VMware a été découverte [7a] [7b]

Les chercheurs de Juniper Networks ont identifié une nouvelle porte dérobée (backdoor) ciblant les hyperviseurs VMware ESXi et permettant aux attaquants d’exécuter du code arbitraire.
La backdoor repose sur la modification de quelques fichiers, systématiquement sauvegardés et restaurés après chaque redémarrage, octroyant une persistance sur le Système d’Information.

Ransomware

Le ransomware Royal cible le système de santé des États-Unis [8]

Le département de la santé et des services sociaux des États-Unis a signalé des attaques en cours contre le secteur de la santé par le ransomware Royal, avec des demandes de rançon allant de 250 000 à 2 millions de dollars.
Selon le centre de coordination de la cybersécurité du secteur de la santé (HC3), Royal ne serait pas un ransomware-as-a-service, mais un malware utilisé par un seul groupe. Ses membres pratiquent la double extorsion et seraient actifs depuis le début de l’année 2022.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2022-6044
[2] CXA-2022-6064
[3] CXA-2022-6026
[4] CXA-2022-5971
[5] CXN-2022-6032
[6] CXN-2022-5983
[7] CXN-2022-6030
[8] CXN-2022-5962

CERT-XMCO

Découvrir d'autres articles