Résumé de la semaine 6 (du 4 au 10 février)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Google pour Chrome [1] et Android [2], par phpMyAdmin [3], par TYPO3 [4], par OpenSSL [5][6] et par Apache pour Kafka [7].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 4 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.

Prise de contrôle du système via 3 vulnérabilités au sein de VMware vRealize Log Insight [8]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En l’exécutant, un attaquant est en mesure de déposer un fichier arbitraire sur le système d’exploitation. La charge utile présente par défaut dans le code permet de déposer un reverse shell.

Prise de contrôle du système et déni de service via une vulnérabilité au sein de FortiOS [9]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. Il permet à un attaquant distant et non authentifié d’envoyer une requête HTTP dont l’en-tête Content-Length contient un entier assez grand pour provoquer une lecture hors limite de la mémoire causant le crash de FortiGate SSLVPN.

Manipulation de données et divulgation d’informations via une vulnérabilité au sein de Grafana [10]

Ce code d’exploitation se présente sous la forme d’un module Nuclei qui permet d’envoyer une requête HTTP spécifiquement conçue à une victime.

Prise de contrôle du système via une vulnérabilité au sein d’Apache Spark [11]

Ce code d’exploitation se présente sous la forme d’un module Nuclei permettant d’émettre une requête HTTP spécifiquement conçue afin d’exécuter la commande echo CVE-2022-33891 | rev sur le système vulnérable dans le but de vérifier l’exploitabilité de la vulnérabilité.

Informations

Attaque

Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi [12a] [12b] [12c] [12d] [12e]

Une campagne d’exploitation d’une vulnérabilité affectant VMware ESXi est en cours depuis le 03/02/2023. De nombreux hyperviseurs ESXi en version 6.x et antérieurs à 6.7 ont été chiffrés et une demande de rançon y a été déposée.

Microsoft attribue la cyberattaque de janvier 2023 contre Charlie Hebdo à un acteur sponsorisé par le régime iranien [13a] [13b]

Les équipes de Microsoft DTAC (Digital Threat Analysis Center) ont publié une note au sujet de la cyberattaque affectant le journal satirique Charlie Hebdo. L’attaque avait eu lieu le 4 janvier dernier et avait consisté à défacer la page d’accueil du journal et à voler les données personnelles de 200 000 clients. Un individu avait ensuite revendiqué l’attaque sur les forums cybercriminels en proposant de vendre les données pour 20 bitcoins, soit 320 000 dollars. La somme paraissait anormalement élevée pour ce genre de données.

Vulnérabilité

Un exploit et un correctif successivement publiés pour une vulnérabilité zero-day activement exploitée affectant GoAnywhere MFT [14a] [14b] [14c] [14d]

Un code d’exploitation pour une vulnérabilité zero-day affectant le produit GoAnywhere MFT a été publié le 6 février par le chercheur Florian Hauser. GoAnywhere MFT est un outil développé par Fortra et permettant de transférer des fichiers de façon sécurisée avec des partenaires.

Malware

Les chercheurs de CheckPoint publient une analyse technique du packer Trickgate [15a] [15b]

Les chercheurs de Checkpoint ont publié l’analyse technique du packer TrickGate. Il s’agit d’un logiciel permettant de compresser, encoder ou encore chiffrer un binaire afin d’éviter sa détection par les solutions de sécurité.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2023-0662
[2] CXA-2023-0618
[3] CXA-2023-0632
[4] CXA-2023-0628
[5] CXA-2023-0644
[6] CXA-2023-0635
[7] CXA-2023-0646
[8] CXA-2023-0615
[9] CXA-2023-0595
[10] CXA-2023-0617
[11] CXA-2023-0610
[12] CXN-2023-0589
[13] CXN-2023-0601
[14] CXN-2023-0645
[15] CXN-2023-0660

CERT-XMCO

Découvrir d'autres articles