Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Mozilla pour Firefox ESR [1] et Thunderbird [2] , par Google pour Chrome [3], par Zyxel [4] et par Apache pour Tomcat [5a][5b][5c] .
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Un code d’exploitation a été publié cette semaine. Un correctif est disponible.
Prise de contrôle du système via une vulnérabilité au sein de FortiNAC [6]
Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. Un attaquant distant et non authentifié peut ainsi obtenir un reverse shell avec les privilèges de l’utilisateur root.
Vulnérabilité
Publication d’un code d’exploitation pour la vulnérabilité CVE-2022-39952 affectant FortiNAC [7a] [7b] [7c]
L’exploitation de la vulnérabilité, corrigée le 16 février 2023, permettrait à un acteur malveillant de prendre le contrôle du système visé à distance.
Attaque
5 nouveaux paquets malveillants ont été identifiés sur PyPI [8a] [8b] [8c]
Les chercheurs de Fortinet ont identifié cinq paquets malveillants ayant été mis à disposition sur la bibliothèque PyPI (Python Package Index). La campagne d’attaque visait à installer un malware de type infostealer
La nouvelle compromission de GoDaddy révèle une campagne d’attaques beaucoup plus large [9a] [9b]
Le 16 février, l’entreprise Godaddy a publié un communiqué expliquant avoir subi une compromission de son environnement cPanel.
International
Deux agences européennes de cybersécurité mettent en garde contre les attaques de groupes chinois [10a] [10b]
L’ENISA (Agence de l’Union européenne pour la cybersécurité) et le CERT-UE ont publié, le 15 février 2023, un rapport conjoint indiquant avoir observé de nombreuses attaques informatiques affectant entités privées et gouvernements de l’Union européenne, attribuées à différents groupes APT chinois. L’objectif premier des attaques serait l’espionnage étatique et industriel.
Ransomware
Retour sur la compromission de Thales par l’opérateur de ransomware LockBit [11a] [11b]
Le 31 octobre 2022, l’opérateur de ransomware Lockbit 3.0 a revendiqué sur son site vitrine la compromission de thalesgroup.com. La divulgation des données, initialement prévue pour le 7 novembre, avait entraîné le lancement de la procédure de gestion de crise par Thales. Le RSSI, Stéphane Lenco, revient sur cette attaque et sur ce qu’elle a permis d’apprendre sur le groupe LockBit.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-0940
[2] CXA-2023-0913
[3] CXA-2023-1007
[4] CXA-2023-0977
[5] CXA-2023-0957
[6] CXA-2023-0945
[7] CXN-2023-0943
[8] CXN-2023-0953
[9] CXN-2023-0920
[10] CXN-2023-0918
[11] CXN-2023-0942
