Résumé de la semaine du 13 août 2022

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Apple pour iPadOS et iOS [1], macOS Monterey [2] ainsi que Safari [3], par Cisco pour Secure Web Appliance [4], par Google pour Chrome [5], par MariaDB [6a] [6b] [6c] [6d] [6e] et par Apache pour OpenOffice [7a] [7b].

Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Un code d’exploitation a été publié cette semaine.

Élévation de privilèges via une vulnérabilité au sein de Zimbra [8]

Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. En exécutant la commande zmslapd avec des paramètres spécifiques, un attaquant est en mesure de charger un fichier de configuration qui lui octroie les privilèges root sur le système. Aucun correctif n’est disponible pour le moment.

 

Informations

Threat Intelligence

Kroll publie son rapport trimestriel sur l’état de la menace [9a] [9b]

Les experts de l’entreprise Kroll ont publié un rapport trimestriel sur l’évolution de l’état de la menace cybercriminelle. Parmi les tendances identifiées par Kroll, on peut retenir l’augmentation des attaques ciblant le secteur de la santé, provoquée notamment par l’arrivée du groupe Black Basta.

Cybercriminalité

Cl0p a obtenu un accès au système contrôlant les composants chimiques d’une compagnie des eaux britannique [10]

Le groupe Cl0p a revendiqué une attaque contre la compagnie des eaux britanniques South Staffordshire. Les attaquants ont déclaré sur leur blog « qu’il serait facile de changer la composition des produits chimiques utilisés pour purifier l’eau ». L’entreprise South Staffordshire et ses filiales (South Staffs et Cambridge Water) approvisionneraient au moins 1,6 million de personnes et des dizaines de milliers d’organisations en eau.

Malware

Kaspersky découvre deux paquets malveillants sur PyPi [11]

Les chercheurs de Kaspersky ont publié l’analyse technique de deux paquets malveillants découverts sur le dépôt PyPi. L’objectif de ces paquets malveillants était de dérober des données personnelles ainsi que des identifiants.

Fuite d’informations

Environ 1900 utilisateurs de la messagerie Signal seraient affectés par la fuite de données survenue chez Twilio [12a] [12b]

Le 15 août, la messagerie Signal a publié un communiqué expliquant avoir subi une fuite de données à la suite de l’attaque affectant un prestataire. Il s’agit de l’entreprise Twilio proposant un service de vérification d’identité par SMS. La compromission aurait été causée par une campagne de spear phishing ciblant les employés de Twilio.

Phishing

Microsoft perturbe les opérations de phishing du groupe Seaborgium [13]

Le centre de Threat Intelligence de Microsoft (MSTIC) a annoncé ce lundi 15 août 2022 avoir perturbé les opérations de phishing (en cours) menées par l’APT Seaborgium. Selon le MSTIC, Seaborgium serait un groupe russe dont les objectifs et la victimologie coïncideraient avec les intérêts du gouvernement russe.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2022-3985
[2] CXA-2022-3984
[3] CXA-2022-3990
[4] CXA-2022-3979
[5] CXA-2022-3962
[6] CXA-2022-3964
[7] CXA-2022-3923
[8] CXA-2022-3939
[9] CXN-2022-3982
[10] CXN-2022-3981
[11] CXN-2022-3980
[12] CXN-2022-3959
[13] CXN-2022-3924

CERT-XMCO

Découvrir d'autres articles