Résumé de la semaine 4 (21 au 28 janvier)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Google pour Chrome [1], par Apple pour iPadOS [2a][2b][3] et pour macOS [4][5], et pour PostgreSQL [6].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Un code d’exploitation a été publié cette semaine.

Prise de contrôle via une vulnérabilité au sein de produits ManageEngine [7]

Ce code d’exploitation se présente sous la forme d’un module Nuclei qui permet d’envoyer une requête SAML spécifiquement conçue à une victime.

Informations

Attaque

Une vulnérabilité permettant l’exécution de code à distance est activement exploitée sur Sophos Firewall [8]

Une vulnérabilité (référencée CVE-2022-3236) a été découverte sur Sophos Firewall. Un correctif de sécurité a été publié afin de corriger celle-ci. Cependant, la faille est activement exploitée depuis l’Asie du Sud. La vulnérabilité impacte plus précisément l’interface d’administration Web et le portail utilisateur du produit. Ce dernier recevra par défaut une mise à jour de sécurité. Cependant, si la fonctionnalité de mise à jour automatique a été désactivée sur une instance de Sophos Firewall par son administrateur, le CERT-XMCO recommande d’installer manuellement le dernier correctif de sécurité. Une mise à jour manuelle sera également nécessaire pour les versions les plus anciennes de Sophos Firewall, qui ne supportent pas les mises à jour automatiques.

Fuite d’informations

L’entreprise GoTo explique que des données clients ainsi qu’une clé privée ont été volées par un attaquant en novembre 2022 [9a] [9b]

L’entreprise GoTo (anciennement LogMeIn) a publié un communiqué détaillant davantage la fuite de données subie par l’entreprise en novembre 2022. GoTo offre un service cloud pour le télétravail, la communication ainsi que des solutions de gestion IT et de support technique.

Publication

ANSSI : Publication du panorama de la cybermenace 2022 [10a] [10b]

Le 24 janvier 2023, l’ANSSI a publié le panorama de la cybermenace en 2022. Ce rapport présente les principales tendances en matière de cybermenaces. Il indique notamment que l’année 2022 a en réalité confirmé les orientations observées en 2021 plutôt que d’en révéler de nouvelles.

Malware

BoldMove : une backdoor conçue pour cibler FortiOS en exploitant une vulnérabilité zero-day [11a] [11b] [11c]

En décembre 2022, Mandiant a découvert une backdoor, nommée BoldMove, dans un dépôt public. Cette backdoor aurait été spécifiquement conçue pour cibler les pare-feu Fortigate, en se déployant via l’exploitation de la vulnérabilité zero-day (CVE-2022-42475) présente sur FortiOS SSL-VPN. BoldMove aurait été développé par un groupe opérant depuis la Chine et ciblant des organisations gouvernementales et leur personnel en Europe et en Afrique.

Des attaquants utiliseraient maintenant des pièces jointes OneNote pour propager des malwares [12a] [12b]

Les attaquants, qui privilégiaient les fichiers aux formats Word et Excel pour propager des malwares lors de campagnes de phishing, ont vu leurs possibilités d’attaques réduites depuis que Microsoft a désactivé par défaut les macros VBA dans Office. Depuis décembre 2022, les chercheurs en sécurité ont observé que les attaquants utiliseraient des pièces jointes piégées au format OneNote pour exécuter des malwares. Microsoft OneNote est une application de bloc-notes numérique de bureau téléchargeable gratuitement et installée par défaut dans les installations Microsoft Office 2019 et Microsoft 365. La plupart des e-mails de phishing envoyés prétendent être des notifications d’expédition DHL, des factures, de formulaires de paiements à distance et des documents d’expédition de marchandises.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.

Références portail XMCO

[1] CXA-2023-0430
[2] CXA-2023-0422
[3] CXA-2023-0415
[4] CXA-2023-0420
[5] CXA-2023-0414
[6] CXA-2023-0382
[7] CXA-2023-0389
[8] CXN-2023-0393
[9] CXN-2023-0441
[10] CXN-2023-0440
[11] CXN-2023-0377
[12] CXN-2023-0416

CERT-XMCO

Découvrir d'autres articles

En savoir plus En savoir plus