Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre du Patch Tuesday [1], par Git [2], par Atlassian [3], par SAP [4], par Citrix pour Workspace [5], par Apple pour iPadOS et iOS [6], par Gitlab [7], par Mozilla pour Firefox [8] et par Fortinet pour FotiNAC [9] et FortiWeb [10].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’eux.
Prise de contrôle du système via 2 vulnérabilités au sein de routeurs Cisco Small Business [11]
Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. En exécutant ce module contre un appareil impacté, un attaquant obtient un reverse shell avec les privilèges de l’utilisateur www-data.
Prise de contrôle du système via une vulnérabilité au sein de Webmin [12]
Ce code d’exploitation se présente sous la forme d’un module Nuclei. Celui-ci permet à un attaquant d’exécuter des commandes arbitraires sur un serveur ciblé.
Informations
Ransomware
Des affiliés du ransomware Cl0p affirment avoir compromis le SI de 130 organisations en exploitant une faille 0-day affectant GoAnywhere MFT [13a] [13b] [13c] [13d]
Le média en ligne Bleeping Computer aurait été contacté par des affiliés du ransomware Cl0p. Ces derniers affirmeraient avoir réussi à compromettre le SI d’environ 130 organisations en exploitant la faille 0-day référencée CVE-2023-0669 affectant l’outil de transfert de fichiers GoAnywhere MFT. Les attaquants ont expliqué avoir été en mesure de déployer leur ransomware, mais avoir choisi de se contenter d’exfiltrer des données.
Malware
Retour sur l’usage des infostealers dans l’écosystème cybercriminel [14a] [14b] [14c] [14d]
Les chercheurs en sécurité ont observé une recrudescence de l’utilisation d’infostealers par les cybercriminels. L’entreprise de sécurité Tidal indique dans un rapport avoir observé plus de 16 familles d’infostealers récemment actives, dont 12 familles apparues en 2022.
International
Les autorités espagnoles, américaines et Interpol ont démantelé un réseau cybercriminel qui aurait escroqué ses victimes à hauteur de 5,3 millions de dollars [15]
8 personnes appartenant à une organisation cybercriminelle, située à Madrid, ont récemment été arrêtées par les autorités espagnoles, américaines, panaméennes, et Interpol à Madrid et Miami. Ce groupe utilisait des méthodes de phishing, de l’ingénierie sociale, du smishing (phishing par sms) et du vishing (phishing par appel téléphonique) pour inciter ses victimes à partager leurs détails bancaires.
Attaque
Attaques par DDoS en hausse, une nouvelle attaque record souligne cette tendance [16a] [16b] [16c] [16d]
Le week-end du 11-12 février 2023, Cloudflare aurait enregistré une attaque DDoS (Distributed Denial of Service) record affectant ses clients. Entre 50 et 70 millions de requêtes par seconde (RPS) auraient été envoyées via le protocole HTTP sur une durée d’environ 5 minutes. Les acteurs malveillants à l’origine de l’attaque n’ont pas été identifiés.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXN-2023-0811
[2] CXA-2023-0836
[3] CXA-2023-0826
[4] CXA-2023-0808
[5] CXA-2023-0784
[6] CXA-2023-0754
[7] CXA-2023-0845
[8] CXA-2023-0840
[9] CXA-2023-0862
[10]CXA-2023-0866
[11] CXA-2023-0750
[12] CXA-2023-0844
[13] CXN-2023-0838
[14] CXN-2023-0752
[15] CXN-2023-0831
[16] CXN-2023-0753
