Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Synology pour son système d’exploitation Router Manager [1], par Shibboleth pour son système de SSO [2a] [2b], par Samba [3], par Citrix pour son hyperviseur [4], par Autodesk [5], pour Linux [6a] [6b] [6c], par Mozilla pour Thunderbird [7] et par Microsoft pour son navigateur Edge [8].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, aucun code d’exploitation n’a été publié.
Informations
Annonce
La fonction de hachage cryptographique SHA-1 déclarée obsolète par le NIST [9a] [9b]
Le SHA-1, dérivé de SHA (secure hash algorithm), était utilisé depuis 1995 dans le cadre du Federal Information Processing Standard (FIPS) 180-1. Désormais, les ordinateurs les plus puissants permettent de mener une attaque par collision SHA-1 et ainsi créer un contenu malveillant avec le même hash que le message initial. Le SHA-1 n’offre donc plus un niveau de sécurité suffisant.
Le gouvernement français annonce de nouvelles mesures pour renforcer la sécurité informatique des établissements de santé [10]
Le ministre de l’Intérieur, Gérald Darmanin, de la santé, François Braun, et le ministre délégué au numérique, Jean-Noël Barrot ont exprimé leur volonté dans un communiqué commun de mettre en place des exercices pour les établissements de santé les plus prioritaires et d’élaborer un plan blanc numérique. Ces exercices auraient pour vocation de faire adopter à ces établissements d’adopter des réflexes et de bonnes pratiques en cas de cyber incident. Une Task Force a également été créée pour mener à bien ce nouveau projet.
Vulnérabilité
Cisco observe l’exploitation d’anciennes vulnérabilités lors d’attaques [11]
Cisco a mis à jour 20 avis de sécurité pour avertir de l’exploitation de vulnérabilités graves affectant ses logiciels Cisco IOS, NX-OS et HyperFlex. En mars 2022, l’équipe de réponse aux incidents de sécurité des produits Cisco (PSIRT) aurait observé une nouvelle tentative d’exploitation de ces vulnérabilités. Elles permettraient à des attaquants d’exécuter du code arbitraire (RCE), de provoquer un déni de service (DoS) ou d’exécuter des commandes arbitraires.
Attaque
Détournement de la certification de pilotes Microsoft [12]
Plusieurs entreprises de sécurité (Mandiant, SentinelOne et Sophos) ont alerté Microsoft le 19 décembre 2022 sur le détournement de la certification des pilotes Microsoft. Microsoft a depuis révoqué les certificats des pilotes suspects.
Ransomware
Le ransomware Agenda serait en train de passer de Golang à Rust [13a] [13b]
Le 16 décembre 2022, Trend Micro a publié une analyse sur l’évolution du ransomware Agenda. Les derniers échantillons de ransomware analysés par Trend Micro ont permis d’identifier de nouvelles fonctionnalités.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2022-6169
[2] CXA-2022-6154
[3] CXA-2022-6104
[4] CXA-2022-6121
[5] CXA-2022-6111
[6] CXA-2022-6191
[7] CXA-2022-6175
[8] CXA-2022-6143
[9] CXN-2022-6117
[10] CXN-2022-6171
[11] CXN-2022-6152
[12] CXN-2022-6142
[13] CXN-2022-6139
