CERT-W Newsletter Février 2021

Ethical Hacking & Incident Response

Publié le

Indicateurs du mois

TOP ATTACKDeux hôpitaux français victimes d’attaques par ransomware
Des attaques par ransomware ont frappé deux groupes hospitaliers français en moins d’une semaine, entraînant le transfert de certains patients vers d’autres établissements mais n’affectant pas les soins aux patients du groupe Covid-19 ni les vaccinations virales. Les deux hôpitaux français ont été frappés par des attaques de ransomware, et un troisième a coupé préventivement les connexions avec un fournisseur informatique. Le centre hospitalier de Villefranche-sur-Saône, dans le département du Rhône (est de la France), a annoncé lundi qu’une cyberattaque avait été détectée à 4h30 du matin, heure locale. L’attaque par le crypto-virus RYUK, une sorte de ransomware, « impacte fortement » les sites de Villefranche, Tarare et Trévoux de l’hôpital Nord-Ouest.
TOP EXPLOITUne version obsolète de Windows et un faible niveau de cybersécurité ont permis aux pirates d’empoisonner la station d’épuration de Floride.
Le pirate a pu utiliser un logiciel d’accès à distance pour faire passer le niveau d’hydroxyde de sodium dans l’eau d’environ 100 parties par million à 11 100 parties par million pendant quelques minutes, selon les enquêteurs. La cyberdivision du FBI a informé mardi les services de police et les entreprises des vulnérabilités informatiques qui ont conduit au piratage de la station de traitement des eaux Bruce T. Haddock à Oldsmar le 5 février.
Les systèmes informatiques de la station utilisaient Windows 7, qui n’a pas reçu de support ou de mises à jour de Microsoft depuis plus d’un an, selon le FBI.
TOP LEAKCOMB : plus de 3 milliards de mots de passe Gmail, Hotmail, Netflix ont fuité
Elle est surnommée « la plus grande brèche de tous les temps » et « la mère de toutes les brèches » : COMB, ou Compilation of Many Breaches, contient plus de 3,2 milliards de paires uniques d’e-mails et de mots de passe en clair. Si de nombreuses brèches et fuites de données ont affecté l’internet par le passé, celle-ci est exceptionnelle par son ampleur. En effet, la population totale de la planète est d’environ 7,8 milliards d’habitants, et cette fuite représente environ 40 % de cette population.

Veille sur la cybercriminalité

Arrestation de dix pirates informatiques ayant volé plus de 100 millions de dollars en cryptomonnaies en détournant des numéros de téléphone
Une dizaine de criminels ont été arrêtés à la suite d’une enquête internationale sur une série d’attaques par sim swapping visant des célébrités aux États-Unis. Les attaques orchestrées par ce groupe criminel ont visé des milliers de victimes tout au long de l’année 2020, dont des influenceurs internet célèbres, des stars du sport, des musiciens et leurs familles. Les criminels leur auraient volé plus de 100 millions USD en crypto-monnaies après avoir obtenu illégalement l’accès à leurs téléphones.
Les systèmes Centreon ont été ciblés par le set d’intrusion Sandworm, impactant plusieurs entités françaises
L’ANSSI a été informée d’une campagne d’intrusion ciblant le logiciel de surveillance Centreon distribué par la société française CENTREON, ce qui a entraîné la violation de plusieurs entités françaises. Cette campagne a principalement touché des fournisseurs de technologies de l’information, notamment des hébergeurs web.

Sur les systèmes compromis, l’ANSSI a découvert la présence d’une porte dérobée sous la forme d’un webshell déposé sur plusieurs serveurs Centreon exposés à Internet. Cette campagne présente plusieurs similitudes avec les campagnes précédentes attribuées à l’ensemble d’intrusion nommé Sandworm.

Après l’arrestation d’Emotet et de Netwalker, des groupes de cybercriminels publient les clés de décryptage de leurs victimes
Moins d’un mois après l’arrestation des réseaux Emotet et Netwalker, deux groupes de cybercriminels connus sous le nom de Ziggy et Fonix ont annoncé qu’ils mettaient fin à leurs opérations de ransomware et qu’ils publiaient toutes les clés de décryptage de leurs victimes. Les groupes ont fait part de leurs préoccupations concernant les récentes activités des forces de l’ordre et de leur culpabilité pour avoir crypté les victimes. L’administrateur du ransomware Ziggy a en effet posté un fichier SQL contenant 922 clés de décryptage pour les victimes cryptées. Pour chaque victime, le fichier SQL énumère trois clés nécessaires au décryptage de leurs fichiers cryptés.

Veille sur les vulnérabilités

CVE-2021-1300CISCO SD-WAN vulnerability
CVSS score: 9.8 CRITICAL

Cette vulnérabilité de dépassement de mémoire tampon provient d’une mauvaise gestion du trafic IP; un attaquant pourrait exploiter la faille en envoyant du trafic IP spécialement conçu via un périphérique affecté, ce qui peut provoquer un dépassement de mémoire tampon lorsque le trafic est traité. En fin de compte, cela permet à un attaquant d’exécuter du code arbitraire sur le système d’exploitation sous-jacent avec des privilèges root.

CVE-2021-1257CISCO digital network architecture CSRF vulnerability
CVSS score : 8.8 HIGH

Cette vulnérabilité est due à l’insuffisance des protections CSRF pour l’interface de gestion basée sur le web d’un dispositif affecté. Un attaquant distant et non-authentifié pourrait exploiter cette vulnérabilité en persuadant un utilisateur de l’interface de gestion basée sur le web de suivre un lien spécialement conçu à cet effet. Une exploitation réussie pourrait permettre à l’attaquant d’effectuer des actions arbitraires sur le dispositif avec les privilèges de l’utilisateur authentifié. Ces actions comprennent la modification de la configuration du dispositif, la déconnexion de la session de l’utilisateur et l’exécution des commandes du Command Runner.

CVE-2021-1647Microsoft defender remote code execution vulnerability
CVSS score : 7.8 HIGH

Cette vulnérabilité affectant le moteur antivirus « Microsoft Malware Protection Engine » (mpengine.dll) embarqué par défaut dans Windows, de la version 7 à la dernière version 20H2 de Windows 10 (et versions équivalentes côté serveurs) pourrait permettre à un attaquant de réaliser une exécution de code arbitraire. Microsoft a reconnu avoir observé son exploitation dans certaines attaques, cette faille aurait même pu être utilisée lors de la gigantesque attaque estimée comme étant de niveau étatique ayant visé l’éditeur SolarWinds.