Journal des Cyberattaques - Août 2022 • Allistic

Ransomware

Ce mois d’août 2022 a été particulièrement marqué par un nombre impressionnant d’attaques par ransomware. Les périodes estivales restreignant grandement les effectifs, les cyberattaques se sont multipliées sur l’ensemble du territoire.

Ce 17 Août, la filiale française du groupe allemand Hensoldt remarquait une intrusion sur leur système d’information faisant suite à une réaction immédiate. Cependant, malgré les contre-mesures mises en place, le groupe Hensoldt indiquait dans un communiqué de presse du 18 août la très probable fuite d’un volume important de données ainsi que le chiffrement total d’une grande partie de leurs systèmes.

Au même moment, Damart, Le groupe distributeur des fameux vêtements thermolactyl était lui aussi confronté à une cyberattaque. L’intrusion ayant été rapidement détectée, des contre-mesures ont rapidement été prises afin d’endiguer la progression des attaquants. Celle-ci a malgré tout eu pour effet la mise hors service des sites web du groupe.

Smishing

Ce début août, la plateforme de communication Cloud Twilio repérait un accès non autorisé aux informations de plusieurs comptes de leurs clients.

La technique utilisée ? Des SMS prétendant provenir du service informatique de la société ont été envoyés à une grande partie des employés. Leur contenu prétextait une expiration de mot de passe ou un changement d’emploi du temps incitant à se connecter sur un domaine contrôlé par les attaquants. Ces données ont ensuite été utilisées pour accéder à certains de leurs systèmes internes contenant pour certains des informations clients.

Afin de répondre à cet incident, Twilio a rapidement révoqué l’accès au comptes compromis, fait appel à une société de forensic pour enquêter sur l’incident et mis en place une campagne de sensibilisation sur l’ensemble de ses collaborateurs.

La société d’infrastructure Web Cloudflare a révélé suite à cela une attaque du même type sur ses collaborateurs. L’attaque provenait de numéros de téléphone associés à des cartes SIM émises par T-Mobile. L’attaquant a été bloqué par l’utilisation de clés de sécurité physiques conformes à la norme FIDO2.

CVE

Le jeudi 11 août 2022, L’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ajoutait à son catalogue de vulnérabilités connues et activement exploitées deux CVE de criticité haute et critique liés à la suite de logiciels Zimbra Collaboration.

La CVE-2022-27925 (Score CVSS: 7,2) est une exécution de code à distance (RCE) liée à la fonction mboximport de Zimbra Collaboration 8.8.15 et 9.0 qui a pour tâche de recevoir des fichiers ZIP et en extraire les fichiers. L’exploitation de cette CVE nécessite des droits élevés, un utilisateur authentifié avec un token d’authentification d’administrateur a alors la possibilité d’exploiter des liens symboliques afin de télécharger des fichiers arbitraires dans des répertoires arbitraires. Un exploit de la vulnérabilité qui a été corrigé dans les versions 8.8.15 Patch 31 et 9.0.0 Patch 24 publiées en mars 2022 est disponible publiquement sur le web et permet entre autres d’installer une porte dérobée basée sur JSP dans le répertoire web des serveurs vulnérables.

La CVE-2022-37042 (Score CVSS: 9,8) permet quant à elle et un contournement d’authentification rendu possible par une résolution incomplète de la CVE-2022-27925 vue précédemment permettant d’exploiter la CVE sans token d’authentification. Cette CVE quant à elle a été patché dans les versions 8.8.15 Patch 33 et 9.0.0 Patch 26 publiées en août.

Les articles qui pourraient également vous intéresser ...

Comment Sécuriser Votre Active Directory : Techniques et Meilleures Pratiques de Durcissement

Jean-Michel
25 avril 2024
blog

Commençons franchement, le durcissement d'un Active Directory n’est pas quelque chose de facile. Pour autant, garantir la sécurité de votre Active Directory est primordial. Quelles solutions s’offrent à vous ?

EDR, NDR, XDR… Mieux comprendre les solutions de cybersécurité modernes.

Jean-Michel
7 février 2024
blog

EDR, le premier rempart contre les cyberattaques Les solutions EDR, pour Endpoint Detection & Response,…

Grandir et faire grandir - Interview d'Anthony

Jean-Michel
15 janvier 2024
blog

Ce mois ci, nous avons décidé d'interviewer Anthony. Anthony a rejoint Allistic en tant qu'alternant dans le cadre de son Mastère Expert Cybersécurité

Profitez des fêtes en toute sécurité : Maîtrisez les risques cyber pendant la période de Noël

Jean-Michel
18 décembre 2023
blog

La période de Noël apporte son lot de joie et de célébrations, mais elle s'accompagne…

Sécurité informatique des PME et ETI : L'externalisation, un allié stratégique

Jean-Michel
12 décembre 2023
blog

La cybersécurité demeure un enjeu crucial pour les PME et ETI, confrontées à des défis…

Allistic Obtient le Label Expert Cyber !

Nous sommes fiers et ravis d'annoncer une nouvelle réalisation qui témoigne de notre engagement constant envers l'excellence en matière de cybersécurité : Allistic a obtenu le prestigieux label Expert Cyber !

Cookie	Durée	Description
__hssrc	session	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.

Cookie	Durée	Description
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__hssc	30 minutes	HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.

Cookie	Durée	Description
__hstc	5 months 27 days	This is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
hubspotutk	5 months 27 days	HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.

Cookie	Durée	Description
uuid	6 months	MediaMath sets this cookie to avoid the same ads from being shown repeatedly and for relevant advertising.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.