Le CERT-FR a connaissance d'attaques en cours ciblant des serveurs vCenter exposés sur Internet. Il est urgent de procéder soit à l'application du contournement pour désactiver le greffon vulnérable soit de déployer les versions corrigeant la vulnérabilité.

Un arrêté publié le 2 mars au Journal officiel supprime les dispositions dérogatoires de l'arrêté du 10 juillet 2020 permettant aux professionnels de santé de s'équiper en outils numériques ne respectant pas la politique générale de sécurité des systèmes d'information en santé (PGSSI-S) et la réglementation relative à l'hébergement des données de santé.

Une liste de 50.000 comptes utilisateurs, c'est-à-dire d'identifiants et mots de passe associés "appartenant vraisemblablement à des agents de centres hospitaliers", est en vente sur un forum cybercriminel depuis le 4 février, a alerté le 19 février la cellule d'accompagnement cybersécurité des structures de santé (ACSS) sur son site internet.

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

VULNÉRABILITÉS SIGNIFICATIVES DE LA SEMAINE 06

Le 2 mars 2021, Microsoft a publié des correctifs concernant des vulnérabilités critiques de type « jour zéro » (zero day) affectant les serveurs de messagerie Exchange en version 2010, 2013, 2016 et 2019.

Ces vulnérabilités permettent à un attaquant de réaliser une exécution de code arbitraire à distance, permettant d’obtenir in fine les droits de l’administrateur de domaine Active Directory.

Ce bulletin d’actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l’analyse de l’ensemble des avis et alertes publiés par le CERT-FR dans le cadre d’une analyse de risques pour prioriser l’application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l’objet d’un plan d’action lorsqu’elles génèrent des risques sur le système d’information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

VULNÉRABILITÉS SIGNIFICATIVES DE LA SEMAINE 07

[Mise à jour du 24 février 2021]

Les marqueurs techniques suivants sont de nouveaux marqueurs réseau associés au rançongiciel Ryuk (voir la publication CERTFR-2020-CTI-011). Ils peuvent être utilisés à des fins de recherche de compromission dans des journaux historiques ou de détection.

Les établissements de santé devront désormais consacrer "une part de 5 à 10% de leur budget informatique à la cybersécurité" pour bénéficier du soutien de l'Etat, ont annoncé le 22 février Olivier Véran et Cédric O dans un communiqué de presse diffusé en marge d'un déplacement au CH de Villefranche-sur-Saône.

Emmanuel Macron a annoncé le 18 février que 350 millions d'euros, issus des 2 milliards d'euros du Ségur de la santé consacrés au numérique, "seront dédiés à renforcer la sécurité des systèmes d'information de santé impliqués dans les échanges de données du parcours".

L’ANSSI propose dans ce document une analyse des vulnérabilités les plus critiques qu’elle a traitées au cours de l’année 2020. Cette démarche s’inscrit dans ses missions de sécurité et de défense des systèmes d’information et en particulier de veille et d’information sur les vulnérabilités.

Malgré, une adoption progressive des techniques et bonnes pratiques de développement sécurisé, il est impossible de garantir qu’un produit soit totalement exempt de vulnérabilités. La découverte de vulnérabilité fait partie intégrante du cycle de vie d’un produit, il est donc essentiel d’appliquer les correctifs proposés par les éditeurs de solution. En effet, les vulnérabilités non corrigées sont exploitées par des attaquants afin de réaliser des actions malveillantes et compromettre des équipements.

Au-delà des vulnérabilités qui sont listées dans ce document, l’Agence rappelle qu’il est vital pour le maintien en condition de sécurité des systèmes d’informations d’assurer une veille constante des vulnérabilités découvertes et publiées quotidiennement sur Internet. Les grandes majorités des éditeurs de solution proposent des avis de sécurité afin de prévenir des nouvelles vulnérabilités affectants leurs produits. Par ailleurs, par le biais du CERT-FR, l’Agence propose aussi un service de veille quotidienne sur les produits qu’elle juge critiques.

Les marqueurs techniques, les règles SNORT et YARA suivantes sont issues des analyses de l’ANSSI lors du traitement d’une campagne de compromission par le mode opératoire Sandworm touchant plusieurs entités françaises et ciblant le logiciel de supervision Centreon. Cette campagne d’attaque est décrite dans le rapport CERTFR-2021-CTI-004. Ils sont fournis à des fins de recherche de compromission dans des journaux historiques, sur des systèmes et dans des flux réseau en temps réel. Toute détection à partir de ces éléments ne constitue pas une preuve de compromission mais doit être analysée afin de lever le doute. Plusieurs éléments sont relatifs à des outils partagés par plusieurs attaquants et leur détection seule ne suffit pas à lier un incident à cette campagne d’attaque. L’ANSSI est intéressée par tout incident découvert en lien avec cette campagne.

Les marqueurs techniques suivants sont associés à l’infrastructure d’attaque utilisée par le groupe cybercriminel TA505 depuis 2019 (voir la publication CERTFR-2021-CTI-002). Ils peuvent être utilisés à des fins de recherche de compromission dans des journaux historiques ou de détection temps réel pour les plus récents.

Il est également recommandé de bloquer tous les flux impliquant des adresses IP sur les plages « 91.214.124.0/24 » et « 176.121.14.0/24 » correspondant à des hébergements « bulletproof » uniquement utilisés à des fins malveillantes.