Alertes

Le rançongiciel Ryuk activement distribué par les maliciels TrickBot et Emotet à travers des campagnes de messages malveillants

Plusieurs établissements de santé ont récemment été victimes d’actes de cybermalveillance impliquant les maliciels Emotet, TrickBot et Ryuk. Il convient d’y apporter une attention particulière car ces trois maliciels sont utilisés dans des chaînes d’attaques complexes impactant fortement l’activité des victimes.

[Mise à jour 22/02/2021] Il est à noter que des campagnes de scans en provenance des infrastructures des groupes TA505 (cluster d’activtité du rançongiciel Clop) et UNC1878 (cluster d’activité du rançongiciel Ryuk) visant des établissements de santé ont également été signalées. Les attaquants potentiels cherchent en particulier des machines disposant de services ssh, mysql et rdp ouverts, plus de 8000 autres ports sont également scannés.

Une vulnérabilité d’élévation de privilèges de criticité élevée a été identifiée sur Moxa MXview

Une vulnérabilité de criticité élevée a été corrigée sur les versions v2.8 et antérieures du logiciel de gestion de réseau MXview de Moxa. Son exploitation permet à un utilisateur local autorisé ayant accès aux fichiers d’élever ses privilèges en insérant du code dans des chemins de service sans guillemets (unquoted service path).

Informations

Impact

Élévation de privilèges

Criticité

CVSS v3 : 7.8

Existence d’un code d’exploitation de la vulnérabilité

Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

MXview versions 2.8 et antérieures

CVE

CVE-2017-14030

Recommandations

Correctifs

Moxa a corrigé ces vulnérabilités dans une nouvelle version du logiciel disponible sur son centre de support.

Solution de contournement

Il n'existe pas actuellement de solution de contournement.

Liens

CERT US
Moxa