Alertes

Le rançongiciel Ryuk activement distribué par les maliciels TrickBot et Emotet à travers des campagnes de messages malveillants

Plusieurs établissements de santé ont récemment été victimes d’actes de cybermalveillance impliquant les maliciels Emotet, TrickBot et Ryuk. Il convient d’y apporter une attention particulière car ces trois maliciels sont utilisés dans des chaînes d’attaques complexes impactant fortement l’activité des victimes.

[Mise à jour 22/02/2021] Il est à noter que des campagnes de scans en provenance des infrastructures des groupes TA505 (cluster d’activtité du rançongiciel Clop) et UNC1878 (cluster d’activité du rançongiciel Ryuk) visant des établissements de santé ont également été signalées. Les attaquants potentiels cherchent en particulier des machines disposant de services ssh, mysql et rdp ouverts, plus de 8000 autres ports sont également scannés.

Apache Struts 2 est vulnérable à un déni de service

Apache a identifié et corrigé une vulnérabilité dans Struts 2. Le plugin REST utilise la bibliothèque XStream qui est vulnérable et permettrait de provoquer un déni de service en envoyant des requêtes contenant de l’XML spécialement conçu.

Informations

Impact

Déni de service

Criticité

CVSS v3 : 7.5

Existence d’un code d’exploitation de la vulnérabilité

Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

Struts 2.1.1 à Struts 2.5.14.1

CVE

CVE-2018-1327

Recommandations

Correctifs

Mettre à jour vers la version Struts 2.5.16 et installer le gestionnaire Jackson XML.

Solution de contournement

Il n'existe pas actuellement de solution de contournement.

Liens

Bulletin de sécurité Apache Struts : S2-056