Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Moodle [1a] [1b] [1c] [2a] [2b] [2c], par Citrix [3], par Google pour le navigateur Chrome [4] et par l’ISC pour leur serveur DNS Bind [5].
Codes d’exploitation
Cette semaine, un code d’exploitation a été publié.
Emerson PAC Machine [6]
Ce code d’exploitation cible les contrôleurs d’automatisation des procédés (ou PAC) Emerson. Ce dernier est une suite de commandes système Windows. En exécutant ce code, un attaquant est alors en mesure d’exécuter du code arbitraire avec les privilèges de l’application. Aucun correctif de sécurité n’est disponible.
Informations
Fuite d’informations
Fuite de données au Chili : les informations personnelles de tous les policiers nationaux publiées sur Internet [7]
Les informations personnelles de plus de 21 000 policiers nationaux du Chili ont été mises en ligne sur un site Internet. La page recense les informations de prénom, nom, grade, commissariat, unité, RUT (numéro fiscal chilien), numéro de téléphone et même adresse personnelle. Elle propose d’effectuer des recherches selon ces éléments, ou d’explorer une carte qui contient les localisations de chacun des policiers.
Fuite de données massive suite au piratage de la Cayman National Bank and Trust [8]
Suite au piratage de la branche de l’île de Man de la Cayman National Bank and Trust, plus de deux téraoctets de données concernant les activités de la banque et de ses clients ont été publiés sur le site de l’organisation d’activistes DDoSecrets.
Attaques
Un nouveau ransomware infecte les serveurs Nextcloud Linux vulnérables à la CVE-2019-11043 [9]
Plusieurs utilisateurs de Nextcloud ont récemment rapporté avoir été touchés par un ransomware baptisé NextCry en vertu de l’extension qu’il ajoute aux fichiers chiffrés. Il est probable que NextCry ait infecté ses victimes par le biais de la vulnérabilité référencée CVE-2019-11043 (cf. CXN-2019-4904) affectant entre autres la configuration Nginx de Nextcloud.
Découverte d’une campagne de phishing ciblant des comptes d’administration Office 365 [10]
Des chercheurs de la société Phishlabs ont découvert une campagne visant à dérober des données de connexion à des comptes d’administration Office 365. Ces comptes peuvent notamment accéder aux mails de tous les membres de l’organisation.
Des chercheurs de Trustwave découvrent un générateur de ransomware publiquement accessible [11]
Des chercheurs de Trustwave sont parvenus à retrouver un dépôt Github, publiquement accessible, donnant accès à un exécutable permettant de générer des ransomware. Ce générateur permet de générer des variantes personnalisées, permettant ainsi de faciliter la mise en place de ce type d’attaque par des acteurs ayant un faible niveau technique.
Une plainte déposée après une cyberattaque au CHU de Rouen [12]
Une attaque informatique perturbe le fonctionnement des Centres Hospitaliers Universitaires (CHU) de Rouen depuis le vendredi 15 novembre. Conformément à la procédure, l’arrêt immédiat de tous les ordinateurs de l’hôpital a été enclenché vendredi 15 novembre vers 20h. Tout au long de la nuit, une vingtaine de personnes du service informatique du CHU ont travaillé pour résoudre cette crise, soutenues par 7 experts de l’Agence Nationale de la Sécurité des systèmes d’information (ANSSI).
Entreprise
Google et ses partenaires publient les plans d’une puce dédiée aux vérifications d’intégrité de systèmes [13]
Google a annoncé la publication d’OpenTitan, un projet open source présentant des éléments de conception de composants matériels sécurisés. L’objectif est de permettre aux fabricants d’intégrer à leurs produits une puce dédiée à diverses opérations de sécurité. Ce mécanisme a été baptisé root of trust (RoT) par les entités participant au projet.
Signature d’une convention cyberdéfense entre le ministère des armées et 8 grands groupes [14]
Un accord a été signé jeudi 14 novembre 2019 entre le Ministère des Armées et les industriels de défense : Airbus, Ariane Group, Dassault Aviation, MBDA, Naval Group, Nexter, Safran et Thales. Dans un contexte d’attaques de plus en plus complexes visant les industriels, cette convention engage les signataires pour une durée de trois ans dans l’objectif de mettre en place une chaine de sécurité de bout en bout.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2019-5217
[2] CXA-2019-5245
[3] CXA-2019-5226
[4] CXA-2019-5257
[5] CXA-2019-5309
[6] CXA-2019-5305
[7] CXA-2019-5195
[8] CXA-2019-5281
[9] CXA-2019-5260
[10] CXA-2019-5284
[11] CXA-2019-5304
[12] CXA-2019-5230
[13] CXA-2019-5259
[14] CXA-2019-5254