Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par NTP [1], Google [2], Joomla! [3a][3b][3c][3d], SAP [4], Cisco [5] et Microsoft [6]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.
Il est à noter que des campagnes d’attaques exploitant les vulnérabilités affectant Microsoft Windows 10 et Microsoft Windows Server 2019 ont été détectées sur Internet
Codes d’exploitation
Imperva SecureSphere [7]
Le premier code d’exploitation affecte Imperva SecureSphere et permet à un attaquant distant authentifié de prendre le contrôle du système. Le code se matérialise sous la forme d’un module du framework Metasploit. Un attaquant peut l’utiliser pour injecter des commandes au sein du service PWS et exécuter du code arbitraire. Aucun correctif n’est actuellement disponible.
Apache Solr [8]
Le second code d’exploitation affecte Apache Solr. Il permet à un attaquant distant de prendre le contrôle du système.
Le code d’exploitation se matérialise sous la forme d’un script Python 3. Un attaquant distant peut reconfigurer le serveur Solr pour utiliser un serveur RMI malveillant et ainsi prendre le contrôle du système.
Aucun correctif n’est actuellement disponible.
Informations
Attaques
Vol de documents d’entreprise sensibles chez Citrix suite à une intrusion sur leur réseau interne par un groupe d’attaquants iraniens [9]
La multinationale américaine Citrix, spécialisée dans les logiciels de connexion de bureau à distance, a été la cible d’une cyber attaque permettant à des cybercriminels de dérober au moins 6TB de données d’entreprise confidentielles.
Citrix a été prévenu de l’attaque le 6 mars dernier par le FBI. Aucun produit ou service fourni par Citrix n’a été impacté par l’attaque.
Fuite d’informations
Fuite d’informations sur la plateforme de partage de fichiers Box.com [10]
Box.com est une plateforme de gestion de contenu dans le cloud, principalement utilisée pour partager des fichiers et des dossiers. Cette dernière a identifié des milliers de sous-domaines et plusieurs téraoctets de données de leurs clients accessibles comprenant entre autres :
- Des données métiers confidentielles ;
- Des centaines de photos de passeport ;
- Des numéros de sécurité sociale et des numéros de compte bancaire ;
- Des prototypes de haute technologie et des fichiers de conception.
La société explique dans son article que la fuite d’informations peut être expliquée par un manque d’authentification sur les ressources partagées.
Des informations supplémentaires sont disponibles sur la fuite de données de Mariott [11]
La chaîne d’hôtellerie Mariott a dévoilé plus d’informations quant à la fuite dont elle a été victime cette année. Parmi celles-ci il a été mention des informations ayant fuité.
Les informations suivantes ont fait l’objet de la fuite :
- 383 millions de données clientes ;
- 5,25 millions de numéros de passeport en clair ;
- Des milliers de données bancaires non chiffrées.
À ce jour, les entreprises surveillant le Dark Web n’ont pas trouvé de preuve que ces informations étaient en vente.
Une base de données divulguée sur Internet liste les femmes chinoises disposées à procréer [12]
Un chercheur néerlandais de la GDI Foundation a découvert une base de données révélant les informations personnelles de près de 2 millions de femmes chinoises. Les renseignements divulgués comportent notamment l’aptitude à procréer de chaque personne, en plus des données personnelles.
La provenance de cette base de données est pour le moment inconnu. Toutefois, plusieurs hypothèses émettent la possibilité qu’elle soit en lien avec une application de rencontre ou bien avec un registre gouvernemental.
L’existence d’un critère lié à l’aptitude à procréer reste particulièrement inquiétante dans la mesure où la Chine cherche à la fois à contrôler sa population et à relancer son taux de natalité.
Recherche
Un chercheur établit un lien entre de nombreux dépôts de code hébergeant des exécutables malveillants [13]
Un chercheur s’est intéressé à un malware disponible sur VirusTotal. En remontant la piste, il a pu révéler au grand jour une importante liste de comptes GitHub et SourceForge hébergeant au total plusieurs centaines d’exécutables malveillants.
Tous ces comptes appartiennent probablement à la même entité.
Github a supprimé les comptes découverts par le chercheur. Ce dernier estime que d’autres comptes créés par le même attaquant pourraient lui avoir échappé.
L’ANSSI publie des recommandations de sécurisation des systèmes GNU/Linux [14]
L’ANSSI a publié des recommandations de sécurisation des systèmes GNU/Linux. Ce document présente 5 recommandations minimales à respecter pour la sécurisation d’un système et propose 69 recommandations concrètes regroupées dans 4 niveaux de sécurité (minimal, intermédiaire, renforcé et élevé).
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2019-1139
[2] CXA-2019-1186
[3] CXA-2019-1194
[4] CXA-2019-1218
[5] CXA-2019-1123
[6] CXN-2019-1191
[7] CXA-2019-1116
[8] CXA-2019-1143
[9] CXN-2019-1120
[10] CXN-2019-1207
[11] CXN-2019-1212
[12] CXN-2019-1213
[13] CXN-2019-1136
[14] CXN-2019-1158