Résumé de la semaine 14 (du 3 au 9 avril)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Cisco pour SD-WAN vManage [1], par VMware pour PhotonOS [2] et par Google pour Android [3].
Ces correctifs concernent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 6 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.

Déni de service via une vulnérabilité au sein de Windows [4]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme, un attaquant va envoyer un paquet IPV6 décomposé afin de provoquer un arrêt complet du système.

Divulgation d’informations via une vulnérabilité au sein d’OpenManage Server Administrator (DSA-2020-172) [5]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. Un attaquant distant et non authentifié pouvait exécuter ce programme et spécifier une cible afin de lire le contenu de fichiers système arbitraires qui seraient normalement restreints.

Prise de contrôle du système et manipulation de données via une vulnérabilité au sein de Google Chrome [6]

Ce code d’exploitation se présente sous la forme d’un programme écrit en JavaScript. En incitant un utilisateur à afficher une page HTML spécifiquement conçue contenant ce code, un attaquant est alors en mesure de provoquer une corruption mémoire de la pile afin d’exécuter des commandes arbitraires sur le système sous-jacent.

Manipulation de données et divulgation d’informations via une vulnérabilité au sein de Jira Service Desk Server et Data Center [7]

Ce code d’exploitation se présente sous la forme d’instructions décrivant les étapes d’exploitation permettant d’exécuter du code JavaScript arbitraire dans le navigateur.

Prise de contrôle du système via une vulnérabilité au sein de Google Chrome [8]

Ce code d’exploitation se présente sous la forme d’un programme écrit en JavaScript. En incitant sa victime à ouvrir une page HTML incluant ce script, un attaquant est alors en mesure d’exécuter un programme malveillant sur l’ordinateur de cette dernière.

Prise de contrôle du système via une vulnérabilité au sein du noyau Linux [9]

Ce code d’exploitation se présente sous la forme d’un programme écrit en C. En suivant les étapes détaillées dans le bulletin, un attaquant est alors en mesure d’émettre un paquet l2cap spécifiquement conçu afin d’accéder à un invité de commande (reverse shell) menant à l’exécution des commandes arbitraires sur le système de sa victime.

Informations

Annonce

Nouvelle communication sur l’incident de sécurité du dépôt de code source de PHP [10]

Le mainteneur de PHP Nikita Popov a récemment publié une communication sur l’incident de sécurité du dépôt de code source de PHP. L’article donne des détails sur la façon dont les pirates sont parvenus à compromettre le code source du célèbre langage de programmation. En effet, ils auraient utilisé une méthode d’authentification alternative à celle couramment utilisée.

Attaque

Le FBI et la CISA observent une augmentation des attaques ciblant les équipements Fortinet [11a][11b]

Le FBI (Federal Bureau of Investigation) et la CISA (Cybersecurity and Infrastructure Security Agency) ont récemment publié un rapport afin de communiquer sur l’augmentation du nombre de scans à l’encontre des équipements Fortinet exposés sur Internet. Les scans observés sont effectués sur les ports TCP/4443, TCP/8443 et TCP/10443 correspondant aux ports sur lesquels sont généralement exposés les interfaces web FortiOS SSL VPN. Des vulnérabilités permettant le contournement du mécanisme d’authentification ont été découvertes ces dernières années sur ce type d’interface.

Une campagne d’attaque en cours cible les applications SAP [12a][12b]

Le CISA (Cybersecurity and Infrastructure Security Agency) a récemment publié une alerte concernant une campagne d’attaques en cours contre les applications SAP. Cette alerte fait suite à un rapport d’activités suspectes publié par la société Onapsis. Le rapport d’Onapsis donne des détails sur les attaques en cours observées, ainsi que des recommandations. La première d’entre elles consiste à mettre à jour les applications SAP aussi rapidement que possible.

Fuite d’informations

Les données personnelles de 553 millions d’utilisateurs de Facebook mises en ligne [13a][13b][13c]

Un utilisateur d’un forum de piratage a publié les données personnelles de centaines de millions d’utilisateurs de Facebook. Les données compromises de 553 millions d’utilisateurs de Facebook comprennent leurs numéros de téléphone, leur identifiant Facebook, leur nom complet, leurs lieux de résidence, leur date de naissance, leurs biographies et, dans certains cas, leurs adresses mail.

Une base de données contenant des données personnelles sur 500 millions d’utilisateurs de LinkedIn a été mise en vente [14a][14b]

Une base de données a été mise en vente le mardi 6 avril 2021 sur le forum Raidforums par un utilisateur nommé rollingzeus. Cette base de données contient d’après son vendeur les données personnelles de 500 millions d’utilisateurs de la plateforme LinkedIn qui auraient été obtenues via un scraping de la plateforme.

Recherche

Le chercheur ayant découvert une vulnérabilité « 0-clic » au sein du client Mail d’Apple a publié les détails de la vulnérabilité [15]

Une vulnérabilité référencée CVE-2020-9920 et impactant le client Mail d’Apple a été corrigée en juillet 2020 par les équipes d’Apple. Dite « 0-clic » (puisqu’elle ne nécessitait aucune interaction de la part de l’utilisateur), celle-ci permettait à un attaquant de déposer des fichiers arbitraires dans l’environnement cloisonné de Mail.

Phishing

Une campagne de phishing élaborée passe par LinkedIn pour tromper ses victimes [16a][16b]

Des chercheurs de la société eSentire ont récemment identifié une campagne de phishing utilisant LinkedIn pour atteindre ses cibles. Le groupe d’attaquants, baptisé Golden Chickens par les chercheurs, cible principalement des utilisateurs de LinkedIn recherchant un emploi. La campagne ne présente aucun aspect absolument nouveau, mais représente néanmoins l’état de l’art de ce type d’attaques.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-1620
[2] CXA-2021-1597
[3] CXA-2021-1574
[4] CXA-2021-1638
[5] CXA-2021-1635
[6] CXA-2021-1580
[7] CXA-2021-1632
[8] CXA-2021-1593
[9] CXA-2021-1643
[10] CXN-2021-1640
[11] CXN-2021-1596
[12] CXN-2021-1586
[13] CXN-2021-1576
[14] CXN-2021-1629
[15] CXN-2021-1578
[16] CXN-2021-1577

CERT-XMCO

Découvrir d'autres articles