Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par ISC [1a] [1b] [1c], Apache [2], Google [3] et Foxit Software [4]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitations
QNAP myQNAPCloud [5]
Le premier code d’exploitation affecte QNAP myQNAPCloud et permet à un attaquant distant de provoquer un déni de service. Le code se matérialise sous la forme d’un script Python. Ce dernier génère un fichier .txt contenant la charge utile à coller dans le champ « username » ou « password » de la mire d’authentification. Un correctif est disponible.
Foxit Software [6]
Le second code d’exploitation affecte le logiciel Foxit Reader PDF. Il permet à un attaquant d’élever ses privilèges. Le code d’exploitation se matérialise sous la forme d’un script écrit en Python. Un attaquant peut exécuter ce script qui générera puis enverra une charge utile au logiciel vulnérable. Un correctif est disponible.
Apple macOS [7a] [7b] [7c]
Ce code d’exploitation cible le système d’exploitation macOS et permet à un attaquant local d’élever ses privilèges. Le code d’exploitation a été écrit en C. Il permet à un attaquant d’exécuter du code arbitraire avec des privilèges élevés. Un correctif est disponible.
Atlassian Confluence [8]
Ce code d’exploitation affecte Atlassian Confluence. Ce dernier prend la forme d’un module du framework offensif Metasploit écrit en Ruby. Un attaquant peut utiliser ce module pour prendre le contrôle du système. Un correctif est disponible.
Informations
Attaques
Une campagne publicitaire exploitant une vulnérabilité dans Chrome touche un demi-milliard d’utilisateurs d’iOS [9a] [9b]
Un groupe de pirates informatiques appelé eGobbler mène depuis quelques jours une campagne publicitaire malveillante (malvertising). La campagne aurait déjà touché environ 1 demi-milliard de sessions d’utilisateurs d’iPhone et d’iPad, principalement aux États-Unis, mais aussi en Europe. Selon Eliya Stein de la société Confiant, il s’agit de l’une des trois plus grosses campagnes de publicité malveillantes des 18 derniers mois. Après avoir analysé la charge utile d’eGlobber, les chercheurs ont pu déterminer que le code d’exploitation permettait de contourner un grand nombre des attributs standards de l’environnement sandbox de Chrome, et notamment le bloqueur de publicités intempestives.
Opération ShadowHammer : compromission de l’utilitaire ASUS Live Updater par une APT [10a] [10b] [10c]
Selon les chercheurs de Kaspersky, la complexité et les techniques de cette attaque sophistiquée correspondent à celles des attaques sur ShadowPad ou CCleaner. Le logiciel a été signé avec des certificats légitimes (« ASUSTeK Computer Inc. » par exemple) ce qui a permis la dissimulation et donc la persistance du cheval de Troie implémenté. Le but de l’attaque était de cibler chirurgicalement un groupe inconnu d’utilisateurs, qui ont été identifiés par les adresses MAC de leurs adaptateurs réseau. Les chercheurs de Kaspersky ont pu extraire plus de 600 adresses MAC uniques provenant de plus de 200 échantillons utilisés dans l’attaque.
Des attaquants exploitent activement une vulnérabilité affectant Confluence pour déployer le ransomware GandCrab [11]
Le 20 mars 2019, la société Atlassian a révélé que plusieurs vulnérabilités avaient été corrigées dans son produit Confluence. L’une d’entre elles, référencée CVE-2019-3396 , permettait à un attaquant de prendre le contrôle du système affecté. Des chercheurs de la société Alert Logic ont découvert que des attaquants avaient développé un code d’exploitation pour cette vulnérabilité et avaient lancé une campagne d’attaques ciblant les systèmes affectés. Les attaquants exploitent la vulnérabilité pour exécuter un script PowerShell dont le rôle est de déployer le ransomware GandCrab sur le système cible.
EternalBlue est toujours utilisé pour infecter des systèmes non maintenus [12a] [12b]
Des chercheurs de la société Keysight ont découvert que le programme EternalBlue était toujours utilisé pour compromettre des systèmes non maintenus appartenant à des entreprises. Le nombre de requêtes visant à détecter la présence de la vulnérabilité associée sur un système était 3 fois plus élevé en décembre 2018 qu’en janvier de la même année.
Recherche
Le code source du trojan bancaire Carbanak a été publié [13a] [13b]
Le code source du malware Carbanak a été découvert cette semaine sur VirusTotal par des chercheurs de FireEye.
Ce malware est réputé pour avoir été utilisé par le groupe FIN7 contre des institutions bancaires et a permis de subtiliser des millions de dollars. FireEye a commencé à publier une série d’articles dans lesquels ils détaillent l’analyse du code malveillant.
Vulnérabilité
Prise de contrôle d’un système via une vulnérabilité dans Oracle WebLogic [14]
Une vulnérabilité a été découverte au sein d’Oracle Weblogic. Son exploitation permet à un attaquant de prendre le contrôle d’un système.
La faille de sécurité n’est référencée par aucune CVE pour le moment et provient d’une erreur au sein des modules wls9_async et wls-wsat. En passant par le service SOAP, un attaquant non authentifié est en mesure d’exécuter des commandes à distance sur le serveur.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2019-1944
[2] CXA-2019-1938
[3] CXA-2019-1920
[4] CXA-2019-1896
[5] CXA-2019-1887
[6] CXA-2019-1900
[7] CXA-2019-1924
[8] CXA-2019-1952
[9] CXN-2019-1925
[10] CXN-2019-1923
[11] CXN-2019-1947
[12] CXN-2019-1931
[13] CXN-2019-1918
[14] CXN-2019-1936