Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Cisco pour Elastic Services Controller [1] et par Google pour Android [2]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitations
Cette semaine, 3 codes d’exploitation ont été publiés.
Google Chrome [3]
Le premier code d’exploitation impacte Google Chrome et permet à un attaquant d’exécuter du code arbitraire sur le système. Ce code d’exploitation se présente sous la forme d’un module pour le framework offensif Metasploit écrit en Ruby. En utilisant ce module, un attaquant est alors en mesure de créer un serveur Web avec une page spécifiquement forgée. Un correctif est disponible.
NetBSD [4]
Le second code d’exploitation impacte NetBSD. Celui-ci permet à un attaquant d’accéder à des informations sensibles. Le code d’exploitation se présente sous la forme d’un programme écrit en C. En exécutant ce programme, un attaquant peut lire des informations de la pile du noyau. Un correctif est disponible.
PostgreSQL [5]
Enfin, un code d’exploitation impacte PostgreSQL. L’exploitation de cette faille permet à des super-utilisateurs ou des utilisateurs situés dans le groupe pg_read_server_files
d’exécuter des commandes arbitraires dans le contexte de l’utilisateur système de la base de données. Ce code d’exploitation se présente sous la forme d’un module pour le framework Metasploit écrit en Ruby. Aucun correctif n’est disponible.
Informations
Cybercriminalité
Le groupe de cyber espionnage Buckeye employait des outils dévoilés par les Shadow Brokers [6]
Symantec a récemment révélé dans un rapport que le groupe de cyber espionnage Buckeye, aussi connu sous les noms d’APT3, Gothic Panda ou Pirpi, employait les outils d’espionnages de l’Equation Group (unité de pirates liée à la National Security Agency) avant leur révélation par Shadow Brokers.
Europol parvient a fermer deux marketplaces du Dark Web [7]
Europol a publié un communiqué de presse dans lequel est résumé le résultat d’une opération visant à fermer deux marchés illégaux sur le Dark Web : Wall Street Market et Silkkitie (aussi connue sous le nom de Valhalla Market).
Vulnérabilité
Le département américain de la Sécurité intérieure ordonne aux agences fédérales de corriger les vulnérabilités critiques dans les 15 jours [8]
Cette semaine, le département américain de la Sécurité intérieure (DHS) a publié une nouvelle directive opérationnelle contraignante (BOD) demandant aux agences et aux départements fédéraux d’agir plus rapidement lorsqu’il s’agit de corriger les vulnérabilités graves des systèmes exposés sur Internet.
Une vulnérabilité permet de provoquer le déni de service d’un serveur de contrôle d’un botnet basé sur Mirai [9]
Ankit Anubhav, un chercheur de la société NewSky Security, a découvert une vulnérabilité affectant le malware Mirai. Cette vulnérabilité permet de provoquer le déni de service d’un serveur de contrôle.
Plusieurs serveurs de commande de botnet compromis à cause de faibles identifiants [10]
La plupart des botnets rassemblant des objets connectés, comme Mirai et QBot, compte sur de faibles identifiants pour s’identifier sur les machines victimes. Cependant, il est courant que ces mêmes acteurs appliquent eux aussi de faibles politiques de gestion de mots de passe sur leur serveur de commande et de contrôle.
Attaques
Un pirate vide des dépôts Git et demande des rançons [11]
Des centaines de développeurs possédant un dépôt Git ont vu leur contenu être supprimé et remplacé par une demande de rançon de 0.1 Bitcoin (~$570). Le début de l’attaque a eu lieu dans la matinée du 3 mars et semble être coordonné sur les différents services d’hébergement Git (Github, Bitbucket, GitLab).
Annonces
Armagadd-on 2.0 : toutes les extensions de Mozilla Firefox inopérantes suite à l’expiration d’un certificat intermédiaire [12]
Trois ans après Armagadd-on[1], Mozilla ne semble pas avoir appris de ses erreurs passées. Le 4 mai 2019, plus aucune extension ne peut être utilisée dans Mozilla Firefox suite à l’expiration d’un certificat intermédiaire.
À partir du 10 juin, les extensions Firefox contenant du code obfusqué seront bannies [13]
Dans un communiqué sur son site, Mozilla a présenté sa nouvelle politique en termes d’extensions pour son navigateur Firefox. Celle-ci sera appliquée le 10 juin. La principale mesure annoncée est la suivante : la suppression de toutes les extensions contenant du code obfusqué. C’est une voie dans laquelle le navigateur de Google s’est déjà engagé depuis le 1er janvier 2019.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2019-2128
[2] CXA-2019-2127
[3] CXA-2019-2123
[4] CXA-2019-2084
[5] CXA-2019-2146
[6] CXN-2019-2107
[7] CXN-2019-2092
[8] CXN-2019-2097
[9] CXN-2019-2112
[10] CXN-2019-2113
[11] CXN-2019-2094
[12] CXN-2019-2096
[13] CXN-2019-2091