Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Cisco pour Cisco WebEX [1a] [1b] [1c], par Drupal [2a] [2b] [2c] et par Microsoft (en dehors du processus habituel de mise à jour) pour Windows 10 [3]. Ces correctifs adressent des dommages allant de la divulgation d’informations à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, aucun code d’exploitation n’a été publié.
Informations
Vulnérabilités
Découverte de 19 vulnérabilités affectant la bibliothèque TCP/IP Treck : Ripple20 [4]
Le laboratoire de recherche JSOF a découvert 19 vulnérabilités résidant dans la bibliothèque bas-niveau TCP/IP développé par Treck Inc. Ces vulnérabilités, regroupées sous le nom de Ripple20 affectent un grand nombre d’équipements allant de l’imprimante ou de l’objet connecté jusqu’aux systèmes industriels.
Zero Day Initiative publie une analyse de la vulnérabilité CVE-2020-1181 [5]
Microsoft a récemment publié un correctif pour la vulnérabilité référencée CVE-2020-1181, qui affectait le logiciel Microsoft SharePoint Server. Son exploitation permettait d’exécuter du code arbitraire sur le serveur en poussant un utilisateur à visiter une page Web spécialement conçue.
Le client VPN Pulse Secure pour Windows possède une vulnérabilité permettant à un attaquant d’élever ses privilèges [6]
Le chercheur en sécurité connu sous le nom de « Red Timmy » a publié le résultat de ses recherches sur le client VPN Pulse Secure pour Windows. En effet, ce dernier a trouvé une vulnérabilité (désormais référencée CVE-2020-13162) dans le composant dsInstallerService
embarqué par le service du VPN (PulseSecureService.exe
).
Cybercriminalité
Talos publie les tendances des menaces pour le troisième trimestre 2020 [7]
Des chercheurs de Talos ont récemment publié un article présentant les tendances de menaces récentes. Les résultats présentés sont le fruit des analyses effectuées dans le cadre de réponses à incidents. Premièrement, les domaines des entreprises prises pour cibles restent diversifiés, mais un glissement s’est opéré avec les secteurs financiers et gouvernementaux délaissés par les attaquants en faveur des secteurs des technologies et de la santé.
Le ransomware Black Kingdom utilise les appliances VPN Pulse Secure afin de pénétrer dans les réseaux [8a] [8b]
Les chercheurs de l’équipe REDTEAM.PL ont publié une analyse relative au groupe d’attaquants Black Kingdom, observée via l’un de leurs honeypots. Ces derniers exploitent la vulnérabilité référencée CVE-2019-11510 affectant les appliances VPN Pulse Secure.
Publication
Détails sur l’exploitation d’un routeur SOHO (Small Office/Home Office) [9]
Un chercheur en sécurité a récemment publié sur le blog GRIMM l’audit d’un routeur SOHO (Small Office/Home Office) à destination des petites entreprises. Le routeur analysé est le routeur Netgear R7000.
International
Zoom reconnaît avoir suspendu des comptes de militants à la demande de la Chine [10a] [10b]
L’entreprise de visioconférence Zoom a annoncé sur son blog avoir suspendu des comptes et mis fin à des téléconférences liées à des commémorations des manifestations de la place Tian’anmen. Ces suspensions ont été demandées par le gouvernement chinois, qui considère ces réunions illégales sur son territoire.
Un rapport de la CIA révèle des détails sur la fuite d’information Vault7 [11]
Des journalistes et des sénateurs américains ont récemment pu consulter une version censurée d’un rapport de la WikiLeaks Task Force de la CIA. Ce rapport revient sur les conditions dans lesquelles a eu lieu la fuite d’information Vault7, qui a notamment révélé des outils de piratage utilisés par la célèbre agence de renseignement.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXN-2020-3192
[2] CXN-2020-3185
[3] CXN-2020-3169
[4] CXN-2020-3154
[5] CXN-2020-3160
[6] CXN-2020-3145
[7] CXN-2020-3157
[8] CXN-2020-3128
[9] CXN-2020-3156
[10] CXN-2020-3115
[11] CXN-2020-3193