Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Google pour son navigateur Google Chrome [1] et le système d’exploitation Android [2], par MikroTik pour RouterOS [3], par HPE pour HP-UX [4] ainsi que par Apple pour les systèmes d’exploitation macOS [5] et iOS [6]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 3 codes d’exploitation ont été publiés.
ClamAV [7]
Le premier code d’exploitation impacte ClamAV. Ce code d’exploitation se présente sous la forme d’un programme écrit en Python permettant de générer un fichier qui, une fois analysé par l’utilitaire ClamBC
, permet d’obtenir une invite de commandes sur le système. Aucun correctif n’est disponible pour le moment.
HPE Data Protector [8]
Le second code d’exploitation impacte HPE Data Protector. C’est un module écrit en Ruby pour le framework offensif Metasploit. Un attaquant utilisant ce code d’exploitation sur un système vulnérable peut exécuter un binaire spécifiquement construit avec les privilèges root
. Un correctif est disponible.
MikroTik RouterOS [9a] [9b]
Le dernier code d’exploitation impacte le système d’exploitation RouterOS des appareils MikroTik. Ce programme écrit en C++ permet à un attaquant distant d’empoisonner le cache DNS d’un routeur vulnérable. Un correctif est disponible.
Informations
Attaques
Une campagne d’attaques exploitant BlueKeep (CVE-2019-0708) repérée sur Internet [10a] [10b]
Le chercheur en sécurité Kevin Beaumont a partagé une analyse du comportement de ses honeypots (systèmes factices vulnérables visant à analyser le comportement des attaquants et les campagnes d’attaques en cours). L’analyse a révélé une exploitation de la vulnérabilité BlueKeep, qui permet d’exécuter du code arbitraire sur le système via le composant Remote Desktop Services
.
Plusieurs milliers de NAS QNAP infectés par le malware QSnatch [11]
Des attaquants ont réussi à compromettre plusieurs milliers de NAS QNAP pour y déployer le malware QSnatch. Le malware disposerait des fonctionnalités suivantes : exécution de modules, blocage des mises à jour, modification des tâches Cron, etc. L’éditeur a publié une mise à jour du firmware et de l’application MalwareRemover permettant de retirer QSnatch des systèmes infectés.
Fuites d’informations
Trend Micro informe d’une fuite de données personnelle suite à l’accès frauduleux d’un de ses employés [12]
Trend Micro a publié sur son blog une note faisant état d’une fuite de données personnelles de clients ayant conduit à des attaques d’hameçonnage, début aout 2019. L’éditeur a lancé une enquête qui a permis vers la fin octobre 2019 d’identifier un employé ayant frauduleusement accédé à une base de données contenant des noms, adresses email, numéros de tickets de support Trend Micro, et dans certains cas des numéros de téléphone.
Les bureaux d’enregistrement de noms de domaine les plus connus révèlent une fuite d’informations massive [13]
Les bureaux d’enregistrement de noms de domaine connus tels que Web.com, Network Solutions, et Register.com ont chacun annoncé une fuite d’informations massive concernant des données de comptes utilisateur. Alors que l’intrusion a été détectée le 16 octobre dernier, des attaquants auraient accédé à des millions de données utilisateurs dès la fin du mois d’aout.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2019-4999
[2] CXA-2019-5025
[3] CXA-2019-5027
[4] CXA-2019-5012
[5] CXA-2019-5001
[6] CXA-2019-5011
[7] CXA-2019-5000
[8] CXA-2019-5006
[9] CXA-2019-5028
[10] CXN-2019-4990
[11] CXN-2019-5016
[12] CXN-2019-5069
[13] CXN-2019-5043