Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs suivants :
- [1] PostgreSQL
- [2] Mac OS
- [3] Microsoft Excel
- [4] Firefox ESR
- [5] Android
- [6] Cisco Webex
- [7] Django
- [8] Fortinet
- [9] PHP 7
- [10] HAProxy
Codes d’exploitation
Cette semaine, 2 codes d’exploitation ont été publiés.
Déni de service via une vulnérabilité au sein de Mac OS [11]
Ce code d’exploitation se présente sous la forme d’un programme écrit en C accompagné par des commandes en Bash. En exécutant un programme spécifique avec des privilèges élevés, un attaquant local est en mesure de provoquer un arrêt intempestif du système (Kernel panic
). Un correctif de sécurité est disponible.
Déni de service via une vulnérabilité au sein de Cisco Wireless LAN Controller [12]
Ce code d’exploitation se présente sous la forme d’une URL spécifiquement forgée. Un attaquant connecté au réseau de l’équipement peut donc envoyer cette requête pour provoquer un déni de service. Dans un autre cas d’exploitation, un attaquant non connecté à ce réseau peut persuader un utilisateur connecté d’accéder à cette URL. Un correctif de sécurité est disponible.
Informations
Cybercriminalité
Les autorités démantèlent l’infrastructure de distribution du RAT Imminent Monitor [13]
La police fédérale australienne, en collaboration avec Europol, le FBI, l’autorité de régulation des télécoms canadienne et d’autres agences à travers le monde ont démantelé le réseau de distribution de l’outil de contrôle à distance (RAT, pour Remote Access Tool) Imminent Monitor.
Des hôtels ciblés par plusieurs groupes de cybercriminels [14]
Des chercheurs de la société Kaspersky ont découvert que 2 groupes, baptisés RevengeHotels et ProCC, menaient des campagnes d’attaques ciblant les hôtels. Ils ont étudié les évolutions de leurs pratiques pendant plus d’un an. RevengeHotels serait actif depuis 2015.
Un fournisseur de data centers touché par un ransomware [15]
CyrusOne, un des plus grands fournisseurs de centres de données (data center) aux États-Unis, confirme qu’un ransomware l’a affecté. Des problèmes concernant la disponibilité de certains services managés ont été détectés et semblent provenir du ransomware. À ce jour, 6 clients ont été affectés par l’infection sur un total de 1000 clients.
Vulnérabilité
Le serveur web GoAhead est vulnérable à une exécution de code arbitraire [16]
GoAhead est un serveur web intégré populaire conçu pour être un framework d’applications web et un serveur pour des appareils intégrés. Ce serveur met à disposition les fonctionnalités basiques d’un serveur HTTP ainsi qu’une plateforme de développement d’applications.
La fonctionnalité d’authentification de quelques applications Microsoft permettrait de prendre le contrôle de comptes Azure [17]
La fonctionnalité d’authentification de quelques applications Microsoft permettrait de prendre le contrôle de comptes Azure. Le protocole OAuth 2.0 permet aux utilisateurs de partager des données de leurs comptes entre plusieurs applications de sorte qu’ils n’aient pas s’authentifier à chaque fois.
La vulnérabilité provient du fait que certaines applications Microsoft font confiance à des domaines non enregistrés par Microsoft. CyberArk a détecté 3 applications vulnérables : Portfolios, O365 Secure Score et Microsoft Trust Service mais il pourrait y en avoir davantage.
37 vulnérabilités ont été découvertes sur les solutions de VNC [18]
Le CERT-ICS de KASPERSKY a publié un rapport détaillant la découverte de 37 vulnérabilités concernant les solutions d’accès à distance (VNC). Ces logiciels sont généralement utilisés par les administrateurs système et les équipes supports pour pouvoir apporter une assistance aux utilisateurs.
Entreprise
Microsoft propose des mises à jour de sécurité payantes pour Windows 7 [19]
Microsoft a annoncé sur son site Internet étendre le support des mises à jour de sécurité pour Windows 7. Auparavant, ces mises à jour n’étaient disponibles que pour les licences vendues en volume (c’est-à-dire pour les grandes entreprises). Les mises à jour seront désormais disponibles jusqu’en janvier 2023 pour les entreprises de toutes tailles à travers le programme CSP (Cloud Solution Provider).
Malware
La multinationale de la sécurité privée Prosegur touchée par le ransomware Ryuk [20]
Mercredi 27 novembre 2019, Prosegur annonçait une attaque contre ses systèmes d’information. Le ransomware Ryuk a été déployé avec l’utilisation d’email de phishing combiné à Emotet.
Les équipes de Prosegur ont rapidement identifié la menace et pris les mesures nécessaires pour éviter une propagation supplémentaire. Néanmoins, le mode opératoire classique lié aux attaques combinant Emotet et Ryuk consiste pour les pirates à prendre le temps d’explorer un réseau compromis et d’y élever au maximum leurs privilèges avant de déclencher le ransomware. Cela risque de compliquer la tâche des équipes responsables de sécuriser à nouveau le SI de Prosegur.
Fuite d’informations
Les données volées de 21 millions d’utilisateurs de MixCloud mise en vente sur le dark web [21a] [21b]
Vendredi 29 novembre, un hacker connu sous le pseudonyme « A_W_S » a contacté plusieurs médias pour annoncer le piratage des données de 21 millions d’utilisateurs de la plateforme Mixcloud.
Les données de géolocalisation de milliers d’enfants exposées par une montre connectée [22]
Des chercheurs de l’AV-TEST Institute ont découvert plusieurs vulnérabilités affectant une montre connectée (`SMA-WATCH-M2 `) destinée aux enfants. Ces vulnérabilités leur ont permis de reconstituer les habitudes d’une jeune Allemande de 10 ans sélectionnée au hasard.
Le marketplace Magento d’Adobe est victime d’une intrusion [23]
Adobe vient de révéler qu’une intrusion s’était produite sur sa boutique Magento qui permet d’acheter, de vendre et de télécharger des thèmes et des plug-ins pour les sites en ligne utilisant Magento. Adobe avait racheté cette boutique pour 1,6 milliard de dollars en mai 2018. La date et l’heure exacte de l’intrusion ne sont pas encore connues, mais l’intrusion a été détectée le 21 novembre.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXN-2019-5558
[2] CXN-2019-5553
[3] CXN-2019-5539
[4] CXN-2019-5535
[5] CXN-2019-5511
[6] CXN-2019-5505
[7] CXN-2019-5498
[8] CXN-2019-5484
[9] CXN-2019-5478
[10] CXN-2019-5474
[11] CXN-2019-5530
[12] CXA-2019-5582
[13] CXN-2019-5557
[14] CXN-2019-5480
[15] CXN-2019-5580
[16] CXN-2019-5555
[17] CXN-2019-5536
[18] CXN-2019-5475
[19] CXN-2019-5537
[20] CXN-2019-5534
[21] CXN-2019-5501
[22] CXN-2019-5499
[23] CXN-2019-5468