Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.
Correctifs
Cette semaine, le CERT-XMCO recommande l’application des correctifs publiés pour le lecteur VLC [1], VirtualBox [2][3], et l’antivirus Norton [4]. L’exploitation des vulnérabilités corrigées permettait à un attaquant de provoquer un déni de service, d’élever ses privilèges voire de prendre le contrôle d’un système à distance.
Codes d’exploitation
La semaine dernière, quatre codes d’exploitation ont été publiés.
Le premier affecte le serveur de mail Exim. Ce code permet d’envoyer des requêtes sur le port 25 afin d’exploiter un dépassement de tampon et ainsi exécuter du code arbitraire à distance. La version 4.90.1 de Exim corrige cette vulnérabilité. [5]
Le second affecte le CMS Drupal. Ce code permet, à partir d’une session authentifiée, de supprimer des éléments sur le site. Un correctif est disponible. [6]
Le troisième affecte Nagios. Ce code permet de chainer l’exploitation de quatre vulnérabilités (injection SQL, élévation de privilèges…) afin de prendre le contrôle total du système. Un correctif est disponible. [7]
Le dernier affecte LibreOffice sur Windows. Ce code permet de générer un document malveillant. Ce document permet à un attaquant sur le réseau local de récupérer l’empreinte du mot de passe d’un utilisateur. Aucun correctif n’est disponible. [8a][8b]
Informations
Vulnérabilités
Un journal allemand indique avoir été informé de la découverte par des chercheurs de huit nouvelles vulnérabilités impactant les processeurs Intel. Elles sont regroupées sous le nom SPECTRE-NG. D’après l’article, les vulnérabilités critiques pourraient permettre à un attaquant disposant d’un accès à une machine virtuelle d’exécuter du code arbitraire sur le système hôte. Cela pose donc de grands risques pour les utilisateurs d’hyperviseurs (les hébergeurs sont ainsi particulièrement touchés). [9a][9b]
Le 17 avril dernier, Oracle a publié son traditionnel « CPU » (Critical Patch Update), corrigeant notamment une vulnérabilité critique au sein d’Oracle Fusion Middleware (bulletin CXA-2018-1623). Cette faille, référencée CVE-2018-2628, permettait à un attaquant distant d’exécuter du code arbitraire à distance sur le serveur Weblogic (port TCP 7001) en contournant le mécanisme d’authentification. Malheureusement, un utilisateur Twitter du nom de « @pyn3rd » a posté ce weekend un message affirmant que la vulnérabilité n’aurait pas été corrigée proprement, et que les systèmes disposant du correctif seraient toujours vulnérables. [10]
Un chercheur de VPNMentor a découvert 2 vulnérabilités critiques au sein des routeurs GPON. Les routeurs GPON sont fournis par certains fournisseurs d’accès internet (FAI) et sont donc utilisés par de nombreux particuliers (plus d’un million selon le chercheur). En combinant les 2 vulnérabilités, il est possible d’exécuter des commandes et de récupérer leur résultat sans être authentifié. Un attaquant pourrait alors prendre le contrôle de l’appareil. Le chercheur a fourni un code d’exploitation en Bash permettant de réaliser ce scénario. [11]
Malwares
Un nouveau ransomware a été découvert et possède une caractéristique intéressante. Au lieu de chiffrer les documents de la victime, le malware compile un autre programme chiffré lors de son exécution et charge le ransomware directement en mémoire. Cette méthode est utilisée pour empêcher le logiciel responsable du lancement du ransomware d’être détecté par un logiciel de sécurité, car tout comportement malveillant est en réalité présent à l’intérieur de la chaîne chiffrée. [12]
Vie privée
Twitter a confirmé avoir donné un accès aux données de ses utilisateurs à un chercheur affilié à l’entreprise Cambridge Analytica. Le Docteur Aleksandr Kogan, responsable de l’application Facebook de quizz qui a permis de récupérer les données de plus de 80 millions d’utilisateurs, aurait aussi eu accès à des données d’utilisateurs mises à disposition par Twitter grâce à un programme d’analyses marketing. Twitter assure que les données qui ont été fournies à Aleksandr ne comportent pas d’informations personnelles et qu’il n’est pas possible d’en récupérer en utilisant ce programme. [13]
La Commonwealth Bank a annoncé avoir perdu 2 bandes magnétiques. Ces dernières contenaient des données concernant 20 millions de clients (noms, adresses, numéros de compte, transactions financières enregistrées entre 2000 et 2016). Selon la banque, aucune des données contenues sur ces bandes n’est utilisable pour effectuer des transactions frauduleuses. Elle continue néanmoins de surveiller activement les comptes des clients concernés. [14]
Cybercriminalité
Depuis plus d’une semaine, des pirates informatiques ont commencé à scanner Internet à la recherche de serveurs Oracle WebLogic vulnérables. Le 17 avril 2018, Oracle a publié son avis de sécurité trimestriel qui contenait un correctif pour la CVE-2018-2628 (bulletin CXA-2018-1642). Cette dernière corrige une vulnérabilité critique touchant le composant principal WLS de WebLogic, un serveur applicatif pour Java EE. [15]
Des chercheurs de la société RedScan ont découvert une campagne de phishing exploitant la mise en place imminente du RGPD. Ils ont reçu un email (dont l’émetteur cherchait à se faire passer par Airbnb) indiquant au destinataire qu’il ne pourrait plus envoyer de messages et que son logement ne pourrait plus faire l’objet de nouvelles réservations, à moins qu’il n’accepte une mise à jour des conditions d’utilisation du service. L’email contenait un lien pointant vers un site malveillant comportant un formulaire invitant l’utilisateur à entrer ses données de connexion, ses données bancaires ainsi que d’autres données personnelles. [16]
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco
Références portail XMCO
[1] CXA-2018-1785
[2] CXA-2018-1861
[3] CXA-2018-1804
[4] CXA-2018-1823
[5] CXA-2018-1858
[6] CXA-2018-1822
[7] CXA-2018-1812
[8] CXA-2018-1855
[9] CXN-2018-1870
[10] CXN-2018-1809
[11] CXN-2018-1817
[12] CXN-2018-1797
[13] CXN-2018-1832
[14] CXN-2018-1850
[15] CXN-2018-1840
[16] CXN-2018-1878