Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.
Correctifs
Cette semaine, le CERT-XMCO recommande l’installation des correctifs de sécurité publiés pour Oracle VM [1][2][3], le CMS Joomla![4] ainsi que pour MariaDB [5]. L’exploitation des vulnérabilités corrigées permettait à un attaquant de provoquer divers dommages allant du déni de service à la prise de contrôle du système à distance.
Codes d’exploitation
La semaine dernière, 8 codes d’exploitation ont été publiés.
Le code d’exploitation pour HPE Intelligent Management Center permettait le contournement du mécanisme d’authentification puis l’injection d’une commande permettant de compromettre le système. Un correctif est disponible. [6]
Le code d’exploitation visant les produits Cisco SA520W permettait à un attaquant de dérober des informations sensibles via l’exploitation d’une vulnérabilité permettant de traverser les répertoires (‘directory traversal’). Aucun correctif n’est actuellement disponible. [7]
Le code d’exploitation pout SAP NetWeaver Web Dynpro permettait à un attaquant d’énumérer les utilisateurs de l’application en obtenant leurs noms, leurs identifiant ainsi que leurs adresses email. Un correctif est disponible. [8]
Le code d’exploitation pour les contrôleurs programmables Schneider Electric permettait à un attaquant de changer le mot de passe de l’utilisateur en incitant ce dernier à cliquer sur un lien spécifique. Un correctif est disponible. [9]
Les 2 codes d’exploitation pour Siemens SIMATIC permettaient à un attaquant de réaliser un déni de service, de dérober et manipuler des informations sensibles. Des correctifs sont disponibles. [10a][10b][11]
Le code d’exploitation pour Windows permettait à un attaquant d’élever ses privilèges sur le système via l’envoi d’un fichier malveillant. Un correctif est disponible. [12]
Enfin, un code d’exploitation pour le noyau Linux provenait de diverses vulnérabilités au sein des microprocesseurs. Celui-ci permettait à un attaquant de dérober des informations sensibles et de contourner des mécanismes de sécurité. Un correctif est disponible. [13]
Informations
Vie privée
Les données de localisation en temps réel des appareils mobiles des clients américains d’AT&T, de Sprint, de T-Mobile et de Verizon ont été librement consultables durant une durée indéterminée. La fuite de données provenait d’une erreur sur le site Web de LocationSmart, un service d’agrégation de données de localisation d’appareils mobiles. Dans un communiqué officiel, LocationSmart indique que la vulnérabilité n’aurait pas été exploitée avant le 16 mai 2018 et qu’aucune donnée de localisation n’a été dérobée. L’application vulnérable a été retirée du site de LocationSmart. [14a][14b]
Selon un rapport de FireEye iSIGHT Intelligence, un pirate suspecté d’opérer en Chine aurait colporté les données d’environ 200 millions d’utilisateurs japonais sur un forum lié à des activités cybercriminelles en décembre 2017. Selon FireEye, les données semblent bien authentiques, car elles recoupent des informations personnelles ayant été divulguées dans d’autres violations, provenant de piratages ayant eu lieu entre mai 2013 et juin 2016. Bien que les données vendues dans l’archive ne contiennent pas d’informations extrêmement sensibles, elles peuvent néanmoins faciliter le vol d’identité, le spam, ou encore la fraude. [15]
Sécurité
Le « patch management » au sein de l’écosystème Android est un vrai casse-tête pour Google. Bien que l’éditeur publie tous les mois un nouveau flot de patchs, les téléphones Android ont une mauvaise image quant à leur sécurité parce que ces derniers ne sont pas forcément appliqués, ou seulement partiellement et avec un certain délai… Avec sa dernière mouture d’Android (« Android P ») Google a donc mis en place deux actions en parallèle afin de changer la donne. [16]
Vulnérabilité
Une quatrième variante des failles Spectre et Meltdown a vu le jour. Publiée la semaine dernière par l’équipe Google Project Zero, cette dernière repose toujours sur le principe de l’exécution spéculative. Intel a d’ores et déjà corrigé cette vulnérabilité et a proposé à ses partenaires un microcode en version bêta, dont le correctif est désactivé par défaut afin de ne pas affecter les performances de ses processeurs. [17a][17b][17c][17d]
Cybercriminalité
BEC, pour Business Email Compromise, est une méthode de plus en plus convoitée par les pirates. Elle consiste à envoyer un email à une société en se faisant passer pour un fournisseur ou un collaborateur et ainsi demander de l’argent. Une filiale d’Ubiquiti Networks Inc. a payé plus de 45 millions de dollars à des pirates s’étant fait passer pour des fournisseurs. Il s’agit à ce jour de l’attaque la plus populaire et la plus efficace, de toutes les méthodes de phishing, elle est utilisée à 24 % contre 19 % pour la vente ou 16 % pour les fausses offres d’emplois. [18]
Une opération récente du FBI a visé une partie importante d’un malware sophistiqué nommé « VPN Filter », lié à un groupe russe de pirates, connu sous le nom de Fancy Bear. Les agents du FBI ont réussi à prendre le contrôle d’une pièce maitresse du botnet en contrôlant 500 000 routeurs compromis. Le FBI enquête sur ce fameux botnet depuis août 2017. Une citoyenne américaine s’était portée volontaire pour donner son routeur infecté aux agents du FBI. [19]
Entreprise
Après avoir examiné plus de 1100 bases de code commerciales en 2017, le groupe de services d’audit Black Duck On-Demand a publié un rapport indiquant que le nombre de composants open source dans la base de code des applications propriétaires ne cessait d’augmenter. Ainsi, il serait passé de 36% à 57% depuis l’année dernière. Selon les analyses, l’open source n’est ni plus ni moins sécurisé que le code propriétaire, mais certaines de ses caractéristiques le rendent davantage attrayant pour les attaquants.La prolifération de l’open source dans les applications commerciales doit, selon le rapport, être accompagnée de changements dans la manière d’aborder la sécurité des applications. [20]
Un bucket AWS S3 appartenant à 211 LA County exposant accidentellement 3,2 millions de fichiers a été découvert par des chercheurs en sécurité de chez UpGuard. Le compartiment situé au sous-domaine « lacounty » était mal configuré en étant accessible au public de manière anonyme. Les chercheurs ont confirmé que le compartiment n’était plus accessible 24h après sa découverte. Selon Threat Stack, une entreprise spécialisée dans la sécurité du cloud, trois quarts des entreprises ont un problème de configuration de sécurité sur AWS. [21]
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco
Références portail XMCO
[1] CXA-2018-2170
[2] CXA-2018-2156
[3] CXA-2018-2145
[4] CXA-2018-2138
[5] CXA-2018-2093
[6] CXA-2018-2082
[7] CXA-2018-2089
[8] CXA-2018-2091
[9] CXA-2018-2094
[10] CXA-2018-2143
[11] CXA-2018-2097
[12] CXA-2018-2118
[13] CXA-2018-2133
[14] CXN-2018-2092
[15] CXN-2018-2106
[16] CXN-2018-2100
[17] CXN-2018-2109
[18] CXN-2018-2137
[19] CXN-2018-2162
[20] CXN-2018-2139
[21] CXN-2018-2144