Résumé de la semaine 1 (du 28 décembre au 4 janvier)

Résumé de la semaine 1 (du 28 décembre au 4 janvier)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Mediawiki [1], pour les produits Kaspersky [2] ainsi que pour Nagios [3]. Ces correctifs adressent des dommages allant du vol d’informations à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 3 codes d’exploitation ont été traités par le CERT-XMCO.

FreeBSD [4]

Ce code d’exploitation impacte les systèmes FreeBSD . Il se présente sous la forme d’un programme écrit en langage C ainsi que de commandes Bash pour le compiler et l’exécuter. En exécutant l’exploit, un attaquant est alors en mesure de devenir superutilisateur (root).

OpenBSD [5]

Ce code d’exploitation impacte les systèmes OpenBSD. En exécutant un module pour le framework offensif Metasploit module sur un système vulnérable, un attaquant est en mesure d’obtenir un invite de commande superutilisateur (root).

Xerox WorkCentre [6]

Ce code d’exploitation impacte les imprimantes Xerox WorkCentre. Son utilisation permet à un attaquant d’ajouter un utilisateur disposant des droits administrateur via l’exécution d’une requête HTTP avec un corps écrit en HTML.

 

Informations

Cybercriminalité

Une faille de sécurité importante sur les logiciels Citrix, 80 000 entreprises vulnérables [7a] [7b]

Le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) a publié le 18 décembre une nouvelle alerte à propos d’une vulnérabilité publiée sur le site de l’entreprise Citrix concernant les logiciels Citrix ADC et Citrix Gateway.

Fuite de données

Fuite de données massive chez Wyze, le fabriquant de caméras low-cost [8a] [8b]

Wyze est une société américaine proposant notamment des caméras de surveillance à bas prix. Des chercheurs de TwelveSecurity ont découvert une instance ElasticSearch accessible publiquement sur internet, et donnant accès à une base de données contenant des informations de plus de 2,4 millions de clients. Ces données ont été accessibles à partir du 4 décembre 2019, date à laquelle un employé aurait retiré les dispositifs sécurisant l’instance ElasticSearch par erreur, jusqu’au 26 décembre 2019 après la publication d’un article révélant la fuite.

Entreprise

Microsoft entreprend des actions légales contre le groupe Thallium [9]

Microsoft a récemment annoncé avoir saisi la justice pour récupérer le contrôle de noms de domaines utilisés par le groupe Thallium, un groupe d’attaquants soupçonné d’être affilié à la Corée du Nord. Ces noms de domaines avaient recours à des substitutions de caractères pour ressembler à des domaines légitimes de Microsoft. Un des domaines utilisés dans le cadre d’attaques de Spear Phishing (phishing ciblé) remplaçait par exemple le m de Microsoft par rn, donnant ainsi rnicrosoft.com.

Les directives de la CNIL concernant le recueil du consentement à l’utilisation de cookies entreront en vigueur en 2020 [10]

Fin juin 2019, la CNIL avait annoncé avoir abrogé ses recommandations de 2013 concernant l’utilisation de cookies (et autres traceurs), devenues obsolètes depuis l’entrée en vigueur du RGPD. L’institution avait alors publié une liste de recommandations portant sur le recueil du consentement de l’internaute vis-à-vis de l’utilisation de cookies, qui devront être appliquées à partir du 1er janvier 2020.

Ransomware

L’université de Maastricht victime d’un ransomware, tous les systèmes informatiques arrêtés [11]

L’université de Maastricht (Pays-Bas) a annoncé que presque tous ses systèmes opérant sous Windows ont été victimes d’un ransomware à la suite d’une cyberattaque lundi 23 décembre. L’université, qui compte 18 000 étudiants, ne sait pas encore si les attaquants ont pu avoir accès aux données, et en particulier aux données scientifiques, qui font l’objet de mesures de sécurité particulières.

Un opérateur maritime victime du ransomware Ryuk obligé d’interrompre son activité durant 30 heures [12]

Le site Internet des gardes-côtes américains a publié un bulletin dans lequel il annonce qu’un opérateur maritime américain a été infecté par le ransomware Ryuk. Le point d’entrée de l’attaque serait un employé qui aurait cliqué sur un mail de phishing. La contamination aurait alors progressé, jusqu’au chiffrement de données critiques aux opérations portuaires.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2019-5962
[2] CXA-2020-0022
[3] CXA-2020-0015
[4] CXA-2020-0005
[5] CXA-2019-5965
[6] CXA-2019-5964
[7] CXN-2019-5958
[8] CXN-2019-5963
[9] CXN-2019-5967
[10] CXN-2019-5948
[11] CXN-2019-5968
[12] CXN-2020-0007


Arthur Gautier