Résumé de la semaine 10 (du 1 au 6 mars)

Résumé de la semaine 10 (du 1 au 6 mars)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Google pour Android [1] et Google Chrome [2], ainsi que ceux publiés pour Django [3], GitLab [4] et Jira [5]. L’exploitation des vulnérabilités associées permettait de provoquer des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 5 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun des codes d’exploitation.

Microsoft Exchange [6]

Ce code d’exploitation se présente sous la forme d’un module pour le framework Metasploit. En exécutant ce module, un attaquant authentifié était en mesure d’exécuter du code arbitraire.

Google Chrome [7]

Ce code d’exploitation exploite la vulnérabilité via des erreurs de type confusion de type. Ces erreurs permettent d’obtenir deux primitives de lecture et d’écriture qui servent à injecter du code Web Assembly (WASM) dans la mémoire qui sera exécuté par la suite.

OpenSMTPD [8]

Ce code d’exploitation se présente sous la forme d’un programme écrit en C et permettant à un attaquant d’exécuter du code sur le serveur distant.

Oracle WebLogic [9]

Ce code d’exploitation permet à un attaquant d’envoyer un objet spécifiquement conçu sur le serveur et d’exécuter du code arbitraire.

Jira [10]

Cette preuve de concept se présente sous la forme d’un programme écrit en Python. Ce script permet, à travers une requête HTTP, de vérifier si la vulnérabilité est présente sur le logiciel déployé.

 

Informations

Vulnérabilité

Prise de contrôle du système via une vulnérabilité identifiée sur le démon pppd [11a] [11b]

Une vulnérabilité critique a été identifiée sur de nombreuses implémentations du démon Linux pppd, utilisé pour le support du protocole PPP Point-To-Point Protocol. Des correctifs ont été publiés pour les distributions Linux. D’autres correctifs sont à attendre dans les jours à venir.

Google corrige une faille MediaTek critique pour de nombreux appareils Android [12]

Google a révélé qu’une vulnérabilité critique, affectant des dizaines de modèles d’appareils Android fonctionnant avec des processeurs MediaTek, permettait d’obtenir les privilèges root sur l’appareil. Cette faille, identifiée comme la CVE-2020-0069, a été corrigée dans le bulletin Android de mars 2020.

Vie privée

Le ransomware Nemty poste les données de ses victimes qui ne paient pas leur rançon [13]

Depuis 2019, les attaques de ransomware ont évolué: les données sont désormais volées avant d’être chiffrées. Cela permet, si la victime ne paie pas la rançon, de poster ces données publiquement en représailles. Sur un site, nouvellement créé, le ransomware Nemty commence à agir ainsi.

Facebook poursuit un fournisseur de SDK en justice pour avoir collecté des données utilisateurs [14]

Facebook a récemment lancé des poursuites judiciaires contre OneAudience. Cette société, basée au New Jersey, fournissait à Facebook un kit de développement logiciel (SDK) utilisé dans certaines applications. Le contrôle de OneAudience sur le code de ce SDK aurait été utilisé pour exfiltrer des données des utilisateurs des applications, sans l’accord de Facebook. La découverte de l’abus ferait suite à la soumission d’un rapport de bug du programme « Data Abuse Bounty Program ».

T-Mobile affecté par une fuite d’informations personnelles de ses employés et clients [15]

L’opérateur T-Mobile a annoncé avoir été victime d’une attaque ayant résulté en la fuite d’informations personnelles concernant ses employés ainsi que ses clients.

Entreprise

Plus de trois millions de certificats Let’s Encrypt ont été révoqués à la suite d’une erreur logicielle [16a] [16b]

Ce mardi 3 mars, l’équipe de Let’s Encrypt (autorité de certification) annonçait sur son forum la révocation d’environ trois millions de certificats. Cette annonce fait suite à la découverte d’un bug présent dans le logiciel Boulder. Ce dernier est utilisé par la société pour effectuer des vérifications sur les informations du certificat avant son émission.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2020-1150
[2] CXA-2020-1154
[3] CXA-2020-1157
[4] CXA-2020-1195
[5] CXA-2020-1137
[6] CXA-2020-1175
[7] CXA-2020-1173
[8] CXA-2020-1151
[9] CXA-2020-1111
[10] CXA-2020-1138
[11] CXA-2020-1208
[12] CXA-2020-1158
[13] CXA-2020-1169
[14] CXA-2020-1113
[15] CXA-2020-1203
[16] CXA-2020-1168


Arthur Gautier