Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Cisco pour Cisco Small Business [1] ainsi que par Gitlab [2]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 3 codes d’exploitation ont été publiés.

Prise de contrôle du système et élévation de privilèges via une vulnérabilité au sein de Windows Server 2012 [3]

Ce code d’exploitation se présente sous la forme d’un module pour le framework Metasploit. En spécifiant l’identifiant de la session supportant l’accès au système vulnérable puis en exécutant le module, un attaquant est en mesure de déposer une bibliothèque malveillante de liens dynamiques nommée SrClient.dll et de déclencher une recherche de mise à jour du système. Le fichier malveillant SrClient.dll ainsi sollicité offre alors à l’attaquant un accès au système en tant qu’utilisateur système privilégié NT AuthoritySystem.

Divulgation d’informations via une vulnérabilité au sein d’Apache Solr [4]

Ce code d’exploitation se présente sous la forme de deux requêtes curl. L’exécution de la première requête permet à un attaquant de modifier la configuration de l’application afin de pouvoir accéder à l’ensemble des fichiers du système. La seconde requête sert à récupérer le contenu d’un fichier spécifique (en l’occurrence le fichier /etc/passwd).

Prise de contrôle du système via une vulnérabilité au sein de BIG-IP et BIG-IQ [5]

Ce code d’exploitation se présente sous la forme d’une requête HTTP POST. En envoyant une requête spécifiquement conçue, un attaquant distant possédant un compte administrateur est alors en mesure d’exécuter des commandes arbitraires en tant qu’administrateur sur le système sous-jacent. Un correctif est disponible.

Informations

Piratage

Des attaquants accèdent à plus de 150 000 caméras de sécurité après une attaque contre une startup californienne [6]

Le groupe d’attaquants APT-69420 a accédé le lundi 8 mars 2021 à plus de 150 000 caméras de sécurité installées dans différentes entreprises et institutions américaines. Ces caméras sont gérées par la startup californienne Verkada, spécialisée dans la surveillance par caméras connectées au Cloud.

Selon certaines sources, plus de 100 employés de la startup avaient accès à des milliers de caméras utilisés par leurs clients qui ignoraient que l’entreprise pouvait visualiser en temps réel les images filmées dans leurs établissements.

Publication

La CISA publie une liste d’IOC permettant la détection du webshell China Chopper [7]

À la suite de la publication de codes d’exploitation tirant parti des vulnérabilités critiques nommées ProxyLogon impactant les serveurs Microsoft Exchange, la CISA (Cybersecurity and Infrastructure Security Agency) a publié un guide permettant d’analyser l’intégrité des serveurs.

Cette publication rappelle aussi que, même si le correctif de sécurité publié par Microsoft a été appliqué, ce dernier ne permet pas la suppression de potentiels webshell ayant été déposés avant l’application du correctif. Ainsi, une analyse supplémentaire est nécessaire afin de s’assurer que le serveur ne soit pas compromis.

Google publie un code d’exploitation tirant parti de la faille Spectre via Google Chrome [8a] [8b]

Au travers de la plateforme Github, Google a publié un POC (proof of concept) sur l’exploitation de la vulnérabilité Spectre via Google Chrome.

Afin de mettre en avant la vulnérabilité, Google a mis en ligne son POC sur le site à l’adresse suivante : leaky.page. Ce site fait un rappel de ce qu’est la vulnérabilité et permet, au travers d’une interface graphique, de la tester sur un navigateur Chromium avec différents paramètres qui sont modulables par l’utilisateur.

Fuite d’information

Des attaquants dissimulaient des informations bancaires volées dans des fichiers .JPG [9]

Lors d’une analyse d’un site d’e-commerce utilisant Magento, des chercheurs ont découvert que les attaquants utilisaient des fichiers .JPG sur un site web compromis pour enregistrer les informations bancaires volées aux clients. L’utilisation de fichiers médias en apparence bénins permettait aux attaquants de dissimuler leurs activités, sans trop attirer l’attention du propriétaire du site.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.

Références portail XMCO

[1] CXA-2021-1324
[2] CXA-2021-1322
[3] CXA-2021-1289
[4] CXA-2021-1332
[5] CXA-2021-1351
[6] CXN-2021-1268
[7] CXN-2021-1271
[8] CXN-2021-1310
[9] CXN-2021-1330