Résumé de la semaine 13 (du 21 au 27 mars)

Résumé de la semaine 13 (du 21 au 27 mars)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Liferay [1a] [1b], Jenkins [2], Safari [3], iOS [4], VMware Workstation [5], Puppet (Entreprise) [6], LimeSurvey [7], macOS [8], Kubernetes [9], Matomo [10], phpMyAdmin [11a] [11b] [11c] et Ruby [12].
L’exploitation des vulnérabilités associées permettait à un attaquant de provoquer un déni de service, d’accéder à des informations sensibles, de manipuler des données, de contourner des restrictions de sécurité, d’élever ses privilèges ainsi que de prendre le contrôle du système.

 

Codes d’exploitation

Cette semaine, 3 codes d’exploitation ont été publiés. Des correctifs de sécurité sont disponibles pour chaque produit impacté.

Prise de contrôle du système via une vulnérabilité au sein de Microsoft Sharepoint [13]

Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. En exécutant ce module, un attaquant authentifié est alors en mesure d’exécuter des commandes via des requêtes envoyées à Sharepoint contenant des données XOML spécialement conçues.

Vol d’informations sensibles via une vulnérabilité au sein de Windows 10 et Windows Server (1903 / 1909) [14]

Ce code d’exploitation se présente sous la forme d’un programme écrit en C/C++. En incitant sa victime à ouvrir un programme malveillant au sein d’un système Windows vulnérable, un attaquant serait alors en mesure d’accéder à n’importe quel fichier du système en lecture afin d’en dérober le contenu (documents sensibles, fichiers de configuration de services à forts privilèges, etc.).

Déni de service via une vulnérabilité au sein de Google Chrome [15]

Ce code d’exploitation se présente sous la forme d’une page web écrite en HTML. En incitant sa victime à ouvrir cette page, un attaquant est alors en mesure de provoquer un déni de service sur le navigateur de la victime.

 

Informations

Attaque

Plusieurs failles 0-Day découvertes dans les systèmes de caméras CCTV [16]

La société Taiwanaise LILIN fabricante de caméras de sécurités (CCTV) a été prise pour cible par des pirates qui ont exploité des failles 0-Day. Ces vulnérabilités étaient centrées autour des composants DVR de la société.

Le groupe APT41 mène actuellement une campagne d’attaques de grande ampleur visant à exploiter des vulnérabilités récemment découvertes [17]

Des chercheurs de la société FireEye ont découvert une campagne d’attaques de grande ampleur, menée par le groupe APT41 (fortement soupçonné d’être affilié au gouvernement chinois) depuis le mois de janvier 2020.

Malware

Une nouvelle variante de Mirai déployée sur des équipements Zyxel via une vulnérabilité récemment corrigée [18]

Des attaquants ont récemment utilisé une vulnérabilité sur les dispositifs NAS (Network-Attached Storage) de Zyxel pour déployer une nouvelle variante du célèbre malware Mirai. Cette faille de sécurité référencée CVE-2020-9054, est une vulnérabilité critique qui affecte les pare-feu et les NAS Zyxel. Son exploitation permet à un attaquant distant non authentifié d’exécuter du code arbitraire sur les équipements Zyxel concernés.

Cybercriminalité

La World Health Organization subit un doublement des attaques dans le contexte du coronavirus [19]

La World Health Organization (WHO) n’est pas épargnée par la vague de cyberattaques profitant du contexte de coronavirus. Elle subit un doublement des cyberattaques envers ses systèmes depuis le début de la pandémie de coronavirus.

Des faux antivirus contre le coronavirus utilisés pour installer des logiciels malveillants [20]

Des sites découverts par des chercheurs font la promotion d’un faux antivirus contre le coronavirus en profitant de la pandémie actuelle de COVID-19. Ces faux antivirus prétendent qu’une fois le logiciel installé, l’ordinateur protègera activement l’utilisateur contre le COVID-19.

En première ligne contre le coronavirus, les Hôpitaux de Paris victimes d’un déni de service [21]

Selon l’AFP, l’Assistance publique-Hôpitaux de Paris a subi une cyber attaque dimanche dernier. L’attaque par déni de service (génération d’une grande quantité de connexions simultanées, afin de saturer le serveur et de le faire tomber) n’a duré qu’une heure et a pu être endiguée rapidement. Il n’y a pas eu de dégâts sur les infrastructures informatiques.

FireEye alerte contre la prolifération d’outils de piratage de systèmes de contrôle industriel [22]

Des chercheurs de la société FireEye ont mené une étude sur les outils destinés au piratage de systèmes de contrôle industriel (ICS).
L’existence de tels outils permet à des attaquants non spécialisés dans le domaine des ICS de mener des attaques dont les conséquences peuvent être dramatiques.

Un nouveau ver informatique CrazyCoin utilise la vulnérabilité EternalBlue pour se répandre sur les machines ciblées [23]

Récemment, des chercheurs du 360 Baize Labs ont découvert un nouveau ver informatique, nommé CrazyCoin, qui utilise la vulnérabilité d’EternalBlue révélée par la NSA (National Security Agency, aux États-Unis) pour s’introduire sur les machines ciblées.

Une nouvelle attaque par ransomware utilisant le contexte du COVID-19 a été découverte [24]

Une nouvelle campagne de phishing en lien avec la crise sanitaire du COVID-19 a été observée, touchant Toll Group et le groupe de santé publique de Champaign-Urbana aux États-Unis.

Fuite d’informations

Des données personnelles de 538 millions d’internautes chinois en vente sur le Dark Web [25]

Des données personnelles de 538 millions d’utilisateurs du réseau social chinois Weibo ont été mises en vente sur le Dark Web. Le responsable a annoncé avoir piraté les systèmes de la société dans la première moitié de l’année 2019.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2020-1470
[2] CXN-2020-1558
[3] CXN-2020-1539
[4] CXN-2020-1530
[5] CXN-2020-1521
[6] CXN-2020-1477
[7] CXN-2020-1532
[8] CXN-2020-1531
[9] CXN-2020-1505
[10] CXN-2020-1493
[11] CXN-2020-1484
[12] CXN-2020-1469
[13] CXN-2020-1555
[14] CXN-2020-1535
[15] CXN-2020-1511
[16] CXN-2020-1533
[17] CXN-2020-1546
[18] CXN-2020-1512
[19] CXN-2020-1529
[20] CXN-2020-1536
[21] CXN-2020-1501
[22] CXN-2020-1494
[23] CXN-2020-1480
[24] CXN-2020-1482
[25] CXN-2020-1475


Arthur Gautier