Résumé de la semaine #13 (du 25 au 30 mars)

Résumé de la semaine #13 (du 25 au 30 mars)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

 

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Adobe pour Magento [1], par Automaticc pour WordPress [2], par Mozilla pour Firefox [3] et Thunderbird [4], par Apple pour MacOS X [5] et iOS [6] et par VMWare pour VMWare Fusion, VMWare ESXi et VMWare Workstation [7]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

 

 

Codes d’exploitation

Cette semaine, deux codes d’exploitations ont été publiés.

Magento [8]

Le premier code d’exploitation affecte Magento. Ce code d’exploitation se présente sous la forme d’un code en Python. Un attaquant peut l’utiliser afin d’exécuter une requête SQL arbitraire sur la base MySQL de l’application et récupérer une session administrateur. Un correctif est disponible. Il est à noter que ce code d’exploitation pourrait être très facilement modifié pour prendre le contrôle du système ou manipuler les données de la base.

F-Secure Safe [9]

Le second code d’exploitation affecte l’antivirus F-Secure SAFE. Ce code d’exploitation se présente sous la forme de deux programmes écrits en PowerShell. Un attaquant peut l’utiliser afin de créer des fichiers arbitraires sur le système avec des droits élevés. Un correctif est disponible.

 

 

 

 

Informations

Recherche

20 % des systèmes industriels seraient impactés par des vulnérabilités jugées critiques [10]

D’après un rapport du CERT Kasperky Labs, environ 20 % des systèmes industriels seraient impactés par des vulnérabilités critiques. Sur 415 vulnérabilités impactant les systèmes industriels analysées par Kaspersky, 342 serait notamment exploitable à distance sans authentification. Le rapport met également en évidence que certaines vulnérabilités affectant les systèmes grands publics (Specte, Meltdown, etc.) impactent également les systèmes industriels.

36 vulnérabilités ont été découvertes dans le protocole LTE [11]

Le protocole LTE est utilisé pour le transfert de données sur les réseaux mobiles de la plupart des opérateurs à travers le monde. Cette technologie étant conforme aux normes 4G, elle est souvent commercialisée sous ce nom. Des chercheurs de l’Institut supérieur coréen des sciences et technologies ont découvert 36 vulnérabilités affectant la conception et l’implémentation du protocole LTE. Ils sont parvenus à ce résultat grâce à un outil développé par leur soin appelé LTEFuzz. Un attaquant exploitant ces vulnérabilités serait en mesure de déconnecter un utilisateur du réseau LTE, de se faire passer pour un autre utilisateur, de forcer l’utilisateur à se connecter à un réseau LTE malveillant et d’intercepter les SMS d’une cible.

Des failles de sécurité au sein de Safari, VirtualBox et VMware Workstation découvertes lors de la Pwn2Own [12]

La compétition de hacking Pwn2Own 2019, organisée par Trend Micro’s Zero Day Initiative à Vancouver, a permis de découvrir de nouvelles failles au sein des produits Safari, Oracle VirtualBox et VMware Workstation. Des chercheurs ont notamment trouvé une vulnérabilité permettant de s’échapper de la sandbox de Safari et de prendre le contrôle de système utilisant VirtualBox et VMWare. Par la suite, des vulnérabilités sur les voitures Tesla ont également été découvertes.

 

Attaques

ASUS annonce la compromission de son utilitaire de mise à jour par un groupe APT [13]

Le 26 mars, ASUS a annoncé que son service de mise à jour, Asus Live Update, a été compromis. Depuis, l’utilitaire a été nettoyé et mis à jour pour empêcher que cela se reproduise. D’après la Global Research and Analysis Team (GReAT) de Kasperky Lab, cette campagne APT a été détectée en janvier 2019 et aurait eu lieu entre juin et novembre 2018. Cette campagne aurait impacté plus d’un million d’utilisateur. Toutefois, celle-ci visait un nombre très précis d’appareils, distingués par leurs adresses MAC. Cette campagne nommée « Operation ShadowHammer » par GreAT de par les méthodes utilisées aurait des liens avec l’opération « ShadowPad » contre CCleaner. L’acteur de la campagne contre CCleaner avait été identifié par GReAT sous le nom de BARIUM.

Plus de 120 000 litres d’essences dérobés à cause d’un code de sécurité par défaut [14]

Une équipe de cinq hommes originaires du Val-d’Oise et de Seine–Saint-Denis a été arrêtée lundi par les gendarmes. Ils sont suspectés d’avoir volé plus de 120 000 litres d’essence pour un préjudice de 150 000 euros. Le mode opératoire des malfaiteurs est toujours le même. À la nuit tombée, une première voiture passe et déverrouille la pompe à l’aide d’une télécommande achetée sur internet en saisissant le code par défaut de la pompe (0000). Puis, une cuve cachée dans une camionnette est remplie. Le carburant est par la suite revendu au marché noir dans les cités du Val-d’Oise et de Seine–Saint-Denis.

 

Cybercriminalité

La plateforme Dream Market fermera ses portes le 30 avril 2019 [15]

Les administrateurs de Dream Market, la plateforme d’achat la plus populaire du Dark Web, ont annoncé que cette dernière fermera ses portes le 30 avril 2019. Un message présent depuis le 26 mars 2019 sur la page d’accueil et sur le formulaire d’inscription indique en effet que le site sera ensuite transféré à une nouvelle adresse et qu’il sera alors géré par une « société partenaire ». Le même jour, le FBI, la DEA et Europol ont annoncé une vague d’arrestations visant des personnes impliquées dans des trafics de drogue prenant place sur le Dark Web (dans le cadre d’une opération baptisée SaboTor).

Un Lituanien escroque Facebook et Google en leur faisant payer 172 millions de dollars de fausses factures [16]

Un homme lituanien s’est joué de Facebook et Google pour leur subtiliser plus de 172 millions de dollars en envoyant de simples fausses factures. Entre 2013 et 2015, l’escroc avait ciblé des employés de Facebook et Google pour leur envoyer des mails de phishing conçus pour ressembler à des factures de la société asiatique Quanta Computer Inc, fournisseur de matériel informatique pour les deux géants du net. Il avait enregistré une société portant le même nom en Lettonie et ouvert des comptes bancaires au nom de la société en Lettonie et à Chypre.

 

Fuite d’informations

Compromission de la base de données de l’entreprise de vente d’arme Chiappa Firearms [17]

L’entreprise de vente d’arme Chiappa Firearms a subi une attaque ayant pour conséquence la fuite de tous les identifiants de connexion de ses clients. Ces identifiants ont été rendus publics via une publication sur le site pastebin.com. La publication n’est actuellement plus disponible. La publication des informations volées révèle que les mots de passe étaient stockés encodés en Base64 par l’entreprise.

La FEMA (agence fédérale des situations d’urgence) expose les données personnelles de 2,3 millions d’Américains [18]

Cet organisme a récemment été le sujet d’un audit du département de la sécurité intérieure (U.S. Department of Homeland Security, DHS) suite à la fuite des données personnelles de 2,3 millions d’Américains. L’audit a permis de déterminer que la FEMA ne prenait pas les mesures nécessaires pour assurer la sécurité des informations des citoyens américains ayant eu recours aux services de l’organisation. Dans le cadre de son programme visant à loger temporairement les victimes de catastrophes naturelles (Transitional Sheltering Assistance, TSA), la FEMA enregistre un grand nombre d’informations personnelles destinées à trouver un logement adapté au demandeur. On retrouve parmi ces informations le nombre d’habitants du foyer, le numéro du désastre à l’origine de la demande de logement temporaire ainsi que des informations personnelles courantes (nom, prénom, date de naissance, etc.).

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2019-1382
[2] CXA-2019-1356
[3] CXA-2019-1352
[4] CXA-2019-1382
[5] CXA-2019-1403
[6] CXA-2019-1410
[7] CXA-2019-1456
[8] CXA-2019-1458
[9] CXA-2019-1357
[10] CXN-2019-1442
[11] CXN-2019-1436
[12] CXN-2019-1339
[13] CXN-2019-1434
[14] CXN-2019-1400
[15] CXN-2019-1420
[16] CXN-2019-1373
[17] CXN-2019-1388
[18] CXN-2019-1375


Jean-Christophe Pellat

Cert-XMCO