Résumé de la semaine #14 (du 31 mars au 6 avril)

Résumé de la semaine #14 (du 31 mars au 6 avril)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

 

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Apache pour Apache HTTPd Server [1] et par Google pour Android [2].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

 

 

Codes d’exploitation

Cette semaine, 7 codes d’exploitation ont été publiés.

VMWare Fusion [3]

Le premier code d’exploitation affecte VMWare Fusion 11 et permet à un attaquant distant de prendre le contrôle d’un système invité. Le code se matérialise sous la forme d’un script JavaScript. Un attaquant peut inciter un utilisateur à aller sur une page Web malveillante et exécuter du code arbitraire sur le système invité. Un correctif est disponible.

Microsoft Edge et Internet Explorer [4]

Le second code d’exploitation affecte les navigateurs Microsoft Edge et Internet Explorer. Il permet à un attaquant distant d’accéder à des données sensibles, voire de les manipuler.
Le code d’exploitation se matérialise sous la forme d’une page HTML contenant du code JavaScript. Un attaquant incitant une victime à ouvrir ce lien peut injecter du code JavaScript dans le navigateur ce qui lui permet d’en manipuler le comportement.
Aucun correctif n’est disponible pour le moment.

Kubernetes [5]

Ce code d’exploitation cible Kubernetes et permet à un attaquant de manipuler des données sur le système. Le code d’exploitation se manifeste sous la forme d’un script bash.
Un attaquant peut modifier le contenu de binaires sur un pod Kubernetes compromis. Si la victime copie des fichiers depuis le pod compromis (avec la commande kubectl), alors des fichiers de son système peuvent être modifiés.
Un correctif est disponible.

Oracle WebLogic Server [6] [7] et [8]

3 codes d’exploitation ciblant Oracle WebLogic Server ont été publiés. Ces codes se matérialisent sous la forme de modules pour le framework offensif Metasploit. Ces derniers permettent de prendre le contrôle du système à travers une requête vers l’interface T3. Le seul point différenciateur entre les trois codes d’exploitation réside dans la classe d’objets sérialisée envoyée au serveur.

LimeSurvey [9]

Un code d’exploitation impactant LimeSurvey a été développé. Celui-ci se modélise sous la forme d’un script Python et permet à un attaquant de prendre le contrôle du système.
Ce dernier exploite une vulnérabilité de la bibliothèque TCPDF. En générant un fichier .phar spécifique, un attaquant est en mesure d’exécuter du code arbitraire sur le système distant.

 

 

 

 

Informations

Vulnérabilité

Manipulation de données et vol d’informations via une vulnérabilité au sein de Microsoft Edge et Internet Explorer [10]

Une vulnérabilité a été découverte au sein de Microsoft Edge et d’Internet Explorer par un chercheur en sécurité. Devant l’inaction de Microsoft (le chercheur a remonté la vulnérabilité il y a 10 mois), le chercheur a décidé de publier les détails. Avec une page web spécifiquement construite et hébergeant du code Javascript, un attaquant serait en mesure de réaliser une « XSS universelle », c’est-à-dire pouvant récupérer des informations provenant de tous les sites visités par le navigateur.

 

Fuite d’informations

Des millions d’identifiants Facebook rendus publics sur des serveurs Amazon [11]

La société de cybersécurité UpGuard a révélé mercredi que les informations de 540 millions d’utilisateurs Facebook avaient été exposées au public sur des serveurs cloud d’Amazon non protégés. Les analystes de la firme de cybersécurité ont découvert deux ensembles de données, l’un provenant d’un éditeur médiatique mexicain appelé « Cultura Colectiva » et l’autre d’une application tierce appelée « At the poo »l, tous deux disponibles sur Internet. Les bases de données ont été supprimées depuis.

La maison mère des restaurants Buca di Beppo admet une fuite de plus de 2 millions de cartes de paiement [12]

Le 29 mars 2019, Earl Enterprise a publié un communiqué sur son site Internet informant ses clients d’une fuite de données de cartes de paiement ayant eu lieu de mai 2018 à mars 2019. Les restaurants affectés seraient des points de vente des chaines Buca di Beppo, Earl of Sandwich, Planet Hollywood, Chicken Guy!, Mixology et Tequila Taqueria. L’incident semble être clos, mais Earl Enterprise indique être toujours en cours de déploiement de mesures de sécurité.

Des informations sur des millions de femmes indiennes enceintes exposées sur Internet [13]

Selon ZDNet, une base de données MongoDB gérée par une agence gouvernementale de santé d’un état du nord de l’Inde était accessible sans authentification sur Internet. Il y a encore quelques jours, les dossiers médicaux de 12,5 millions de femmes étaient encore exposés. La base de données contenait une multitude de ressources personnelles et médicales, telles que le nom du patient, le nom du père, son adresse, son âge, son numéro de téléphone, des informations sur le diagnostic, etc.

 

 

Recherche

Une vulnérabilité affecte les routeurs TP-LINK SR20 [14]

Le chercheur Matthew Garrett a publié un article à propos d’une vulnérabilité affectant le produit TP-LINK SR20. La vulnérabilité réside dans le protocole de debug de l’appareil. Un attaquant présent sur le réseau peut créer un fichier personnalisé pour exécuter du code arbitraire sur le routeur. Une preuve de concept a également été fournie.

Plus de 13 000 clusters de stockage iSCSI actuellement exposés sur Internet sans authentification [15]

Actuellement plus de 13 000 clusters de stockage iSCSI sont accessibles via Internet. Il est possible d’y accéder sans authentification, les différents propriétaires n’ayant pas activé cette fonctionnalité.
Cette erreur de configuration pourrait causer de sérieux dégâts. En effet, des groupes de cybercriminels pourraient accéder à ces espaces de stockages via Internet et remplacer des fichiers légitimes par des malwares, insérer des portes dérobées dans les sauvegardes stockées ou encore voler des informations appartenant aux entreprises.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2019-1516
[2] CXA-2019-1496
[3] CXA-2019-1470
[4] CXA-2019-1478
[5] CXA-2019-1485
[6] CXA-2019-1506
[7] CXA-2019-1507
[8] CXA-2019-1507
[9] CXA-2019-1553
[10] CXA-2019-1477
[11] CXN-2019-1556
[12] CXN-2019-1481
[13] CXN-2019-1534
[14] CXN-2019-1473
[15] CXN-2019-1508


Jean-Christophe Pellat

Cert-XMCO