Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Apache [1a][1b][1c], SAP [2] et Microsoft[3].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système via l’exécution de code arbitraire.

Note : deux vulnérabilités référencées dans le bulletin du Patch Tuesday [3] sont actuellement exploitées sur Internet.

Codes d’exploitation

Cette semaine, huit codes d’exploitation ont été publiés.

Zimbra Collective Edition [4]

Le premier code d’exploitation affecte Zimbra Collective Edtion et permet à un attaquant distant de prendre le contrôle du système. Le code se matérialise sous la forme d’un module pour le framework offensif Metasploit écrit en Ruby. Un attaquant peut exécuter ce module pour élever ses droits sur le serveur et y envoyer une invite de commandes à distance. Un correctif est disponible.

Microsoft Windows [5]

Le second code d’exploitation affecte le système d’exploitation Microsoft Windows. Il permet à un attaquant de prendre le contrôle du système.
Le code d’exploitation se matérialise sous la forme d’un module pour le framework offensif Metasploit écrit en Ruby. Ce module génère un fichier .contact qui doit ensuite être lancé sur la machine à compromettre. Aucun correctif n’est disponible.

Apache HTTP Server [6]

Ce code d’exploitation cible Apache HTTP Server et permet à un attaquant d’élever ses privilèges. Le code d’exploitation se manifeste sous la forme d’un script écrit en PHP. Il permet à un attaquant d’exécuter du code arbitraire avec des privilèges élevés. Un correctif est disponible.

Apple iOS [7]

Ce code d’exploitation affecte Apple iOS. Ce dernier a été écrit en C et permet d’élever ses privilèges sur un téléphone Apple iOS. Un correctif est disponible.

Cisco [8a][8b]

Deux codes d’exploitation ciblent les routeurs Cisco Nexus (série 9000). Les codes d’exploitation se présentent sous la forme de commandes Shell. En exécutant ces commandes sur les systèmes vulnérables, un attaquant était alors en mesure de lire des fichiers arbitraires avec des privilèges élevés sur le système ainsi que de s’échapper d’un conteneur. Un correctif est disponible.

DLink [9]

Un code d’exploitation ciblant les routeurs D-Link a été développé. Ce code se modélise sous la forme d’une URL. Après s’être connecté à l’interface d’administration du routeur, un attaquant n’a qu’à ouvrir un lien spécifiquement créé pour insérer une charge utile. Un attaquant est alors en mesure de manipuler des informations ou de récupérer des données sur le système de la victime qui visite la page compromise. Aucun correctif n’est disponible.

Microsoft Internet Explorer v11 [10]

Le dernier code d’exploitation affecte le navigateur web Internet Explorer. Il permet à un attaquant distant d’accéder à des données sensibles, voire de les manipuler.
Le code d’exploitation se matérialise sous la forme d’un script Python. Un attaquant peut inciter la victime à ouvrir un fichier spécifiquement formaté et injecter du code XML dans le navigateur lui permettant de manipuler le comportement de ce dernier. Aucun correctif n’est disponible pour le moment.

Informations

Attaques

Le groupe de cybercriminels London Blue est de retour avec de nouvelles techniques d’usurpation de messageries professionnelles [11]

London Blue, un groupe de cybercriminels nigérien s’attaquant principalement à des messageries professionnelles serait de retour avec de nouvelles techniques d’usurpation de noms de domaines et s’intéresserait depuis peu à des cibles en Asie.
Les attaquants auraient depuis novembre 2018, constitué une base de données de cibles regroupant près de 8 500 dirigeants financiers issus de près de 7 800 sociétés différentes dans le monde.

Une campagne de piratage DNS cible les utilisateurs Gmail, Netflix, Paypal et Uber [12]

Au cours des trois derniers mois, des experts en sécurité de Bad Packets ont détecté une attaque de piratage DNS visant différents types de routeurs grand public.
Le but de ces attaques est de modifier les paramètres DNS dans les routeurs. Ainsi, lorsqu’un utilisateur tente d’accéder à un site web ciblé, il accède à une page web de phishing conçue pour ressembler à l’original, mais contrôlée par l’attaquant. Cet attaquant serait alors en mesure de voler des identifiants de connexion, des identifiants bancaires ou bien d’installer des malwares sur le système.
Dans son article, Bad Packets annonce que toutes les tentatives d’exploitation proviennent d’hôtes du réseau de Google Cloud Platform ( AS15169 ).
Google a déclaré avoir suspendu les comptes frauduleux en question et travaille sur la mise en place d’un protocole afin d’identifier les menaces émergentes.

Fuite d’informations

La société Ticketmaster poursuivie en justice suite à un vol de données bancaires en ligne [13]

Des avocats de la société britannique Hayes Connor Solicitors spécialisée dans la demande d’indemnités pour les victimes de cybercrimes réclament 5 millions de livres (soit environ 5,7 millions d’euros) à la société de billetterie en ligne Ticketmaster.
En juin 2018, Ticketmaster avait annoncé avoir découvert qu’un script tiers externe de la société Inbenta utilisé sur les sites de Ticketmaster avait réussi à dérober discrètement des informations de 40 000 utilisateurs. Ces informations comprenaient des informations personnelles comme des noms, des adresses, des emails, des numéros de téléphone, mais aussi des informations bancaires ainsi que des identifiants de connexion.
Les avocats de Hayes Connor Solicitors ont mis en ligne un site où ils invitent les victimes de l’incident Ticketmaster à se manifester afin de donner plus de poids à un recours collectif contre Ticketmaster.

Recherche

Publication des vulnérabilités Dragonblood affectant le standard WPA3 [14]

Des chercheurs ont découvert 5 vulnérabilités affectant le standard WPA3 utilisé pour sécuriser les connexions à un point d’accès WiFi, qu’ils ont baptisées Dragonblood.
Les chercheurs ont également découvert des vulnérabilités affectant la majeure partie des implémentations du protocole EAP-pwd, dont l’exploitation permet à un attaquant d’usurper l’identité d’un utilisateur légitime sans connaître son mot de passe. Des correctifs sont en cours de développement.

Une porte dérobée a été découverte dans le package Ruby officiel bootstrap-sass [15]

Le 26 mars 2019, une version malveillante du package bootstrap-sass (3.2.0.3) a été publiée sur le dépôt RubyGems officiel du projet. Elle inclut une porte dérobée permettant à l’attaquant d’exécuter du code arbitraire sur le serveur de l’application Rails.
La méthode employée par l’attaquant pour publier cette version malveillante n’a pas été confirmée pour le moment, mais il pourrait avoir compromis le compte d’un des 2 mainteneurs du projet. Ces derniers ont annoncé avoir modifié leurs mots de passe respectifs.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.

Références portail XMCO

[1] CXA-2019-1717
[2] CXA-2019-1516
[3] CXN-2019-1684
[4] CXA-2019-1718
[5] CXA-2019-1713
[6] CXA-2019-1645
[7] CXA-2019-1620
[8] CXA-2019-1580
[9] CXA-2019-1737
[10] CXA-2019-1741
[11] CXN-2019-1597
[12] CXN-2019-1633
[13] CXN-2019-1615
[14] CXN-2019-1691
[15] CXN-2019-1583