Résumé de la semaine #16 (du 14 au 20 avril)

Résumé de la semaine #16 (du 14 au 20 avril)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Cisco pour Cisco IOS XR [1], par OpenBSD pour OpenSSH [2], par Drupal pour le CMS éponyme [3] [4], par SensioLabs pour Symfony [5a][5b][5c][5d][5e], par Oracle pour plusieurs de ses produits [6] et par Sitecore pour le CMS éponyme [7]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 5 codes d’exploitation ont été publiés.

Oracle Fusion Middleware [8]

Le premier code d’exploitation impacte Oracle Fusion Middleware et permet à un attaquant d’accéder à des informations sensibles et de manipuler des données. Le code d’exploitation se matérialise sous la forme d’un script en Python. L’attaquant peut exploiter la vulnérabilité afin de récupérer un cookie de session en déchiffrant les données envoyées par l’application (via une attaque de type Padding Oracle). Un correctif est disponible.

Joomla! [9]

Le second code d’exploitation impacte Joomla!. Il permet à un attaquant d’accéder à des informations sensibles et de manipuler des données. Le code d’exploitation se présente sous la forme d’un script en Python. Un attaquant distant utilisant ce code d’exploitation peut lister les fichiers d’un répertoire sur le serveur et supprimer des fichiers arbitraires. Un correctif est disponible.

Apache Tomcat [10]

Le troisième code d’exploitation impacte Apache Tomcat. Un attaquant distant pouvait accéder à une URL spécifiquement forgée afin d’exécuter des commandes Windows arbitraires. Un correctif est disponible. Il est à noter que le composant vulnérable (CGI Servlet) est désactivé par défaut. Un correctif est disponible.

Microsoft Windows [11]

Le quatrième code d’exploitation touche Microsoft Windows (Windows 10, Windows Server 2019, Windows Server 1709 et Windows Server 1803). Un attaquant avec un accès local au système peut exploiter la vulnérabilité pour élever ses privilèges. Le code d’exploitation est un programme écrit en C++. En exécutant ce programme, l’attaquant peut obtenir les droits NT AUTHORITY/SYSTEM sur un fichier de son choix. Un correctif est disponible.

Routeurs Cisco RV110W, RV130W et RV215W [12]

Le dernier code d’exploitation impacte les routeurs Cisco RV110W, RV130W et RV215W. Il se matérialise sous la forme d’un module en Ruby pour le framework offensif Metasploit. Un attaquant distant peut utiliser ce code d’exploitation pour provoquer un dépassement de mémoire tampon grâce à une requête HTTP spécifiquement forgée et exécuter du code arbitraire sur l’appareil. Un correctif est disponible.

 

 

Informations

Publication

Publication du rapport annuel 2018 de l’ANSSI [13]

L’ANSSI, l’agence nationale de la sécurité de systèmes d’information, publie tous les ans un rapport revenant sur les évènements s’étant déroulés durant l’année. Le rapport annuel de l’année 2018 fait une vingtaine de pages et aborde principalement la politique de l’agence en matière de communication et de collaboration avec les différents acteurs de la sécurité des systèmes d’information. Le rapport peut être consulté ici.

 

Annonces

Les dernières mises à jour de sécurité de Windows incompatibles avec plusieurs antivirus [14]

Suite au Patch Tuesday d’avril 2019, Microsoft a annoncé avoir détecté plusieurs incompatibilités entre les mises à jour fournies et certains antivirus. Les systèmes d’exploitation concernés sont Windows 7, Windows 8.1, Windows Server 2008 R2 et Windows Server 2012 et 2012 R2. Le déploiement des mises à jour concernées a été interrompu le temps pour Microsoft de trouver une solution. En cas de problème avec une mise à jour déjà installée, il est possible de la désinstaller en démarrant en mode sans erreur.

Mozilla met en place une base de données commune des autorités de certification [15]

La fondation Mozilla s’intéresse depuis quelque temps aux problématiques liées aux certificats et aux autorités de certifications. Afin de pouvoir proposer un service de confiance aux utilisateurs d’Internet, la fondation a lancé le chantier d’une base de données commune des autorités de certification (CCADB). Les autorités de certification devront se plier à une liste de prérequis afin de pouvoir faire partie de cette base.

4 vulnérabilités permettant la prise de contrôle du système ont été corrigées au sein des pilotes Broadcom [16]

Le CERT Coordination Center (abrégé en CERT/CC) a annoncé la publication de correctifs pour des vulnérabilités touchant certains pilotes Broadcom. Ces pilotes sont utilisés par de nombreuses puces à travers le monde. Les vulnérabilités permettaient, dans le pire des cas, d’exécuter du code arbitraire à travers le module Wifi de la puce.

 

Attaques

Des hackers ayant compromis un compte de support Microsoft ont pu lire les emails de comptes Hotmail, MSN et Outlook [17] [18]

Microsoft a reconnu qu’un pirate (ou un groupe de pirates) avait réussi à récupérer les identifiants d’un compte de support de son service de webmail (comprenant MSN, Hotmail et Outlook). Cet accès aurait duré de janvier à mars 2019. Les mots de passe des comptes ne sont pas impactés par l’attaque menée par les attaquants, mais Microsoft recommande de le mettre à jour au cas où. Cependant, le compte a permis d’accéder au contenu des emails des utilisateurs. Le compte compromis a été révoqué.

Sea Turtle, une campagne de phising à grande échelle [19]

Cisco Talos a publié des détails sur la campagne Sea Turtle. Cette campagne aurait touché 40 organisations à travers 13 pays. Il semble également que cette campagne n’aurait pas été possible sans le soutien d’acteurs étatiques. Pour rappel, cette campagne utilise des comptes compromis afin de modifier la configuration DNS des serveurs pour obtenir d’autres identifiants et gagner un accès persistant au réseau.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2019-1842
[2] CXA-2019-1837
[3] CXA-2019-1835
[4] CXA-2019-1825
[5] CXA-2019-1836
[6] CXN-2019-1801
[7] CXA-2019-1811
[8] CXA-2019-1829
[9] CXA-2019-1791
[10] CXA-2019-1774
[11] CXA-2019-1759
[12] CXA-2019-1756
[13] CXN-2019-1841
[14] CXN-2019-1838
[15] CXN-2019-1800
[16] CXN-2019-1863
[17] CXN-2019-1748
[18] CXN-2019-1824
[19] CXN-2019-1859


Jean-Christophe Pellat

Cert-XMCO