Résumé de la semaine 17 (du 19 au 25 avril)

Résumé de la semaine 17 (du 19 au 25 avril)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour OpenSSL [1], par Google pour son navigateur Google Chrome [2], pour Horde [3], pour Git [4] [5] ainsi que pour Joomla! [6a] [6b] [6c]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, un code d’exploitation a été publié.

Prestashop [7]

Ce code d’exploitation, qui chaine deux vulnérabilités, se présente sous la forme d’une page HTML. Un attaquant parvenant à convaincre un administrateur d’accéder à la page peut faire télécharger une image à sa victime. Si elle visionne cette image, alors l’image va déposer une porte dérobée sur le serveur sous-jacent. Aucun correctif de sécurité n’est disponible.

 

Informations

Entreprise

Le manque de pare-feu sur les ordinateurs des salariés en télétravail responsable de la hausse des appareils infectés par des logiciels malveillants [8a] [8b]

Le confinement dû à l’épidémie de coronavirus a forcé les sociétés à déployer des environnements de travail à distance pour leurs salariés. Cette augmentation soudaine de leur exposition n’est pas étrangère à la hausse du nombre de machines compromises par des logiciels malveillants. Un accroissement allant du simple au double en l’espace de quelques semaines a pu être constaté par différents chercheurs. Les équipes d’Artic Security et de Team Cymru pensent que nombre des ordinateurs ont été infectés bien avant l’épidémie. Mais ces programmes malveillants étaient jusqu’à présent bloqués par les pare-feux des entreprises.

Attaques

Les tentatives d’exploitation des VPNS Pulse Secure continuent même après la publication des correctifs de sécurité [9]

Les chercheurs de la CISA (Cybersecurity and Infrastructure Security Agency) rapportent continuer à voir des tentatives d’exploitations de la vulnérabilité CVE-2019-11510. Cette vulnérabilité permet de lire des fichiers arbitraires sans authentification et à distance sur les serveurs VPN Pulse Secure. La vulnérabilité se produit parce que l’accès aux répertoires est autorisé si le chemin contient la chaine dana/html5/acc. Par exemple, un acteur malveillant peut obtenir le contenu de /etc/passwd en effectuant la requête suivante :

hxxps://vulnvpn.example[.]com/dana-na/../dana/html5/acc/guacamole/../../../../../../etc/passwd?/dana/html5acc/guacamole/

725 paquets malveillants découverts dans le dépôt RubyGems [10a] [10b]

Plus de 725 paquets malveillants téléchargés des milliers de fois ont récemment été découverts, au sein de RubyGems, le canal officiel de distribution de programmes et de bibliothèques de code pour le langage de programmation Ruby. Les paquets malveillants ont été téléchargés près de 100 000 fois, bien qu’un pourcentage important de ceux-ci soit probablement le résultat de scripts qui explorent automatiquement les 158 000 paquets disponibles dans le dépôt, ont déclaré les chercheurs de ReversingLabs. Ils proviennent tous de deux comptes d’utilisateurs seulement : JimCarrey et PeterGibbons.

Des pirates informatiques dérobent 25 millions de dollars en cryptomonnaies à Uniswap et Lendf.me [11a] [11b]

Deux sites de cryptomonnaies ont été victimes d’une attaque sophistiquée ce weekend. Les montants perdus sont estimés entre 300 000 et 1,1 million de dollars pour Uniswap et à plus de 24,5 millions de dollars pour Lendf.me. Uniswap est un site d’échange de cryptomonnaies, et Lendf.me est une plateforme de prêt. Il s’agirait d’une “attaque de réentrée” permettant aux attaquants de retirer des fonds de manière répétée (à l’instar d’une boucle en programmation), avant que la transaction originale ne soit approuvée ou refusée.

Ransomware

Le géant de l’IT Cognizant victime du ransomware Maze [12]

Le géant des services informatiques Cognizant a subi une cyberattaque vendredi soir, qui proviendrait de l’équipe à l’origine du ransomware Maze. Vendredi dernier, Cognizant a averti ses clients par email, déclarant qu’ils avaient été compromis et communiquant par la même occasion sur des indicateurs de compromission (IoC). Les clients de la société pouvaient ainsi utiliser ces informations pour surveiller leurs systèmes et les sécuriser davantage. La liste comprenait une liste d’adresses IP de serveurs et les empreintes des fichiers kepstl32.dll, memes.tmp et maze.dll. Ces adresses IP et fichiers sont connus pour avoir été utilisés lors d’attaques précédentes par les acteurs de Maze.

Cybercriminalité

Le groupe étatique Gamaredon est de retour avec une nouvelle campagne sur le thème du CoVID-19 [13]

Les chercheurs de Trend Micro Security ont publié un rapport sur la dernière campagne attribuée au groupe d’attaquants Gamaredon. Ces derniers, ayant fait parler d’eux la première fois pendant la révolution ukrainienne de 2014, sont de retour avec une nouvelle campagne d’attaque exploitant le thème du CoVID-19.

Un groupe d’attaquants chinois refait surface en ciblant des appareils iOS [14]

Des chercheurs ont identifié de nouvelles attaques ciblant iOS et provenant d’un groupe d’attaquants chinois bien connu. Ce dernier, appelé Evil Eye, est un acteur malveillant déjà connu pour avoir implanté des malwares sur de nombreux téléphones Android. Après plusieurs publications de Google (Project Zero) et Volexity, le groupe malveillant était devenu plus silencieux en supprimant leurs malwares de sites web infectés et en stoppant leurs serveurs de contrôle. Cependant, il semblerait que le groupe ait repris son activité en exploitant une vulnérabilité affectant WebKit sur iOS et corrigée en septembre 2019.

Fuite d’informations

Un serveur exposant ouvertement les informations personnelles de plus de 42 millions d’utilisateurs iraniens identifié [15a] [15b]

Un chercheur en sécurité ukrainien appelé Bob Diachenko a découvert un serveur ElasticSearch non protégé qui exposait ainsi des informations relatives à plus de 42 millions d’utilisateurs d’application de discussion telles que Telegram. L’analyse effectuée différents experts en sécurité montre qu’il pourrait s’agir d’une opération visant à surveiller les utilisateurs d’applications de messageries sécurisées par une entité affiliée au gouvernement iranien. Ces applications sont de plus en plus utilisées, à la fois pour les fonctionnalités qu’elles proposent à leurs utilisateurs, mais également pour leur haut niveau de sécurité entourant les échanges (chiffrement de bout en bout, messages temporaires, etc.).

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2020-2071
[2] CXA-2020-2098
[3] CXA-2020-2052
[4] CXA-2020-2064
[5] CXA-2020-2050
[6] CXA-2020-2082
[7] CXA-2020-2047
[8] CXN-2020-2115
[9] CXN-2020-2044
[10] CXN-2020-2045
[11] CXN-2020-2058
[12] CXN-2020-2057
[13] CXN-2020-2062
[14] CXN-2020-2124
[15] CXN-2020-2067


Arthur Gautier