Résumé de la semaine #18 (du 28 avril au 4 mai)

Résumé de la semaine #18 (du 28 avril au 4 mai)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Oracle pour Oracle WebLogic [1], par Cisco pour plusieurs de ses produits [2] et par Google pour Google Chrome [3]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitations

Cette semaine, 5 codes d’exploitation ont été publiés.

Oracle WebLogic (Fusion Middleware) [4]

Le premier code d’exploitation impacte Oracle WebLogic et permet à un attaquant d’exécuter du code arbitraire sur le système. Le code d’exploitation se matérialise sous la forme d’un script en Python. L’attaquant peut exploiter la vulnérabilité en désérialisant une chaîne de caractères fournie par l’utilisateur. Un correctif est disponible.

Noyau Linux [5]

Le second code d’exploitation impacte le noyau de Linux. Celui-ci permet à un attaquant de provoquer un déni de service et d’accéder à des informations sensibles. Le code d’exploitation se présente sous la forme d’un programme écrit en C. En exécutant ce programme, un attaquant est en mesure de provoquer des opérations de lecture hors limites et d’accéder à des informations sur la mémoire tas du noyau. Un correctif est disponible.

Microsoft Powershell ISE [6]

Le troisième code d’exploitation impacte Microsoft Powershell ISE. Avec un fichier malveillant, un attaquant peut exécuter des commandes Windows arbitraires. Le code se présente sous la forme d’un script écrit en Python. Aucun correctif de sécurité n’est disponible à l’heure actuelle.

Moodle [7]

Le quatrième code d’exploitation touche Moodle. Un attaquant authentifié peut exploiter la vulnérabilité pour prendre le contrôle du système. Le code d’exploitation se présente sous la forme d’un module en Ruby pour le framework offensif Metasploit. En exécutant ce programme, l’attaquant est en mesure d’exécuter du code arbitraire sur le système. Aucun correctif de sécurité n’est disponible à l’heure actuelle.

Veeam One [8]

Le dernier code d’exploitation impacte Veeam One. Il se matérialise sous la forme d’une page HTTP. Un attaquant distant peut utiliser ce code d’exploitation pour mener une attaque de type Cross Site Request Forgery (CSRF) permettant de forcer le navigateur de cette victime à envoyer une requête forgée en son nom. Aucun correctif de sécurité n’est disponible à l’heure actuelle.

 

 

 

Informations

Attaque

Des données clients exposées sur Internet après qu’une rançon ait été impayée [9]

Suite à une attaque sur un fournisseur de services managés (CityComp) dont les clients sont, entre autres, Oracle et SAP, les données de l’entreprise ont été chiffrées. L’attaquant a exigé une rançon, et a commencé à rendre certaines données publiques lorsque l’entreprise a refusé de payer.

 

 

Vulnérabilité

900 000 systèmes SAP seraient vulnérables à un code d’exploitation [10]

La société Onapsis a révélé l’existence de codes d’exploitation publics affectant (entre autres) SAP NetWeaver et S/4HANA. Ces codes d’exploitation, nommés 10kBlaze, permettraient à un attaquant de prendre le contrôle du système sans authentification préalable, mais aussi de manipuler des données critiques comme la liste des vendeurs ou des employés, ou de modifier les achats ou les comptes bancaires renseignés. Selon leurs recherches, près de 900 000 systèmes seraient vulnérables.

 

Fuite d’informations

Une base de données Docker Hub expose les données sensibles de 190 000 utilisateurs [11]

Le jeudi 25 avril 2019, les équipes Docker ont découvert un accès non autorisé à une base de données Docker Hub exposant les informations d’environ 190 000 utilisateurs (5 % des utilisateurs du hub). Ces informations comprenaient des noms d’utilisateur et l’empreinte des mots de passe associés, ainsi que des jetons pour les référentiels GitHub et Bitbucket.

Une base de données comportant des enregistrements liés à 80 millions de ménages américains a été découverte [12]

Des chercheurs ont découvert une base de donnée accessible sans authentification contenant des enregistrements liés à plus de 80 millions de ménages américains. Toutes les personnes dont les données sont présentes dans la base auraient plus de 40 ans. Plus de 65% des ménages américains pourraient être concernés par cette fuite d’informations.

Des informations personnelles d’employés de Citrix pourraient avoir été dérobées lors du récent piratage des systèmes de la société [13]

La société Citrix estime que des données personnelles concernant certains de ses employés (ainsi que de membres de leurs familles) pourraient avoir été dérobées suite à l’intrusion de pirates dans ses systèmes. En effet, la société a envoyé une notification de fuite d’informations personnelles à l’Attorney General de Californie et aux employés concernés. Le nombre de personnes concernées n’a pas été communiqué, mais la loi californienne impose que cette notification soit émise en cas d’exposition des données personnelles de plus de 500 résidents de l’état.

 

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2019-1972
[2] CXN-2019-2075
[3] CXA-2019-2019
[4] CXA-2019-2023
[5] CXA-2019-2035
[6] CXA-2019-2039
[7] CXA-2019-2048
[8] CXA-2019-2051
[9] CXN-2019-2068
[10] CXN-2019-2070
[11] CXN-2019-1986
[12] CXN-2019-2007
[13] CXN-2019-2059


Jean-Christophe Pellat

Cert-XMCO