Résumé de la semaine 19 (du 2 mai au 8 mai)

Résumé de la semaine 19 (du 2 mai au 8 mai)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Firefox [1a] [1b], GLPI [2], Thunderbird [3], WordPress [4], Android [5] et Gitlab [6].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 3 codes d’exploitation ont été publiés. Un correctif de sécurité est disponible pour chaque vulnérabilité exploitée.

Prise de contrôle du système via 2 vulnérabilités au sein de Veeam ONE [7]

Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. En envoyant du contenu sérialisé spécifiquement conçu vers le port ouvert par l’agent Veeam (TCP/2805), un attaquant distant et non authentifié peut exécuter du code arbitraire sur le système.

Déni de service via une vulnérabilité au sein d’OpenSSL [8]

Ce code d’exploitation se présente sous la forme d’un code en langage C. En ajoutant ce code à son client OpenSSL, un attaquant essayant de se connecter à un serveur distant peut provoquer l’arrêt de l’application serveur ou client lors du déclenchement d’un échange TLS 1.3.

Déni de service via une vulnérabilité au sein d’Hyper-V de Microsoft affectant Windows 10 et Windows Server [9]

Ce code d’exploitation se présente sous la forme d’un programme écrit en C. En incitant sa victime à exécuter ce programme ou en ayant préalablement gagné accès au système de la machine virtuelle, un attaquant est alors en mesure de provoquer un crash du système hôte causant ainsi l’indisponibilité du système.

 

Informations

Entreprise

Oracle recommande à ses clients d’appliquer rapidement les correctifs de sécurité publiés au mois d’avril [10]

Le 14 avril 2020, Oracle a publié près de 400 correctifs de sécurités affectant de nombreuses familles de produits (Critical Patch Update). Certaines de ces mises à jour corrigent des vulnérabilités critiques déjà exploitées sur Internet par des groupes malveillants.

Attaque

Une attaque de grande ampleur cible actuellement les serveurs Salt [11] [11b]

Une campagne d’attaques ciblant les infrastructures Salt, un composant servant à automatiser la gestion de serveurs, exposées sur Internet est en cours.
Un attaquant effectue en effet des scans à grande échelle pour trouver des infrastructures Salt affectées par les vulnérabilités référencées CVE-2020-11651 et CVE-2020-11652.

Une campagne d’attaque cible de nombreux sites WordPress vulnérables [12]

Une large campagne d’attaque a été observée, ciblant plus de 900 000 sites WordPress. Cette campagne cible en particulier les sites utilisant des extensions WordPress ayant été impactées par des vulnérabilités de type XSS. À l’aide de ce type de vulnérabilité, l’attaquant peut rediriger un utilisateur visitant le site vers un site malveillant.

Un MDM (Mobile Device Management) utilisé comme vecteur de transmission pour une variante de Cerberus [13]

Des chercheurs ont récemment découvert une nouvelle variante du cheval de Troie bancaire Cerberus visant une entreprise multinationale et distribuée via le gestionnaire de terminaux mobiles (MDM, Mobile Device Management).

445 millions d’attaques détectées depuis le début de 2020, COVID-19 fait des ravages [14]

Pendant le premier trimestre 2020, le réseau Arkose Labs a enregistré un taux d’attaque encore jamais vu. On peut constater une hausse de 20% des tentatives d’abus sur Internet.

Vie Privée

Plusieurs smartphones Xiaomi exfiltreraient des données concernant les habitudes de leurs propriétaires [15a] [15b]

Le chercheur en sécurité Gabi Cirlig a découvert que des données concernant l’utilisation de son smartphone Redmi Note 8 étaient transférées vers des serveurs loués par Xiaomi, le fabricant de l’appareil.

Threat Intelligence

Des cybercriminels protègent leurs pages de phishing grâce à Google reCAPTCHA [16]

Des cybercriminels utilisent désormais la solution de captcha de Google pour protéger leurs pages de phishing. Les captchas sont utilisés pour protéger les sites web du trafic automatisé malveillant, tels que des tentatives d’attaque par force brute des identifiants de connexion, ou la publication de messages par des bots.

Le groupe InfinityBlack démantelé suite à l’arrestation de ses membres [17]

Le 29 avril 2020, 5 personnes suspectées d’appartenir au groupe de pirates InfinityBlack ont été arrêtées en Pologne, suite à une enquête ayant duré plus d’un an. L’arrestation a été rendue possible par la collaboration des autorités polonaises et suisses, soutenues par Europol et Eurojust.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2020-2350
[2] CXA-2020-2349
[3] CXA-2020-2346
[4] CXA-2020-2352
[5] CXA-2020-2332
[6] CXA-2020-2311
[7] CXA-2020-2314
[8] CXA-2020-2351
[9] CXA-2020-2315
[10] CXN-2020-2330
[11] CXN-2020-2290
[12] CXN-2020-2353
[13] CXN-2020-2334
[14] CXN-2020-2308
[15] CXN-2020-2326
[16] CXN-2020-2316
[17] CXN-2020-2341


Arthur Gautier