Résumé de la semaine #2 (du 5 au 11 janvier)

Résumé de la semaine #2 (du 5 au 11 janvier)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Mozilla pour Firefox/Firefox ESR [1], par Google pour Android [2] et par Fortinet [3]. Ces correctifs adressent des vulnérabilités pouvant provoquer des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 2 codes d’exploitation ont été traités par le CERT-XMCO.

Apache Tomcat [4]

Ce code d’exploitation impacte les serveurs Apache Tomcat. Il se présente sous la forme d’un programme écrit en Java. En exécutant ce programme sur le serveur, un attaquant est en mesure de contourner la sandbox (cloisonnement) d’Apache Tomcat.

Cisco Data Center Network Manager [5]

Ce code d’exploitation impacte les systèmes Cisco Data Center Network Manager. sous la forme d’un programme écrit en Java. Un attaquant distant exécutant ce programme peut obtenir un accès non autorisé au module JBoss EAP (Enterprise Application Platform) et récupérer les informations d’authentification enregistrées.

 

Informations

Vulnérabilités

Des attaquants scannent internet à la recherche de systèmes Citrix vulnérables [6]

La vulnérabilité CVE-2019-19781, affectant Citrix Application Delivery Controller (ADC, anciennement nommé NetScaler ADC) et de Citrix Gateway (anciennement nommé NetScaler Gateway) permettait à un attaquant non authentifié d’exécuter du code arbitraire sur le système. Il ne semble pas encore exister de code d’exploitation public mais de récents scans révèlent que les systèmes vulnérables sont activement recherchés par des attaquants sur internet.

Des applications exploitant la vulnérabilité CVE-2019-2215 trouvées sur Google Play [7]

Trois applications découvertes sur Google Play exploitaient la vulnérabilité CVE-2019-2215, une vulnérabilité dans le système de communication inter-processus d’Android, Binder. Les serveurs C&C (command and control) utilisés par les applications malveillantes sont liés au groupe APT Sidewinder, connu pour mener des attaques sur des adversaires stratégiques de l’Inde.

Deux vulnérabilités critiques découvertes dans la bibliothèque OpenCV [8]

Des chercheurs de Cisco Talos ont découvert deux vulnérabilités critiques dans la bibliothèque de traitement d’image OpenCV, version 4.1.0. Elles permettent d’exécuter du code arbitraire en utilisant une faiblesse du système de persistance des données qui permet de provoquer un dépassement de tampon à partir d’un fichier XML ou JSON spécialement conçu.

Juridique

Facebook condamné à une amende de 1,6 million de dollars dans le cadre de l’affaire Cambridge Analytica [9]

Le gouvernement brésilien a condamné Facebook à une amende de 6,6 millions de reals (soit environ 1,6 million de dollars) dans le cadre de l’affaire Cambridge Analytica. La condamnation fait suite à une enquête ayant débuté en avril 2018. Le gouvernement indique que les données personnelles de 443 000 citoyens brésiliens ont été exploitées à des fins jugées douteuses.

Ransomware

La société Travelex victime d’un ransomware, des services toujours indisponibles plus d’une semaine après [10]

La société de change britannique Travelex a été victime d’une attaque de ransomware le soir du Nouvel An 2019. Malgré les efforts de restauration de l’entreprise, plus d’une semaine après, les services en ligne sont toujours indisponibles. Les attaquants menacent de publier 5 Go de données personnelles de clients si Travelex ne paie pas la rançon de 6 millions de dollars.

Vague d’attaque de Ransomware tirant parti d’une vulnérabilité dans le VPN Pulse Secure [11]

L’expert en cybersécurité Kevin Beaumont a publié un article dans lequel il revient sur une série d’attaques tirant parti de la vulnérabilité dans la solution « VPN Zero Trust remote access » de Pulse Secure. À la date du 4 janvier 2020, plus de 3000 serveurs exposaient encore sur internet une version vulnérable de ce VPN, une grande partie aux États-Unis, et le reste réparti partout dans le monde dont 184 en France.

International

La sécurité des emails est un enjeu majeur pour des élections présidentielles américaines de 2020 [12]

Plus de 2 700 tentatives de spearphishing ont déjà pu être identifiées contre des personnes appartenant aux équipes de campagne des élections de 2020. Ces attaques proviendraient d’acteurs étrangers aux États-Unis, et risquent de s’intensifier au fur et à mesure que l’échéance des élections s’approchera.

Le DHS met en garde contre d’éventuelles attaques menées par le gouvernement iranien [13]

Le Department of Homeland Security (DHS) a émis une alerte concernant le risque de représailles du gouvernement iranien en réponse à l’assassinat d’un de ses généraux par l’armée américaine. Le DHS considère que le gouvernement iranien est en mesure de conduire une attaque visant à perturber le fonctionnement d’infrastructures critiques américaines.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2020-0082
[2] CXA-2020-0058
[3] CXA-2020-0044
[4] CXA-2020-0086
[5] CXA-2020-0088
[6] CXN-2020-0063
[7] CXN-2020-0068
[8] CXN-2020-0049
[9] CXN-2020-0009
[10] CXN-2020-0090
[11] CXN-2020-0037
[12] CXN-2020-0091
[13] CXN-2020-0056


Alexandre Padel