Résumé de la semaine 21 (du 16 au 22 mai)

Résumé de la semaine 21 (du 16 au 22 mai)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour cPanel[1], Google Chrome[2], BIND[3], GLPI[4], Dovecot[5], Redis[6], PostgreSQL[7] ainsi que le Networks GlobalProtect Clientless VPN de Palo Alto[8].
L’exploitation des vulnérabilités associées permettait à un attaquant de provoquer un déni de service, d’accéder à des informations sensibles, de manipuler des données, de contourner des restrictions de sécurité, de prendre le contrôle du système ainsi que de provoquer d’autres dommages non spécifiés.

 

Codes d’exploitation

Cette semaine, un code d’exploitation a été publié.

Manipulation de données et divulgation d’informations via une vulnérabilité au sein des routeurs Mikrotik [9]

Ce code d’exploitation se présente sous la forme d’une requête HTTP. Un attaquant distant et injectant du code SQL malveillant dans le paramètre community de la page check_community.php est en mesure de manipuler la base de données de l’application. Aucun correctif de sécurité n’est disponible à l’heure actuelle.

 

Informations

Recherche

Quiproquo autour d’une mise à jour noyau Huawei [10]

La société de cybersécurité GRSecurity a publié un article mettant en garde contre une mise à jour de sécurité publiée sur Github par un employé de Huawei. Le code de cette mise à jour, nommé HKSP (pour Huawei Kernel Self-Protection) sur Github, semble viser à mettre en place divers mécanismes de protection du noyau. L’analyse de GRSecurity montre que la qualité de code est médiocre et introduit des vulnérabilités relativement faciles à exploiter (des dépassements de pile notamment).

La gestion des identités comme facteur clef pour se prémunir de cyber attaques [11]

Une nouvelle étude publiée par l’IDSA (Identity Defined Security Alliance) révèle que près de 80% des entreprises ont subi une attaque liée à une compromission d’identité au cours des 2 dernières années. Cette étude nommée « Identity Security: A Work in Progress » est basée sur un sondage en ligne de 502 experts et décisionnaires en cybersécurité.

Ransomware

Le ransomware Netwalker injecté via de nouvelles techniques [12]

Les acteurs malveillants sont en recherche constante de nouveaux moyens toujours plus sophistiqués pour déployer des malwares et éviter leur détection. Trendmicro a récemment observé des attaques impliquant le ransomware Netwalker sans aucun fichier ni aucune compilation. L’attaque utilisait un script écrit en Powershell pour exécuter le malware directement en mémoire.

Fuite d’informations

Des informations client de Samsung et de Rolls-Royce exposées dans une base de données compromise [13]

L’entreprise de cybersécurité britannique TurgenSec a découvert courant avril un accès libre à une base de données contenant des informations relatives aux clients de la firme LeaseSolution. Cette dernière est une société de gestion de contrats de location.

Une fuite de données chez EasyJet expose les informations de 9 millions d’utilisateurs [14]

EasyJet a annoncé avoir été victime d’une cyberattaque « très sophistiquée », qui a mené à l’accès aux informations (adresses email et informations de voyage) de 9 millions d’utilisateurs. Parmi ces utilisateurs, 2 208 ont vu leurs informations de paiement volées.

Les données personnelles de 129 millions de Russes ont été dérobées [15]

Une base de données contenant les données personnelles de 129 millions de Russes a été mise en vente sur le Dark Web. Certaines données ont été divulguées afin de permettre aux potentiels acheteurs de vérifier que les données sont exactes.

Cybercriminalité

Le groupe RATicate émerge en ciblant de grands industriels [16]

Un nouveau groupe d’attaquants a récemment émergé en ciblant de grandes entreprises industrielles à travers le monde. Ce groupe dénommé RATicate (contraction de « RAT » et « syndicate ») s’est fait connaitre par des campagnes de spam délivrant plusieurs malwares connus. Depuis novembre 2019, le groupe a été associé à 6 campagnes dont la plus récente a été repérée en mars 2020.

Un groupe d’attaquants russes utilise des codes d’état HTTP pour contrôler le logiciel malveillant COMpfun [17]

Les chercheurs en sécurité de Kaspersky ont identifié une nouvelle version du logiciel malveillant COMpfun, qui contrôle les hôtes infectés en utilisant un mécanisme qui repose sur les codes d’état HTTP.

Attaque

Microsoft a corrigé une vulnérabilité empêchant les attaques RDP inverses sur Windows, mais pas sur les clients RDP tiers [18]

La vulnérabilité qui permettait à des pirates d’opérer des attaques RDP inverses, utilisant un accès RDP (Remote Desktop Protocol) pour compromettre un utilisateur se connectant à un serveur compromis, a été corrigée en juillet 2019 (CVE-2019-0887). Mais des chercheurs ont réussi à contourner le correctif appliqué en remplaçant les barres obliques inversées d’un emplacement par des barres obliques simples.

Vulnérabilité

Les 10 vulnérabilités les plus exploitées depuis 3 ans selon l’US-CERT [19]

L’US-CERT a publié un article contenant une liste des 10 vulnérabilités les plus exploitées depuis 3 ans sur son site officiel.

Découverte de la vulnérabilité NXNSAttack qui permet de provoquer le déni de service d’un serveur DNS [20]

Des chercheurs ont découvert une vulnérabilité affectant le protocole DNS (toutes les implémentations sont donc concernées), qu’ils ont baptisé NXNSAttack. L’attaque repose sur le fait que lors d’une résolution récursive d’un nom de domaine, le nombre de messages échangés entre les différents serveurs DNS peut être bien plus important que prévu, permettant la mise en oeuvre d’une attaque d’amplification DNS.

Malware

Un malware nouvellement découvert nommé Ramsay cible les réseaux isolés par un air gap [21]

Un nouvel outil d’espionnage, nommé Ramsay, a été découvert par les chercheurs de l’entreprise de cybersécurité ESET. La particularité de Ramsay est qu’il est conçu pour infiltrer des réseaux protégés par un air gap (une mesure de sécurité qui consiste à isoler physiquement un réseau, c’est-à-dire que le réseau n’est relié ni par branchement réseau filaire, ni électromagnétiquement).

Le FBI met en garde les entreprises et les institutions contre un nouveau ransomware [22]

Un nouveau ransomware, nommé Prolock, a été observé par le FBI. Ce ransomware, catégorisé comme étant un ransomware opéré manuellement, a touché des institutions de santé, des entités gouvernementales ainsi que des entreprises.

QNodeService : un nouveau cheval de Troie promet un allégement fiscal à ses victimes en raison du COVID-19 [23]

L’équipe MalwareHunterTeam a découvert un nouveau cheval de Troie, nommé QNodeService, qui serait utilisé dans des campagnes de phishing utilisant le contexte du COVID-19. Le fichier malveillant attaché, nommé Company PLP_Tax relief due to Covid-19 outbreak CI+PL.jar, n’était au départ détecté que par l’antivirus ESET.

Guide

La nouvelle mise à jour de Windows 10 cause des bugs sur les machines des utilisateurs [24]

La nouvelle mise à jour de Windows 10, KB4556799 (cf. CXA-2020-2473), est sortie la semaine dernière, et cause des problèmes à de nombreux utilisateurs.
Le forum de support de Microsoft se remplit de rapports de bugs tels que des écrans bleus, des problèmes audio, la rétrogradation du système vers une ancienne version, la police de caractère par défaut remplacée par une autre, un écran blanc stroboscopique ou encore des problèmes de recherche dans Outlook.

Le Conseil de stabilité financière publie un guide sur les bonnes pratiques en cas de cyber-incident [25]

Le Conseil de stabilité financière (en anglais Financial Stability Board ou FSB) a publié mercredi sur son site Internet un guide à destination des entreprises financières qui détaille les bonnes pratiques à avoir avant, pendant et après un cyber-incident.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2020-2646
[2] CXN-2020-2630
[3] CXN-2020-2622
[4] CXN-2020-2605
[5] CXN-2020-2600
[6] CXN-2020-2564
[7] CXN-2020-2571
[8] CXN-2020-2584
[9] CXN-2020-2623
[10] CXN-2020-2647
[11] CXN-2020-2602
[12] CXN-2020-2645
[13] CXN-2020-2634
[14] CXN-2020-2620
[15] CXN-2020-2641
[16] CXN-2020-2603
[17] CXN-2020-2572
[18] CXN-2020-2598
[19] CXN-2020-2573
[20] CXN-2020-2651
[21] CXN-2020-2548
[22] CXN-2020-2604
[23] CXN-2020-2567
[24] CXN-2020-2591
[25] CXN-2020-2657


Jean-Yves Krapf

Consultant Cert-XMCO