Résumé de la semaine 21 (du 22 au 28 mai)

Résumé de la semaine 21 (du 22 au 28 mai)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par VMWare pour vCenter [1], par Apple pour iOS et iPadOS [2], macOS Big Sur [3], macOS Mojave [4], macOS Catalina [5] et Safari [6] et par Google pour Chrome [7].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 4 codes d’exploitation ont été publiés. Un correctif est disponible pour 3 d’entre eux.

Prise de contrôle du système via une vulnérabilité au sein de ProFTPD [8]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En envoyant plusieurs commandes du module mod_copy spécifiquement conçues (cpfr et cpto), ce script est en mesure d’écrire un fichier PHP contenant la commande phpinfo sur le serveur.

Prise de contrôle du système via une vulnérabilité au sein de VMWARE ESXi (VMSA-2021-0002) [9a][9b]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En utilisant ce programme en ciblant une machine vulnérable sur le port TCP/427, un attaquant est alors en mesure de provoquer un dépassement de tampon en mémoire menant à une exécution de commande arbitraire.

Prise de contrôle du système via une vulnérabilité au sein d’Oracle Solaris [10]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En générant un code destiné à ouvrir un terminal de commande distant (reverse shell) à l’aide de l’utilitaire msfvenom, en ouvrant un port sur sa machine et en le plaçant en écoute, puis en exécutant le code d’exploitation (en spécifiant l’adresse IP et le port du système vulnérable dans le code), un attaquant est alors en mesure d’exécuter du code arbitraire sur le système.

Prise de contrôle du système via une vulnérabilité au sein de Firefox [11]

Ce code d’exploitation se présente sous la forme d’un serveur web écrit en Python. En incitant sa victime à se connecter au serveur, un attaquant est alors en mesure d’exécuter du code JavaScript via une page HTML ouverte depuis le système de fichier local.

Informations

Vulnérabilité

Une vulnérabilité découverte au sein des puces Apple M1 permettrait à deux processus de communiquer au niveau du processeur (M1RACLES) [12a][12b]

Une vulnérabilité affectant le processeur Apple M1 a été découverte par les équipes d’AsahiLinux. Elle permet à deux processus indépendants de dialoguer au travers d’un registre processeur spécifique, contournant ainsi les mesures de protection censées être implémentées par le système d’exploitation lors de l’utilisation des canaux de communication usuels (mémoire partagée, sockets, fichiers, etc.).
En exploitant cette vulnérabilité, un programme malveillant déjà présent sur un système pourrait communiquer de manière silencieuse avec un autre agent malveillant.

Bluetooth

Des vulnérabilités Bluetooth découvertes par des chercheurs de l’ANSSI permettent à un attaquant d’exécuter une attaque de type Man-in-the-middle [13a][13b]

Des chercheurs de l’ANSSI ont découvert 7 vulnérabilités affectant des appareils avec les spécifications Bluetooth Core et Mesh Profile. Ces caractéristiques permettent de définir les prérequis techniques afin que les appareils puissent communiquer via le protocole Bluetooth.

Cybercriminalité

Des attaquants ont scanné Internet pour trouver des serveurs Exchange vulnérables 5 minutes après la publication des failles de sécurité [14a][14b]

Des chercheurs de Palo Alto Networks ont publié un rapport sur les attaques informatiques ayant ciblé les entreprises entre janvier et mars 2021. Ils révèlent que les attaquants se mettent à la recherche de machines vulnérables quelques instants après la publication de vulnérabilités.

International

Le respect des données des utilisateurs d’Apple en Chine pourrait être en danger [15]

D’après une enquête journalistique récente, la confidentialité des données des utilisateurs chinois d’Apple pourrait être remise en question.
En effet, une nouvelle loi chinoise promulguée en 2017 oblige les entreprises à héberger les données des utilisateurs chinois sur le sol chinois. À cet effet, Apple a formé un partenariat avec l’entreprise GCBD et transféré ses données dans un nouveau Data Center de GCBD dans la ville de Guizhou.

Malware

Découverte d’une campagne en cours du malware WastedLoader ciblant Internet Explorer [16a][16b]

Des chercheurs de la société BitDefender ont récemment publié une analyse d’une campagne d’attaque en cours baptisée WastedLoader.
Cette campagne cible Internet Explorer à travers deux vulnérabilités du moteur VBScript (CVE-2019-0752 et CVE-2018-8174). Les victimes sont redirigées vers une landing page de Rig EK, un kit d’exploitation connu.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-2524
[2] CXA-2021-2558
[3] CXA-2021-2555
[4] CXA-2021-2553
[5] CXA-2021-2547
[6] CXA-2021-2544
[7] CXA-2021-2526
[8] CXA-2021-2554
[9] CXA-2021-2527
[10] CXA-2021-2495
[11] CXA-2021-2494
[12] CXN-2021-2536
[13] CXN-2021-2515
[14] CXN-2021-2509
[15] CXN-2021-2507
[16] CXN-2021-2493


Noé Zalic