Résumé de la semaine #22 (du 25 au 29 mai)

Résumé de la semaine #22 (du 25 au 29 mai)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par GitLab [1], Apple [2][3], SQLite [4a][4b][4c] et Fortinet [5][6].

L’exploitation des vulnérabilités associées permettait à un attaquant de provoquer un déni de service, d’accéder à des informations sensibles, de manipuler des données, de contourner des restrictions de sécurité, d’élever ses privilèges ainsi que de prendre le contrôle du système.

 

Codes d’exploitations

 

Cette semaine, 4 codes d’exploitation ont été publiés. Des correctifs sont disponibles sauf pour la vulnérabilité affectant Plesk.

Manipulation de données et vol d’informations via une vulnérabilité au sein de LimeSurvey [7]

Ce code d’exploitation se présente sous la forme d’une requête HTTP. En rejouant cette requête, un attaquant est alors en mesure de créer un rôle avec une charge active en JavaScript contenue dans le nom du rôle et dans le champ description.

Déni de service via une vulnérabilité au sein de BIND [8]

Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. En exécutant ce programme, un message spécifiquement conçu est envoyé au serveur BIND ciblé, provoquant un déni de service si l’attaquant parvient à trouver le nom d’une clé TSIG utilisée par le serveur.

Prise de contrôle du système via une vulnérabilité au sein de Plesk [9]

Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. En exécutant ce programme, un attaquant distant et non authentifié peut envoyer des objets sérialisés qui seront interprétés par le code ASP du serveur comme des objets MyLittleAdmin. L’exploitation de cette vulnérabilité permet à l’attaquant d’exécuter du code arbitraire sur le serveur distant.

Contournement de sécurité et vol d’informations via une vulnérabilité au sein des NAS QNAP [10]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python qui peut être exécuté à distance en fournissant en paramètre l’url Photo Station du NAS QNAP.

 

Informations

Ransomware

Le rançongiciel Ragnar Locker déploie des machines virtuelles pour contourner les sécurités des machines cibles [11]

Le rançongiciel Ragnar Locker est connu pour voler des données sur des réseaux sensibles avant de lancer sa routine de chiffrement pour encourager les victimes à payer. En avril, les auteurs de Ragnar ont attaqué le réseau de la société Energias De Portugal (EDP) et ont affirmé avoir volé plus de 10 TB de données sensibles, demandant 1 580 Bitcoins en échange de ces données.

Malware

Utilisation des macros Excel 4.0 pour créer des programmes malveillants [12]

De nombreuses fonctionnalités natives de Microsoft Office sont abusées depuis de longues années. Une fonctionnalité en particulier est couramment utilisée pour mener des campagnes de phishing : les macros Excel 4.0. Ces dernières permettent de réaliser des requêtes web, d’exécuter des commandes ou encore d’accéder aux API win32. Toutes ces possibilités offrent de nombreuses opportunités aux pentesters et aux créateurs de malware.

Retour de l’ANSSI sur le code malveillant Dridex [13]

L’ANSSI est revenue sur le code malveillant Dridex, apparu en juin 2014.

Ce logiciel malveillant est un stealer, c’est-à-dire que sa fonctionnalité principale est le vol de codes d’accès de banque en ligne, afin que les attaquants puissent réaliser des transactions frauduleuses depuis les comptes en banque des victimes. Dridex est une évolution du logiciel malveillant Bugat, qui était en activité entre 2011 et 2014.

Cybercriminalité

OpenSSH rend obsolètes les connexions SHA-1 en raison d’un risque de sécurité [14]

OpenSSH, l’utilitaire le plus populaire pour se connecter et gérer des serveurs distants, a annoncé aujourd’hui son intention de supprimer la prise en charge de son schéma d’authentification SHA-1.

La Croix-Rouge appelle à la mise en oeuvre de mesures contre les attaques contre les organisations du secteur de la santé [15]

L’institut CyberPeace, accompagné de 40 signataires parmi lesquels figure notamment la Croix-Rouge, a publié une lettre ouverte invitant les gouvernements à prendre des mesures contre les attaques ciblant actuellement les organisations du secteur de la santé.

Fuite d’informations

Les données personnelles de plus de 29 millions de demandeurs d’emploi indiens ont fuité [16]

Les données personnelles de plus de 29 millions de demandeurs d’emploi indiens ont été postées sur un forum du Dark Web. Ces données sont accessibles gratuitement pour tous les visiteurs du site.

La base de données de 2,3 GB contient les informations personnelles suivantes :

  • Adresses email ;
  • Numéro de téléphone ;
  • Adresse postale ;
  • Salaire et employeur actuel ;
  • Formation et expérience de travail.

Vulnérabilité

Un nouveau jailbreak iOS publié pour les dernières versions du système d’exploitation [17]

Le groupe Unc0ver a publié la version 5.0.0 du logiciel éponyme.

Cette dernière permet de procéder au jailbreak (retrait de limitations logicielles implémentées par un constructeur) des appareils iOS utilisant la version la plus récente du système d’exploitation (13.5).

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2020-2764
[2] CXA-2020-2760
[3] CXA-2020-2759
[4] CXA-2020-2763
[5] CXA-2020-2738
[6] CXA-2020-2708
[7] CXA-2020-2758
[8] CXA-2020-2737
[9] CXA-2020-2717
[10] CXA-2020-2707
[11] CXN-2020-2767
[12] CXN-2020-2703
[13] CXN-2020-2727
[14] CXN-2020-2755
[15] CXN-2020-2745
[16] CXN-2020-2735
[17] CXN-2020-2705


Etienne Baudin

Consultant Cert-XMCO