Résumé de la semaine #23 (du 2 au 8 juin)

Résumé de la semaine #23 (du 2 au 8 juin)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application du correctif publié pour Exim [1]. L’exploitation de cette vulnérabilité permettait de prendre le contrôle du système à distance via un email spécialement conçu.

De plus, des correctifs importants ont été publiés pour les logiciels Google Chrome [2], Jenkins [3] et Gitlab [4]. Un attaquant exploitant les vulnérabilités associées était en mesure de manipuler des données, de contourner des mécanismes de sécurité voire de prendre le contrôle du système.

 

Codes d’exploitation

Cette semaine, 4 codes d’exploitation ont été publiés affectant Oracle Weblogic, Windows, IBM Websphere Application Server et Exim.

Oracle Weblogic [5]

Ce code d’exploitation utilise la console d’administration Oracle Weblogic pour installer une application contrôlée par l’attaquant. Celui-ci doit être authentifié, cependant il existe un compte utilisateur par défaut permettant de faciliter l’attaque (compte OATS). Aucun correctif n’est disponible actuellement.

Microsoft Windows [6]

Une preuve de concept concernant la vulnérabilité référencée CVE-2019-0708 a été publiée. Cette vulnérabilité critique permet la prise de contrôle du système à distance via le service Remote Desktop. Toutefois, ce code ne permet que de déclencher un crash du système. Un correctif est disponible.

IBM Websphere Application Server [7]

Ce code d’exploitation permet d’exploiter une erreur de désérialisation au sein du composant WAS DMGR Server and Cells. Un attaquant est alors en mesure de prendre le contrôle du système. Un correctif est disponible.

Exim [8]

Enfin, ce code d’exploitation prend la forme d’une commande Exim. En tentant d’envoyer un mail avec comme destinataire une chaine de caractères spécialement formatée, un attaquant était en mesure de prendre le contrôle du système. Un correctif est disponible.

 

 

Informations

Vulnérabilités

Une faille dans des plugins WordPress est exploitée par des attaquants pour rediriger les visiteurs vers des sites malveillants [9]

Une vulnérabilité récemment corrigée sur certains sites web est activement exploitée par des attaquants afin de rediriger les utilisateurs vers des sites dangereux ou pour afficher des pop-ups trompeuses. La faille en question concerne l’extension WordPress WP Live Chat Support utilisé par plus de 50 000 sites et a été corrigée il y a 2 semaines. Il s’agissait d’une vulnérabilité de type Cross-Site Scripting (XSS) stockée permettant à un attaquant d’injecter du code JavaScript dans les sites utilisant l’extension vulnérable.

Une analyse détaillée de la vulnérabilité RDP affectant Windows ( CVE-2019-0708 ) a été publiée [10]

Alors que la vulnérabilité RDP (Remote Desktop) associée à la CVE-2019-0708 a fait la une de nombreux blogs et sites, des chercheurs ont publié une analyse approfondie de la vulnérabilité pour comprendre son fonctionnement en détail et les techniques pour la détecter. Le CERT-XMCO avait publié deux bulletins concernant cette vulnérabilité.

 

 

Attaques

Des skimmers Magecart découverts sur le CDN Amazon CloudFront [11]

Des chercheurs ont récemment observé un nombre important de CDN hébergeant des bibliothèques infectées par un skimmer (logiciel ou matériel destiné à récolter des informations de cartes bancaires) attribué au groupe Magecart. Contrairement aux CDN les plus connus, ceux-là étaient mis en place par les administrateurs d’une application et ne servaient qu’à l’application en question. Cela a contribué à limiter l’impact de cette attaque.

 

Fuite d’informations

Les informations personnelles de 1 400 000 de Français sont en vente dans un black market [12]

Récemment, un blackmarket divulguant les informations personnelles de 1 400 000 de Français dont le nom n’a pas été divulgué a fait l’objet d’une couverture médiatique importante. Cette plateforme spécialisée en vente de comptes compromis porte le nom de « Hookshop », et est suivie par XMCO depuis 2016. Ces données, provenant de 208 sites différents, sont vendues entre 2 et 4 € l’unité. Plusieurs milliers de nouveaux comptes seraient ajoutés quotidiennement sur cette plateforme.

Plus de 42 millions d’enregistrements associés à des applications de rencontre sont exposés sur Internet [13]

Le 25 mai 2019, Jeremiah Fowler, un chercheur en sécurité informatique, a découvert une instance Elasticsearch exposée sur Internet et accessible sans authentification. Les noms des dossiers indiquent que l’instance est associée à plusieurs applications de rencontres.

Flipboard réinitialise les mots de passe de ses utilisateurs suite à la découverte d’un incident de sécurité [14]

La société Flipboard a procédé à la réinitialisation des mots de passe de tous ses utilisateurs suite à la découverte d’un incident de sécurité. Le 28 mai 2019, les équipes techniques ont relevé une activité suspecte sur l’environnement hébergeant les bases de données de la société.

 

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.

 


Références portail XMCO

[1] CXA-2019-2559
[2] CXA-2019-2563
[3] CXA-2019-2540
[4] CXA-2019-2542
[5] CXA-2019-2525
[6] CXA-2019-2561
[7] CXA-2019-2562
[8] CXA-2019-2603
[9] CXN-2019-2523
[10] CXN-2019-2507
[11] CXN-2019-2555
[12] CXN-2019-2524
[13] CXN-2019-2531
[14] CXN-2019-2508


Jean-Christophe Pellat

Cert-XMCO