Résumé de la semaine 23 (du 30 mai au 5 juin)

Résumé de la semaine 23 (du 30 mai au 5 juin)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Centreon [1], par Apple pour iOS [2] et macOS [3], par Google pour Android [4] et Google Chrome [5], par Mozilla pour Firefox [6a] et Firefox ESR [6b] et enfin pour Django [7]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 4 codes d’exploitation ont été publiés. Tous disposent de correctifs.

jQuery [8]

Ce code d’exploitation impacte la bibliothèque jQuery. Il se présente sous la forme d’une page HTML. En appelant la fonction jQuery load avec un paramètre spécifiquement conçu, un attaquant peut déclencher une XSS.

Centreon [9a] [9b]

Ce code d’exploitation impacte Centreon. Il s’agit d’un script Python qui va modifier un paramètre de la configuration de l’application avant de mettre en place un reverse shell.

Framework .NET [10]

Ce code d’exploitation impacte le framework .NET. Disponible sous la forme de code C++ ou d’un exécutable, ce code d’exploitation va exploiter la façon dont les objets COM sont activés afin de permettre à un attaquant d’élever ses privilèges sur le système.

Apache Tomcat [11a] [11b]

Ce code d’exploitation, une requête HTTP, impacte Apache Tomcat. À condition qu’un attaquant ait préalablement disposé un objet sérialisé sur le serveur visé, alors celui-ci est en mesure d’exécuter le code contenu dans l’objet.

 

Informations

Attaques

La NSA met en garde contre les nouvelles attaques de Sandworm sur les serveurs de messagerie [12]

Selon la NSA, les pirates militaires russes, aussi connus sous le nom Sandworm, attaquent les serveurs de messagerie Exim pour y installer des portes dérobées depuis aout 2019. Le groupe russe exploiterait la vulnérabilité référencée CVE-2019-10149 pour s’introduire sur le système de leurs victimes.

Une attaque de grande ampleur ciblait les instances WordPress [13a] [13b]

Des pirates ont lancé une campagne d’attaques à grande échelle ciblant les sites Web utilisant WordPress, entre le 29 et le 31 mai 2020. Ils exploitaient des vulnérabilités affectant des plug-ins et des thèmes dans le but de dérober le fichier de configuration du site (wp-config.php). Les chercheurs de la société Wordfence indiquent que les attaques perpétrées dans le cadre de cette campagne constituaient, lors du pic du nombre de requêtes, les trois quarts des attaques ciblant des instances WordPress observées par la société. Ils ont bloqué 130 millions de tentatives de piratage, ciblant 1,3 million de sites.

Les smartphones: un vecteur d’attaque en croissance [14]

Selon une analyse de l’entreprise spécialisée en cybersécurité Lookout, les campagnes de phishing ciblant les smartphones ont augmenté de 37 % au cours des derniers mois. En effet, l’utilisation des téléphones mobiles ne cesse d’augmenter et ils sont devenus un vecteur d’attaque très important. Les attaques par smishing (phishing SMS) sont également en augmentation.

Vulnérabilités

Publication des détails techniques de l’exploitation d’une vulnérabilité permettant la compromission d’une infrastructure VMware Cloud Director [15a] [15b] [15c]

Les détails techniques de l’exploitation de la vulnérabilité référencée CVE-2020-3956 ont été publiés par Citadelo, l’entreprise ayant découverte et rapportée la vulnérabilité à VMware. Cette vulnérabilité permettait à un attaquant authentifié d’obtenir des données sensibles, ainsi que de prendre le contrôle de l’infrastructure cloud, et donc prendre le contrôle de tous les clients présents au sein du cloud.

Deux failles critiques au sein de Zoom auraient pu permettre à des attaquants de pirater des systèmes via le chat de l’application [16a] [16b]

Deux vulnérabilités ont été découvertes et corrigées au sein de l’application de visioconférence Zoom. Ces vulnérabilités étaient exploitables depuis la messagerie instantanée du logiciel et pouvaient permettre d’exécuter du code et d’écrire des fichiers arbitraires sur le système ciblé.

Fuite d’informations

Les équipes de Joomla! exposent par erreur une base de données sensible [17]

Les équipes de développement de Joomla! ont annoncé la semaine dernière l’exposition par erreur d’une base de données sensible. Une sauvegarde complète des données du portail JRD a été exposée par un membre de l’équipe sur un bucket S3 Amazon. Le fichier de sauvegarde, non chiffré, contenait les informations personnelles des 2 700 utilisateurs du portail.

Juridique

Google fait face à une action collective pour cause de collecte de données abusive [18]

Une action collective a été déposée mardi contre Google au tribunal du district de Californie du Nord, accusant la société d’envahir la vie privée de millions d’utilisateurs à leur insu en suivant leur utilisation d’Internet (historique des pages consultées et autres données d’activités sur le web), même en mode navigation privée. Les principaux outils de Google mis en cause sont Google Analytics, Google Ad Manager, les applications Google sur mobile ainsi que le bouton de connexion Google.

Éditeur

Windows 10 version 2004 ajoute de nouvelles règles concernant les mots de passe des comptes [19]

Microsoft a annoncé la version préliminaire d’un nouveau référentiel de sécurité pour les systèmes Windows 10 et Windows Server version 2004 avec l’intention d’ajouter de nouvelles politiques de sécurité concernant la longueur des mots de passe des comptes (mise à jour de Windows 10 de mai 2020). Ce type de politique de sécurité est déployable par les administrateurs de sécurité en entreprise pour leur permettre d’améliorer la sécurité de leur parc. 2 nouveaux paramètres de sécurité font ainsi leur apparition : Relax minimum password length limits et Minimum password length audit.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2020-2805
[2] CXA-2020-2833
[3] CXA-2020-2868
[4] CXA-2020-2847
[5] CXA-2020-2922
[6] CXA-2020-2854
[7] CXA-2020-2921
[8] CXA-2020-2796
[9] CXA-2020-2806
[10] CXA-2020-2836
[11] CXA-2020-2861
[12] CXN-2020-2807
[13] CXN-2020-2879
[14] CXN-2020-2928
[15] CXN-2020-2842
[16] CXN-2020-2927
[17] CXN-2020-2810
[18] CXN-2020-2871
[19] CXN-2020-2930


Arthur Gautier