Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft pour le Patch Tuesday [1] (dont le correctif pour le service DNS de Windows Server [24]), par Oracle pour le Critical Patch Update [2], par Cisco pour ses équipements [3] [4] [5] [6] [7], par Google pour son navigateur Google Chrome [8], par SAP [9], par Apple pour MacOS [10] et iOS [11] et enfin par Mozilla pour Thunderbird [12]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 3 codes d’exploitation ont été publiés. Un correctif est disponible pour chacune des vulnérabilités exploitées.

Divulgation d’informations via 2 vulnérabilités au sein de SAP [13]

Ce code d’exploitation impacte les produits SAP et se présente sous la forme d’un programme écrit en Python. En exécutant ce programme, un attaquant non authentifié est en mesure de valider si le serveur est vulnérable et de télécharger un fichier .zip arbitraire.

Prise de contrôle du système et contournement de sécurité via une vulnérabilité au sein d’Aruba Clearpass Policy Manager [14]

Ce code d’exploitation impacte Aruba Clearpass Policy Manager et se présente sous la forme d’un programme écrit en bash. L’exécution de ce code permet d’envoyer une requête HTTP spécifiquement conçue afin de contourner le mécanisme d’authentification et d’obtenir un reverse shell sur le serveur.

Déni de service via une vulnérabilité au sein des systèmes d’exploitation Windows Server [15]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme, un attaquant est en mesure de faire planter le service DNS d’un serveur Windows.

Informations

Piratage

Les comptes Twitter de célébrités et d’entreprises compromis pour faire la promotion de services frauduleux [16a] [16b]

Des pirates ont réussi à prendre le contrôle de comptes Twitter de célébrités et d’entreprises. Les pirates ont utilisé ces accès pour publier des messages faisant la promotion d’un service frauduleux lié aux cryptomonnaies. Ils ont commis leur forfait en utilisant un outil interne de Twitter, auquel ils auraient eu accès en soudoyant un employé de la société.

Hardware

Plusieurs vulnérabilités dont des portes dérobées ont été découvertes au sein des équipements optiques (fibre) du vendeur chinois C-Data [17]

Les chercheurs Pierre Kim et Alexandre Torres ont analysé le logiciel (firmware) des équipements OLT produits par le vendeur chinois C-Data et ont découvert plusieurs vulnérabilités, dont des comptes d’administration pouvant être utilisés comme portes dérobées afin d’accéder à distance à l’équipement.

Fuite d’informations

200 sites Internet impactés par une fuite d’informations massive, plus de 3 millions de comptes pourraient être compromis [18]

Pendant une surveillance habituelle du Dark Web, le groupe Cycle (une entreprise américaine spécialisée dans la cybersécurité) a détecté au moins 200 fuites de données au sein de nombreux sites et serveurs d’entreprises. Cette fuite massive entraîne la compromission possible d’environ 3 millions de comptes utilisateurs variés sur les différentes plateformes touchées.

142 millions de données clients du groupe hôtelier MGM mises en vente sur le Dark Web [19a] [19b] [19c]

En février 2020, un porte-parole de la chaîne d’hôtel MGM rapportait que les bases de données du groupe hôtelier avaient été exposées et qu’une grande partie des données avaient été dérobées. D’après l’entreprise, cette fuite d’informations représentait 10.6 millions d’entrées concernant leurs clients. Il s’avère aujourd’hui que les pirates ont en réalité volé 142 millions d’entrées. Une publicité publiée sur le Dark Web promeut la vente de ces données pour 2 900 dollars.

Annonce

Mozilla suspend son service de partage de fichiers « Send » afin d’investiguer sur des utilisations malveillantes [20]

Lancé en mars 2019, Firefox Send fournit un service de partage de fichiers privé et sécurisé. Tous les fichiers partagés sur la plateforme sont chiffrés et il est possible de configurer le nombre de téléchargements autorisés avant l’expiration du fichier. Cependant, la plateforme a rapidement été détournée de son utilisation principale par des groupes d’attaquants.

Mozilla rejoint Apple et Google en réduisant la durée de vie des certificats TLS [21a] [21b] [21c]

La fondation Mozilla a annoncé que son navigateur Firefox ne supportera plus, à partir du 1er septembre 2020, les certificats nouvellement émis avec une durée de vie supérieure à 398 jours.

Malware

Les pirates montent d’un cran en détectant l’analyse en temps réel de leurs malwares [22a] [22b]

Les pirates informatiques ajoutent une nouvelle corde à leur arc en détectant l’exécution de leurs logiciels malveillants dans un environnement sécurisé de type any[.]run. Cela complique donc la tâche des chercheurs en sécurité ayant recours à cette plateforme d’analyse en ligne en temps réel.

Attaque

Les attaquants sondent les contrôleurs et les passerelles Citrix à la recherche de failles récemment publiées [23]

Le Dr Johannes Ullrich du SANS ISC a repéré ce jeudi, des attaquants qui tentaient d’exploiter deux des vulnérabilités Citrix sur son honeypot F5 BIG-IP (configuré pour signaler les tentatives d’exploitation de la vulnérabilité CVE-2020-5902). Celui-ci ajoute qu’il a également observé des scanners, recherchant des systèmes qui n’ont pas encore été corrigés.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.

Références portail XMCO

[1] CXN-2020-3663
[2] CXN-2020-3694
[3] CXA-2020-3722
[4] CXA-2020-3703
[5] CXA-2020-3711
[6] CXA-2020-3700
[7] CXA-2020-3698
[8] CXA-2020-3630
[9] CXA-2020-3636
[10] CXA-2020-3766
[11] CXA-2020-3760
[12] CXA-2020-3755
[13] CXA-2020-3739
[14] CXA-2020-3593
[15] CXA-2020-3757
[16] CXN-2020-3695
[17] CXN-2020-3741
[18] CXN-2020-3716
[19] CXN-2020-3640
[20] CXN-2020-3580
[21] CXN-2020-3621
[22] CXN-2020-3712
[23] CXN-2020-3594
[24] CXA-2020-3607