Résumé de la semaine #29 (du 16 au 20 juillet)

Résumé de la semaine #29 (du 16 au 20 juillet)

Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.


Correctifs

Cette semaine, le CERT-XMCO recommande l’application des correctifs publiés par Oracle dans le cadre de son traditionnel « CPU » (Critical Patch Update) du mois de juillet. Notamment : Java, MySQL, Oracle Fusion Middleware, Oracle Financial Services Applications et Oracle Retail Applications. Plusieurs des vulnérabilités corrigées permettaient la prise de contrôle d’un système à distance par un attaquant non authentifié.

De plus, il est conseillé d’appliquer les correctifs publiés pour le produit Intel Converged Security Management Engine. Un attaquant ayant un accès local au système était en mesure d’exécuter du code arbitraire. Cette vulnérabilité affecte tous les composants intégrant le produit Intel CSME 11.x, comme les PC ou les appareils IoT. [6]

 

Codes d’exploitation

La semaine dernière, 3 codes d’exploitation ont été publiés. Des correctifs sont disponibles pour chacune des vulnérabilités utilisées par ces codes d’exploitation.

Le premier code d’exploitation porte sur Oracle Weblogic. Le code permet d’établir une connexion avec un système distant, d’y injecter des données spécialement préparées et ainsi de prendre le contrôle du système ciblé. [7]

Le second code d’exploitation porte sur le noyau Linux. Ce code permet l’injection d’instructions spécifiquement conçues et permet à un attaquant local d’élever ses privilèges afin d’être « super-utilisateur ». [8]

Enfin, le troisième code d’exploitation porte sur phpMyAdmin. Ce code exploite la possibilité de procéder à une inclusion de fichier arbitraire. Via une requête spécifique, un pirate était ainsi en mesure d’exécuter du code arbitraire sur le serveur hébergeant le composant vulnérable. [9]

 

Informations

Cybercriminalité

Un homme de 21 ans du Kentucky a plaidé coupable pour avoir créé et distribué un outil de piratage populaire appelé « LuminosityLink », une souche de logiciels malveillants qui, selon les experts en sécurité, a été utilisé par des milliers de clients pour accéder sans autorisation à des dizaines de milliers d’ordinateurs dans 78 pays à travers le monde. [10]

Vie Privée

Les données iCloud des 130 millions d’utilisateurs d’Apple en Chine vont être transférées vers un cloud appartenant à un fournisseur de télécommunications mobiles appartenant à l’État. Cette situation soulève des préoccupations en matière de confidentialité. En effet, suite à une loi sur la cybersécurité, et malgré les inquiétudes des défenseurs des droits humains, Apple a signé un accord avec l’opérateur mobile public China Telecom pour son service Cloud « Tianyi ». Cet accord transfère toutes les données, dont les données sensibles comme les courriels, les messages texte, les images et les clés de chiffrement des utilisateurs. [11]

Récemment, un aveu de la société « Election Systems and Software » (ES&S) auprès d’un sénateur de l’Oregon indique que la société aurait installé l’application « pcAnywhere » de la compagnie « Symantec » sur les machines de vote électronique utilisées lors des élections américaines en 2016. Les logiciels comme pcAnywhere sont utilisés par les administrateurs système pour effectuer des tâches de maintenance et de mise à jour à distance. Ces révélations sont inquiétantes, car le code source du logiciel « pcAnywhere » a été dérobé par le collectif Anonymous en 2006, Symantec ayant été forcé d’admettre que le vol ait effectivement eu lieu en 2012 après la publication du code source par les pirates. [12a][12b]

Juridique

En août 2017, il avait été révélé qu’un kit de développement de logiciels publicitaires installé sur de nombreuses applications françaises permettait d’obtenir des données sensibles puis de les utiliser a des fins publicitaires. Actuellement, la Commission Nationale de l’Informatique et des Libertés (CNIL) a mis en demeure les entreprises Teemo et Fidzup pour absences de consentement des utilisateurs sur le traitement de leurs données de géolocalisation à des fins de ciblage publicitaire. Les deux raisons principales sont le recueil sans consentement et la conservation des données sur une durée de 13 mois sans aucune autorisation. Teemo et Fidzup ont trois mois pour corriger leur comportement et se conformer aux lois sous peine d’une sanction. Fidzup est immédiatement intervenue en mettant en place une pop-up de récolte du consentement. [13]

En juin 2017, Bruxelles avait infligé une pénalité de 2,4 milliards d’euros à Google pour avoir favorisé son comparateur commercial, Google Shopping, sur son moteur de recherche. Une nouvelle lourde sanction a été infligée le mercredi 18 juillet 2018 à Google représentant 4 342 865 000€, pour abus de présence lors de recherche sur les appareils Android. La Commission européenne impose à ce géant américain de mettre fin à ses pratiques illégales sous 90 jours sous peine d’ajouter une amende de 10% supplémentaire sur le chiffre d’affaires de la maison mère de Google, Alphabet. Si cela se produit, le montant de l’infraction s’élèverait à 110,9 milliards de dollars sur la base des résultats financiers de l’entreprise en 2017. [14a][14b][14c]

Attaques

Des chercheurs d’ESET ont publié un rapport d’analyse au sujet d’une campagne visant à compromettre les systèmes informatiques du gouvernement ukrainien et à dérober les données qu’ils contiennent. La campagne est suivie par ESET depuis la moitié de l’année 2017. Selon les analyses télémétriques d’ESET, les attaques ont ciblé plusieurs centaines de victimes reparties au sein de plusieurs institutions gouvernementales ukrainiennes. [15]

L’équipe de FireEye a traqué une vague d’attaques lors des élections de juillet 2018 au Cambodge. Cette attaque serait réalisée par le groupe chinois « TEMP.Periscope » également nommé « Leviathan ». Dans le but d’exécuter ces attaques, le groupe a utilisé des outils et une infrastructure similaires à celle utilisée lors d’attaques à l’encontre d’industries américaines. De plus, une IP originaire d’Hainan, utilisée comme serveur de commande et de contrôle (C2), renforce les soupçons sur ce groupe. [16]

Mail Online a annoncé ce dimanche 15 juillet 2018, que l’un des plus grands laboratoires cliniques d’Amérique, LabCorp, aurait subi une attaque à l’encontre de leur système. Cette entreprise du top Fortune 500 a fermé suite à la tentative de la part des pirates d’accéder à leurs données personnelles, soit des dossiers médicaux privés de millions de personnes. À ce jour, aucune preuve n’a été apportée concernant le transfert non autorisé ou de mauvaises utilisations de données. Les experts précisent qu’il faut prévoir plusieurs semaines avant d’avoir des informations précises sur l’étendue de la brèche et de pouvoir estimer l’importance du vol. [17]

Vulnérabilité

Dans la nuit du 11 au 12 juillet 2018, un paquet NPM (Node Packet Manager) a été modifié par un attaquant afin d’y incorporer du code malveillant.
NPM est le gestionnaire de paquets JavaScript pour les bibliothèques, les outils et, de manière générale, une façon de gérer les dépendances de codes sources des projets JavaScript. L’utilitaire open source « eslint-scope » a été modifié par des pirates pour que, lors de son utilisation pour analyser le code source, le paquet copie le contenu du fichier ~/.npmrc de l’utilisateur sur un serveur externe via HTTPS. Ce fichier inclut le jeton de connexion NPMjs.org de la victime. D’après l’équipe NPM, 4500 jetons de connexions auraient potentiellement été volés par les attaquants. « À ce jour, aucune activité malveillante au-delà de cette compromission n’a eu lieu sur la plateforme », a déclaré CJ Silverio, directeur technique de NPM. [18]

Des chercheurs annoncent qu’ils ont réussi à effectuer une attaque permettant d’usurper un système GPS auprès de systèmes de navigation routière, pouvant amener les victimes à conduire vers des endroits arbitraires. La recherche mérite d’être mentionnée, car les précédentes attaques par « spoofing GPS » n’avaient pas réussi à tromper les humains qui, lors d’expériences passées, ont souvent reçu des instructions de conduite malveillantes qui n’avaient pas de sens ou n’étaient pas cohérentes avec l’infrastructure routière. [19]

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


Références portail XMCO

[1] CXA-2018-2978
[2] CXA-2018-2988
[3] CXA-2018-2989
[4] CXA-2018-2972
[5] CXA-2018-2979
[6] CXN-2018-2961
[7] CXA-2018-3017
[8] CXA-2018-3007
[9] CXA-2018-2926
[10] CXN-2018-2964
[11] CXN-2018-3026
[12] CXN-2018-3002
[13] CXN-2018-3031
[14] CXN-2018-3012
[15] CXN-2018-3029
[16] CXN-2018-2954
[17] CXN-2018-2955
[18] CXN-2018-2937
[19] CXN-2018-2949


Jean-Christophe Pellat

Cert-XMCO