Résumé de la semaine 29 (du 19 au 23 juillet)

Résumé de la semaine 29 (du 19 au 23 juillet)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Oracle dans le cadre du Critical Patch Update [1], par Atlassian pour Jira [2], par Google pour Chrome [3] ainsi que par Fortinet pour FortiManager et FortiAnalyzer [4].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 5 codes d’exploitation ont été publiés. Des correctifs sont disponibles pour 2 d’entre eux.

Divulgation d’informations via une vulnérabilité au sein de Windows (HiveNightmare / SeriousSAM) [5]

Ce code d’exploitation se présente sous la forme d’un programme écrit en C++. En exécutant ce programme sur un système vulnérable, un attaquant est alors en mesure de récupérer les bases de registre SAM, SECURITY et SYSTEM. À partir de ces bases de registre, un attaquant peut essayer de casser les condensats des administrateurs locaux. Aucun correctif de sécurité n’est disponible à l’heure actuelle.

Prise de contrôle du système via une vulnérabilité au sein de ForgeRock AM et OpenAM [6]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En envoyant une requête HTTP contenant une donnée sérialisée dans le paramètre jato.pageSession, un attaquant distant et non authentifié est en mesure d’exécuter des commandes arbitraires sur le système.

Prise de contrôle du système via une vulnérabilité au sein de Webmin [7]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En prenant en paramètre l’URL d’un site Webmin vulnérable, une adresse IP et un port, ce programme génère un lien spécifiquement conçu qui, lorsqu’il est cliqué par un administrateur, permet à l’attaquant d’obtenir un invite de commandes distant (reverse shell) sur l’IP et le port précisés en paramètres.

Élévation de privilèges via une vulnérabilité au sein du noyau Linux [8]

Ce code d’exploitation se présente sous la forme d’un programme écrit en C. En exécutant ce programme sur un système vulnérable, un attaquant est alors en mesure de provoquer une écriture hors champ lui permettant d’obtenir un invite de commandes en tant que superutilisateur (root). Aucun correctif n’est disponible à l’heure actuelle.

Déni de service via une vulnérabilité au sein du noyau Linux [9]

Ce code d’exploitation se présente sous la forme d’un programme écrit en C. En exécutant ce programme sur un système vulnérable, l’attaquant disposant de faibles privilèges est en mesure de faire planter le système. Aucun correctif n’est disponible à l’heure actuelle.

Informations

Publication

L’Agence Nationnale de la Sécurité des Systèmes d’Information (ANSSI) publie des indicateurs de compromission liés à une large campagne d’attaque ciblant la France [10]

L’Agence Nationnale de la Sécurité des Systèmes d’Information (ANSSI) a publié, ce jour, une liste d’indicateurs de compromission concernant une large campagne en cours touchant de nombreuses entités françaises. Cette campagne suit le mode opératoire APT31. Les investigations effectuées permettent de mettre en lumière la compromission de routeurs pour effectuer une reconnaissance ou d’autres attaques. D’expérience, ces routeurs peuvent aussi être utilisés comme relais d’anonymisation (proxy) ou comme système de rebond (pivot) afin d’atteindre des réseaux privés (internes).

Annonce

Mise en place d’un dispositif d’alertes cyber à destination des TPE et PME [11]

Le mardi 20 juillet, le secrétaire d’État au numérique à présenté un nouveau dispositif d’alerte, baptisé AlerteCyber, à destination des TPE et PME. Dans un contexte où le nombre de cyberattaques augmente constamment et que celles-ci ne se concentrent plus uniquement sur les grandes entreprises et institutions, ce dispositif a pour vocation de servir comme outil de prévention et de pédagogie auprès des TPE et PME.

International

Un logiciel espion développé par une société israélienne a été utilisé pour traquer des journalistes et opposants politiques dans 50 pays [12a][12b][12c]

Le logiciel espion Pegasus est développé par la société de cybersécurité israélienne NSO. Ce logiciel exploiterait plusieurs failles 0-day présentes dans iMessage, ainsi que d’autres non spécifiées au sein de Google et d’Android. Cela lui permet de prendre le contrôle de la plupart des smartphones à distance sans aucune interaction de la part de l’utilisateur, et donc d’accéder à la totalité des données personnelles et secrètes présentes sur celui-ci. Du fait de sa nature, Pegasus est principalement vendu à des acteurs étatiques, et NSO affirme mettre en place des enquêtes sur tout abus supposé.

Recherche

La faille wifi de l’iPhone évolue et rend possible une compromission de l’appareil [13]

Un bug a récemment été découvert dans l’iPhone qui entrainait l’arrêt du wifi après une connexion à un SSID (nom de réseau wifi) contenant les caractères %p%s%s%s%s%n. Apple a alors modifié la fonction responsable de cette faille afin qu’elle ne prenne plus en compte les %n. Cependant, les chercheurs de ZecOps ont trouvé un autre moyen d’exploiter cette faille sur les versions d’iOS corrigées par Apple, grâce au caractère %@. Il suffisait d’ajouter ce caractère au SSID pour pouvoir l’exploiter.

Vulnérabilité

Une faille dans Windows Hello permettait de tromper le mécanisme de reconnaissance faciale [14a][14b]

Windows Hello est une fonctionnalité de Windows 10 qui permet aux utilisateurs de s’authentifier sans mot de passe, en utilisant un code PIN ou une donnée biométrique comme une empreinte digitale ou un visage. Selon Microsoft, 85% des utilisateurs de Windows 10 utilisent ce système. La vulnérabilité, référencée CVE-2021-34466, permettait à un attaquant d’usurper l’identité de sa victime en se servant d’une image de son visage pour tromper le système de reconnaissance faciale et ainsi, prendre le contrôle de l’ordinateur.

Découverte d’une faille de sécurité vieille de 16 ans et affectant des millions d’imprimantes dans le monde [15]

Une vulnérabilité critique a été découverte par des chercheurs de SentinelLabs. Elle affecte un pilote utilisé dans des imprimantes de marques HP, Xerox et Samsung et est présente au sein de ces produits depuis 2005. Référencée CVE-2021-3438 (score CVSS: 8.8), cette faille de sécurité était due à un manque de validation sur la taille des saisies utilisateurs. Son exploitation permettait à un attaquant de provoquer un dépassement de tampon en mémoire afin d’exécuter du code arbitraire à distance.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2021-3416
[2] CXA-2021-3432
[3] CXA-2021-3413
[4] CXA-2021-3364
[5] CXA-2021-3411
[6] CXA-2021-3335
[7] CXA-2021-3412
[8] CXA-2021-3338
[9] CXA-2021-3401
[10] CXN-2021-3418
[11] CXN-2021-3415
[12] CXN-2021-3350
[13] CXN-2021-3430
[14] CXN-2021-3431
[15] CXN-2021-3409


Mathieu Claverie