Résumé de la semaine 3 (du 11 au 17 janvier)

Résumé de la semaine 3 (du 11 au 17 janvier)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs concernant les différentes versions de Windows [1], de PhpMyAdmin [2], de Gitlab [3], de Cisco WebEx [4a] [4b], des produits Polycom [5][6], de Cisco Unified Customer Voice Portal (CVP) [7], de Mozilla Thunderbird [8] ainsi que d’Oracle Java SE [9]. Ces derniers permettaient de corriger des vulnérabilités allant du déni de service à la compromission du système.

 

Codes d’exploitation

Cette semaine, 4 codes d’exploitation ont été publiés.

Windows [10]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python et une suite de commandes Shell. En exécutant ce programme, un attaquant est en mesure de générer un certificat d’autorité de confiance permettant ensuite à un attaquant de faire passer n’importe quelle communication interceptée ou binaire signé par ce certificat comme légitime. Un correctif de sécurité est disponible.

Windows 10 [11]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. Le programme créer une clé de registre dans l’objectif de faire exécuter une commande à l’exécutable changepk.exe disposant des privilèges administrateur. Un correctif de sécurité est disponible.

Citrix Application Delivery Controller (ADC) / Citrix Gateway [12]

Ces codes d’exploitation se présentent sous la forme de scripts en différents langages (Shell, Python, Ruby…). En exécutant ces scripts avec l’adresse IP d’un système vulnérable en paramètre, un attaquant est en mesure d’exécuter des commandes sur le serveur sous-jacent et ainsi d’en prendre le contrôle. Un correctif de sécurité est disponible.

Oracle WebLogic [13]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. Le programme crée un tableau UnitOfWorkChangeSet contenant une charge malveillante sous la forme d’un document XML. Ce dernier sera déserialisé et le code de l’attaquant sera exécuté. Un correctif de sécurité est disponible.

 

Informations

Cloud/SaaS

L’hébergeur français Gandi parvient à récupérer les données de ses clients suite à un incident dans un datacenter [14]

La semaine dernière, l’hébergeur et registraire de noms de domaines français Gandi a été victime d’un incident dans un de ses datacenters au Luxembourg. L’entreprise a prévenu ses clients le 8 janvier qu’une opération de récupération de données était en cours, mais qu’il était possible qu’elle échoue.

Malware

Un Blue Screen of Death révèle la présence d’un mineur de cryptomonnaie infectant la moitié des systèmes d’une entreprise [15]

Un Blue Screen of Death (BSOD), un écran bleu caractéristique affiché par Windows lors d’un crash du système a permis de révéler que des systèmes d’une société avaient été infectés avec un mineur de cryptomonnaie (Monero).

Le ransomware Ryuk utilise le Wake-on-Lan pour chiffrer des appareils hors-ligne [16]

Ryuk est un ransomware prolifique attribué au groupe Lazarus, lui-même soupçonné d’être affilié à la Corée du Nord. On estime qu’il a déjà rapporté plus de 3 millions de dollars à ses auteurs (CXN-2019-0251). Une nouvelle variante utilisant le Wake-on-Lan pour allumer et chiffrer des appareils éteints a été repérée par des chercheurs de SentinelLabs.

Éditeur

Le support de Windows 7 et Windows Server 2008/2008 R2 a pris fin le 14 janvier 2020 [17]

Comme annoncé (cf. CXN-2019-5888), le support officiel de Windows 7 et de Windows Server 2008/2008 R2 par Microsoft s’est terminé. Cela signifie que ces versions de Windows ne recevront plus de support technique, de mises à jour logicielles ou de correctifs de sécurité.

Vulnérabilité

Deux vulnérabilités affectant les plugins WordPress InfiniteWP Client et WP Time Capsule permettent le contournement du mécanisme d’authentification [18]

Des chercheurs de la société WebARX ont découvert plusieurs vulnérabilités affectant les plugins WordPress Infinite WP Client et WP Time Capsule. Leur exploitation permettait à un attaquant de contourner le mécanisme d’authentification du compte d’administration d’une instance WordPress.

Publication par Microsoft du correctif de la vulnérabilité CVE-2020-0601 communiquée par la NSA [19]

Microsoft a publié aujourd’hui le correctif concernant la vulnérabilité référencée CVE-2020-0601, identifiée par la NSA et publiée dans le cadre de leur opération de communication « Turn a New Leaf ». Cette vulnérabilité affecte le mécanisme garantissant la validité de la signature d’un certificat. Seules les signatures réalisées grâce à des courbes elliptiques et vérifiées par un système Windows vulnérable sont concernées.

Deux vulnérabilités critiques au sein de Remote Desktop Gateway permettaient la prise de contrôle du système à distance sans authentification [20a] [20b]

Pour ce premier patch Tuesday de l’année 2020, Microsoft a corrigé deux vulnérabilités critiques au sein du composant Remote Desktop Gateway. Leur exploitation permet à un attaquant de prendre le contrôle du système à distance.

Ransomware

Les pirates ayant utilisé le ramsomware Maze menacent de publier 14 Gb de fichiers dérobés chez Southwire chaque semaine jusqu’à ce que la rançon soit payée [21]

Les attaquants ayant utilisé le ransomware Maze menacent de publier les données des victimes qui ne payent pas la rançon. Un site web a été spécialement créé par les attaquants. Ces derniers y mettent à disposition un échantillon des fichiers dérobés ainsi que les adresses IP des serveurs ciblés dans le but de prouver aux entreprises concernées la véracité de leurs annonces.

Les pirates derrière le ransomware Sodinokibi/REvil commencent à publier des données de victimes qui refusent de payer les rançons [22]

Comme nous en parlions dans un précédent bulletin (cf. CXN-2019-5837), les pirates derrière le ransomware connu sous les noms Sodinokibi ou REvil ont récemment menacé de publier ou de vendre les données volées à leurs victimes qui refusent de payer les rançons demandées.

Recherche

La vulnérabilité CableHaunt permettrait de prendre le contrôle de 200 millions de modems câbles sans s’authentifier [23]

Le 11 janvier 2020, des chercheurs en sécurité de LyreBird ont publié un rapport sur une vulnérabilité baptisée « Cable Haunt » qui est référencée CVE-2019-19494. Cette dernière affecte des modems câbles. Cette vulnérabilité provient d’un manque de contrôle des requêtes websockets entrantes amenant à un dépassement de mémoire sur la pile d’exécution (buffer overflow).

Fuite d’informations

Fuite du firmware de plusieurs modèles de Livebox [24]

Les firmwares de plusieurs modèles de Livebox, la box d’accès à Internet d’Orange, ont fuité.

Attaque

Des codes d’exploitation fonctionnels pour la vulnérabilité affectant les solutions Citrix (CVE-2019-19781) sont maintenant disponibles [25]

Suite à la publication de vulnérabilités critiques (CVE-2019-0604) affectant les solutions Citrix (voir CXN-2020-0089, CXN-2020-0063 et CXA-2019-5820), des codes d’exploitation fonctionnels ont maintenant été publiés.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2020-0206
[2] CXN-2020-0189
[3] CXN-2020-0171
[4] CXN-2020-0161
[5] CXN-2020-0152
[6] CXN-2020-0126
[7] CXN-2020-0146
[8] CXN-2020-0143
[9] CXA-2020-0232
[10] CXN-2020-0267
[11] CXN-2020-0175
[12] CXN-2020-0144
[13] CXN-2020-0132
[14] CXN-2020-0265
[15] CXN-2020-0251
[16] CXN-2020-0184
[17] CXN-2020-0195
[18] CXN-2020-0183
[19] CXN-2020-0202
[20] CXN-2020-0197
[21] CXN-2020-0169
[22] CXN-2020-0160
[23] CXN-2020-0148
[24] CXN-2020-0117
[25] CXN-2020-0116


Arthur Gautier