Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’installation des correctifs publiés par Oracle : Java [1], MySQL [2], Oracle Database [3], Fusion Middleware [4] et VirtualBox [5]. Par ailleurs, nous vous recommandons également l’installation des correctifs publiés par Drupal [6a][6b] et par Synology [7], [8]. Ces correctifs adressent des vulnérabilités allant du déni de service à la prise de contrôle du système.
Code d’exploitation
Cette semaine, 4 codes d’exploitation ont été publiés.
Deux d’entre eux concernent Google Chrome, et permettent à un attaquant de causer un déni de service [9], [10]. Ces codes d’exploitation se matérialisent sous la forme d’un code en JavaScript contenu dans un fichier HTML. Les deux codes d’exploitation visent l’allocation mémoire du moteur v8 JavaScript du navigateur. Un attaquant est en mesure de faire planter le navigateur, en incitant un utilisateur à ouvrir une page web malveillante. Aucun correctif n’est disponible actuellement.
Le troisième code d’exploitation concerne Microsoft Outlook. Il permet à un attaquant de prendre le contrôle du système [11]. Le code d’exploitation se matérialise sous la forme d’un code en C, qui permet à un attaquant d’exécuter un programme dans le contexte de l’utilisateur, en exploitant la gestion des liens hypertextes au sein des VCards (Carte de Visite Électronique, utilisée par Microsoft Windows). Aucun correctif n’est prévu par l’éditeur.
Le dernier code d’exploitation publié cette semaine concerne Horde IMP. Celui-ci permet à un attaquant de prendre le contrôle du système, sans être authentifié [12]. Le code d’exploitation se matérialise sous la forme d’un code en Python. Il permet à un attaquant d’exécuter du code arbitraire, à distance, sans être authentifié en exploitant la fonction PHP imap_open. Aucun correctif n’est disponible à l’heure actuelle.
Informations
Attaques
Une nouvelle attaque, attribuée au groupe Magecart, a été identifiée [13]. Cette attaque a compromis un fournisseur de publicité Web français et y a installé un script qui s’est ensuite propagé sur des sites de e-commerces. Le but était de dérober les informations bancaires des utilisateurs. Au 1er janvier 2019, les chercheurs de la société TrendMicro avaient détecté 277 sites de e-commerces compromis.
Une attaque dite « des 51% » a touché la cryptomonnaie « Ethereum Classic » [14]. Ce genre d’attaque est réalisable lorsqu’un individu (ou un groupe d’individus coordonnés) dispose d’au moins 51% de la puissance de calcul disponible sur le réseau. Dans ce cas, l’attaquant est en mesure d’imposer au système une blockchain alternative, dans laquelle certaines opérations ne sont pas référencées. Les attaquants auraient réussi à dérober un montant avoisinant 1 million d’euros grâce à cette attaque.
Recherche
Une société américaine, Quantum Xchange, a commencé à opérer une fibre optique qui repose sur la technologie Quantum Key Distribution [15]. Cette technologie permettrait de s’assurer que les données transitant par la fibre optique ne sont pas interceptées, et repose sur le principe quantique qui dit que vérifier l’état d’une particule modifie irrémédiablement celui-ci. Cependant, cette technologie n’en est encore qu’à ses balbutiements, et il reste un long chemin à faire avant qu’elle ne puisse être déployée à une plus échelle globale.
Un chercheur a découvert 4 vulnérabilités affectant les clients SCP les plus connus, notamment OpenSSH, WinSCP et PuTTY [16]. Ces clients, basés sur l’ancêtre (vulnérable) de SCP, RCP, ont donc hérité de certaines vulnérabilités vieilles de 36 ans. Un attaquant pouvait exploiter ces vulnérabilités afin de manipuler les réponses du serveur et de compromettre les postes des victimes. Des correctifs sont d’ores et déjà planifiés pour OpenSSH et WinSCP, cependant aucun correctif ne semble actuellement prévu pour PuTTY.
Fuite d’informations
Une application interne à la NASA a exposé des données confidentielles sur ses employés et sur ses projets internes pendant au moins 3 semaines [17]. C’est un chercheur indépendant qui a découvert qu’une application Jira était exposée sur Internet, à cause d’une erreur de configuration. Suite à la remontée du chercheur à la NASA, celle-ci n’a pas donné suite, mais a fini par modifier la configuration de l’application 3 semaines plus tard.
Un chercheur en sécurité a découvert une base de données MongoDB, exposée sur Internet, qui contiendrait les CVs de plus de 200 millions de Chinois [18]. Dans cette base de données de 854Go, les CVs contiendraient de nombreuses informations sensibles comme le nom, le prénom, l’adresse de résidence, ou encore l’affiliation politique et le niveau d’éducation. Depuis la découverte du chercheur, la base de données aurait été sécurisée par son propriétaire.
Plus de 1200 notifications : c’est ce que la CNIL aurait reçu concernant des violations de données personnelles depuis l’entrée en vigueur du RGPD [19]. C’est par l’intermédiaire de Jean Lessi, secrétaire général de la CNIL, que cette information a été annoncée. Selon lui, ce constat permet de prendre conscience de la vulnérabilité de nombreuses organisations vis-à-vis des risques pesant sur les données personnelles qu’elles détiennent.
Une fuite de données contenant près de 773 millions d’entrées a été publiée [20]. Appelée « Collection #1 », celle-ci contient 772 904 991 millions d’emails uniques et plus de 20 millions de mots de passe associés.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2019-0272
[2] CXA-2019-0269
[3] CXA-2019-0270
[4] CXA-2019-0271
[5] CXA-2019-0294
[6] CXA-2019-0297
[7] CXA-2019-0241
[8] CXA-2019-0242
[9] CXA-2019-0196
[10] CXA-2019-0295
[11] CXA-2019-0257
[12] CXA-2019-0219
[13] CXN-2019-0300
[14] CXN-2019-0224
[15] CXN-2019-0292
[16] CXN-2019-0230
[17] CXN-2019-0210
[18] CXN-2019-0183
[19] CXN-2019-0302
[20] CXN-2019-0325
