Résumé de la semaine 3 (du 15 au 22 janvier)

Résumé de la semaine 3 (du 15 au 22 janvier)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Oracle dans le cadre du Critical Patch Update [1], par Google pour Google Chrome [2], pour Nagios [3], pour Laravel [4] ainsi que pour Huawei [5]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

6 codes d’exploitation ont été publiés cette semaine. Des correctifs sont disponibles pour chacun d’entre eux.

Prise de contrôle du système via une vulnérabilité au sein de Cisco UCS Manager [6]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. Le programme teste la présence de la vulnérabilité et envoie une requête HTTP sur la page /ucsm/isSamInstalled.cgi chargée de l’en-tete User-Agent : () { ignored;};/bin/bash -c id, qui permet d’exécuter la commande « id » sur le système sous-jacent.

Prise de contrôle du système via une vulnérabilité au sein de Nagios XI [7]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. L’exécution de ce code permet d’envoyer une première requête HTTP GET permettant d’obtenir un jeton nsp, puis une seconde requête POST vers l’URI /nagiosxi/admin/monitoringplugins.php afin d’exécuter une commande arbitraire.

Prise de contrôle du système via une vulnérabilité au sein de Laravel [8]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. L’exécution de ce script permet d’exécuter du code arbitraire sur le serveur en envoyant une requête HTTP spécifiquement conçue sur le module Ignition.

Déni de service via une vulnérabilité au sein des routeurs Cisco (cisco-sa-rv-overflow-WUnUgv4U) [9a] [9b]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En envoyant une requête HTTP POST spécifiquement conçue au serveur Web du routeur, un attaquant authentifié est en mesure de provoquer un dépassement mémoire et ainsi causer l’arrêt intempestif du routeur.

Manipulation de données et divulgation d’informations via une vulnérabilité au sein de Nagios XI [10]

Ce code d’exploitation se présente sous la forme d’un ensemble de requêtes HTTP. En exécutant chaque requête, un attaquant est alors en mesure de créer un outil, un groupe BPI ou une vue contenant une charge malveillante Javascript qui sera exécutée à la consultation de la page.

Prise de contrôle du système via une vulnérabilité au sein de SAP [11]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python et se base sur l’envoi sur le serveur cible de fichiers XML spécifiquement conçus.

Il permet d’effectuer trois types d’actions :

  • Exécuter des commandes sur le serveur sans retour de commande via l’option rce du programme ;
  • Requêter des ressources du serveur ou d’autres ordinateurs du Système d’Information via l’option ssrf du programme ;
  • Ouvrir un tunnel vers le serveur cible (reverse shell) via l’option back du programme.

 

Informations

Vulnérabilité

Découverte des vulnérabilités DNSpooq impactant le logiciel Dnsmasq [12a] [12b]

Des chercheurs de la société JSOF ont publié des détails concernant 7 vulnérabilités affectant dnsmasq, un logiciel libre utilisé pour rediriger des requêtes DNS (DNS forwarding) et conserver les réponses en cache.
Ces vulnérabilités ont été regroupées sous le nom DNSpooq. Un attaquant pouvait les exploiter pour prendre le contrôle du système affecté ou pour provoquer un déni de service.

Une vulnérabilité affectant Windows 10 permet de corrompre un disque NTFS [13]

Un chercheur en sécurité informatique a découvert une vulnérabilité 0day affectant Windows 10.

En exécutant une commande visant à accéder à l’attribut $i30 (avec un compte local sans droits d’administration), il est possible de provoquer une corruption d’un disque NTFS (nécessitant un redémarrage du système).

Fuite d’informations

Les données de profils utilisateur de 500 000 employés haut placés exposées sur le dark web [14]

D’après un article de l’entreprise de cybersécurité Cyble, les données de profils utilisateur de 500 000 employés à haute responsabilité ont été publiées sur le dark web.

Ces profils contiennent notamment des adresses email professionnels, des numéros de téléphone, ou encore des condensats de mots de passe.

Malware

Raindrop, un nouveau malware détecté dans le cadre de l’attaque sur Solarwinds [15]

Des chercheurs de Symantec ont récemment découvert un nouveau malware utilisé dans le cadre des attaques liées à la compromission de SolarWinds Orion. Ce malware, baptisé Raindrop, est utilisé dans la post-exploitation des intrusions liées à cette attaque, et donc au déploiement de Sunburst, le malware intégré à Orion, la solution de Solarwinds.

Publication

L’ANSSI et le GIP ACYMA livrent un bilan alarmant sur l’année 2020 concernant les cyberattaques [16]

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) et le groupement d’intérêt public action contre la cybermalveillance (GIP ACYMA) dévoilent un bilan inquiétant concernant les cyberattaques en 2020.

Guillaume Poupard rappelle aux entreprises de durcir leurs systèmes afin de se prémunir d’une cyberattaque. L’ANSSI publie régulièrement des guides de bonnes pratiques et de recommandation sur leur site.

La NSA publie un guide sur l’utilisation du chiffrement DNS dans un environnement d’entreprise [17]

L’agence nationale de la sécurité américaine (NSA) a publié un guide sur le chiffrement DNS dans un environnement d’entreprise. Ce guide recommande l’utilisation du protocole HTTPS pour s’assurer du chiffrement des requêtes DNS. Cette méthode est appelée DNS over HTTPS (DoH).

Phishing

Une nouvelle campagne de phishing opérée par le groupe iranien Charming Kitten a été découverte [18]

Pendant la période des vacances de Noël 2020, le groupe Charming Kitten, une organisation cybercriminelle soutenue par l’état iranien, a lancé une campagne de phishing. Cette campagne avait pour but d’espionner de nombreuses entités et personnes, telles que des journalistes, des professeurs, mais aussi des centres de recherche politiques et environnementaux, dans les pays du Golfe et aux États-Unis entre autres.
La période des fêtes est assez propice à ce genre d’offensives, en raison notamment des effectifs amoindris. Les pirates se sont attaqués à des comptes mails personnels (Google, Yahoo et Outlook).

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2021-0315
[2] CXA-2021-0318
[3] CXA-2021-0262
[4] CXA-2021-0258
[5] CXA-2021-0239
[6] CXA-2021-0272
[7] CXA-2021-0264
[8] CXA-2021-0260
[9] CXA-2021-0223
[10] CXA-2021-0375
[11] CXA-2021-0370
[12] CXN-2021-0281
[13] CXN-2021-0266
[14] CXN-2021-0317
[15] CXN-2021-0356
[16] CXN-2021-0276
[17] CXN-2021-0257
[18] CXN-2021-0244


Marc Lambertz

Analyste CERT-XMCO