Résumé de la semaine #30 (du 21 juillet au 27 juillet)

Résumé de la semaine #30 (du 21 juillet au 27 juillet)

Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.


Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’installation des correctifs publiés pour le navigateur Google Chrome [1] et Apache Tomcat [2a][2b][2c][3a][3b]. L’exploitation des vulnérabilités corrigées permettait à un attaquant distant de provoquer divers dommages allant du déni de service à la prise de contrôle total du système.

 

Codes d’exploitation

La semaine dernière, trois codes d’exploitation ont été publiés.

Le premier affecte les routeurs D-Link DAP-1360. Le code permet à un attaquant de récupérer des identifiants administrateur à distance. Aucun correctif n’est disponible. [4a][4b]

Le deuxième affecte les serveurs Oracle Weblogic. Il permet de déposer un webshell et ainsi de prendre le contrôle du système. Un correctif est disponible. [5]

Enfin, le troisième affecte Nagios Core. Il permet à un attaquant local de provoquer un crash via une erreur mémoire (déréférencement de pointeur nul). Un correctif est en cours de développement. [6]

 

Informations

Attaques

Le principal groupe hospitalier de Singapour, SingHealt a subi une cyberattaque de grande ampleur entre le 27 juin et le 4 juillet . Des pirates ont en effet dérobé les données personnelles de 1,5 million de personnes, soit un quart de la population singapourienne. Ces informations incluent le nom, le sexe, l’adresse, la date de naissance, le numéro de carte d’identité et l’appartenance ethnique des individus. [7]

Une vulnérabilité récemment corrigée par IBM commence à être activement exploitée par des attaquants. L’exploitation de cette faille permet d’exécuter des commandes arbitraires au sein du système ciblé. La faille de sécurité référencée CVE-2018-2893 provenait d’erreurs au sein du mécanisme de désérialisation d’objets au sein de Weblogic (voir CXA-2018-2989). [8]

D’après le Wall Street Journal, des pirates russes se sont infiltrés l’année dernière dans les réseaux des compagnies d’électricité américaines et auraient pu provoquer des pannes. Ces hackeurs appartenant aux groupes Dragonfly et Energetic Bear sont parvenus à s’introduire sur des réseaux pourtant isolés, en compromettant d’abord des prestataires tiers travaillant avec ces fournisseurs d’électricité. [9a][9b]

Vulnérabilités

Une équipe de chercheurs de l’Université de Technologie de Graz en Autriche, ayant participé à la découverte des vulnérabilités Spectre et Meltdown d’origine, vient de découvrir que les attaques Spectre pouvaient être lancées à distance, sans avoir à exécuter de code sur la machine ciblée. Contrairement aux autres variantes de Spectre, l’attaque permet de lire des données mémoires arbitraires sur le réseau, c’est pourquoi elle a été baptisée NetSpectre. [10]

Google Pay, successeur de la solution « Android Pay », vise à permettre aux utilisateurs d’effectuer des paiements bancaires grâce à leur smartphone sous Android. En mars 2018, le chercheur Salvador Mendoza a trouvé une vulnérabilité au sein de l’application qui sera classée plus tard par Google comme étant un « comportement attendu » et qui ne recevra pas de correctif de sécurité. La vulnérabilité peut permettre à des acteurs malveillants d’intercepter et d’effectuer des transactions frauduleuses grâce à un manque de contrôle des jetons au sein de l’application Google Pay. [11]

Michał Bentkowski, un chercheur en sécurité informatique a récemment découvert une vulnérabilité dans l’application de messagerie Hangouts Chat développée par Google. La vulnérabilité utilise un problème dans le mécanisme de protection contre les redirections vers des domaines malveillants. Google a corrigé la vulnérabilité quelques jours après que le rapport lui ait été communiqué. Il est conseillé aux utilisateurs de Google Hangouts Chat de mettre à jour l’application. [12]

Malware

Dès le 18 juillet, des chercheurs de NewSky Security ont constaté une augmentation du nombre de scans d’appareil Huawei. Ils ont rapidement découvert que les balayages réseau cherchaient des dispositifs vulnérables à la CVE-2017-17215, une vulnérabilité exploitant le port 37125 sur les routeurs Huawei HG532. Selon Ankit Anubhav, de NewSky Security, un pirate informatique se faisant appeler Anarchy a revendiqué un botnet de 18 000 machines utilisant cette vulnérabilité, qu’il aurait construit en seulement une journée. [13]

Juridiques

Le ministère américain de la Justice, Apple et l’éditeur de jeux « Supercell » ont été mis en garde contre un réseau de blanchiment d’argent qui utilise de faux comptes Apple et des profils de jeu en ligne pour effectuer des transactions avec des cartes de crédit/débit volées. Ces transactions frauduleuses permettent d’obtenir des avantages en jeu et sont revendues à d’autres joueurs afin de blanchir l’argent. Cette opération a été révélée à la mi-juin lorsque des chercheurs en sécurité de la société « Kromtech Security » ont découvert une base de données MongoDB qui avait été laissée exposée en ligne sans authentification. [14a][14b]

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


Références portail XMCO

[1] CXA-2018-3082
[2] CXA-2018-3035
[3] CXA-2018-3037
[4] CXA-2018-3095
[5] CXA-2018-3034
[6] CXA-2018-3090
[7] CXN-2018-3042
[8] CXN-2018-3048
[9] CXN-2018-3098
[10] CXN-2018-3115
[11] CXN-2018-3079
[12] CXN-2018-3083
[13] CXN-2018-3043
[14] CXN-2018-3062


Jean-Christophe Pellat

Cert-XMCO