Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Cisco pour ses logiciels [1a] [1b] [1c] [1d] [1e] [1f] [1g] [1h] [1i] et ses équipements [2], par Mozilla pour Thunderbird [3] et Firefox [4a] [4b] [4c] et par PulseSecure pour Pulse Connect Secure [5]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 4 codes d’exploitation ont été publiés. Des correctifs sont disponibles pour chacun d’entre eux.
Prise de contrôle du système et élévation de privilèges via une vulnérabilité au sein de Windows 10 [6]
Ce code d’exploitation se présente sous la forme d’un programme écrit en C++. En compilant puis en exécutant ce programme, un attaquant est alors en mesure de lancer l’exécutable C:Windowssystem32cmd.exe avec les droits NT_AUTHORITYSYSTEM.
Prise de contrôle du système via une vulnérabilité au sein de Microsoft Sharepoint [7]
Ce code d’exploitation se présente sous la forme d’un module Metasploit (Ruby). Le programme se charge d’envoyer une charge XML contenant une autre charge sérialisée .NET. Cette charge permet à l’attaquant d’obtenir un Shell sur le serveur.
Manipulation de données et divulgation d’informations via une vulnérabilité au sein de Cisco ASA et Cisco FTD [8]
Ce code d’exploitation se présente sous la forme d’un programme écrit en bash. En exécutant ce programme, un attaquant distant et non authentifié est en mesure de supprimer un fichier de son choix présent sur le système.
Prise de contrôle d’un système via une vulnérabilité au sein de pfSense [9]
Ce code d’exploitation se présente sous la forme d’une page écrite en HTML. En incitant sa victime à visiter cette page, un attaquant est alors en mesure d’exécuter des commandes malveillantes directement sur le serveur.
Informations
Ransomware
Un rapport donne des détails sur le fonctionnement du ransomware REvil/Sodinokibi [10]
Des chercheurs de la société Arete ont publié un rapport synthétisant le résultat de plus de 40 réponses à incident impliquant le ransomware REvil/Sodinokibi depuis janvier 2020.
Ce ransomware fonctionne sur le modèle de ransomware-as-a-service. Une souscription à une offre cloud est effectuée par des « partenaires » ou des « franchisés » qui choisissent et piratent leurs cibles, puis déploient la solution de ransomware. Les opérateurs de REvil conservent une commission sur les profits réalisés avec leur produit, et offrent même un support technique à ses clients.
Vulnérabilité
Découverte de la vulnérabilité BootHole, qui affecte GRUB2 [11a] [11b] [11c]
Des chercheurs de la société Eclypsium ont découvert une vulnérabilité (baptisée BootHole) affectant le système d’amorçage GRUB2 (utilisé par la majorité des distributions Linux, et parfois par Windows, macOS et les systèmes basés sur BSD).
La vulnérabilité, référencée CVE-2020-10713, provient d’une erreur dans le traitement du fichier de configuration grub.cfg. En modifiant ce fichier (cette opération nécessite des droits d’administration), un attaquant peut exécuter du code arbitraire au cours du processus de démarrage du système, et donc en prendre le contrôle. Les malwares déployés de cette manière (connus sous le nom de bootkits) sont particulièrement persistants. En effet, étant stockés dans la mémoire physique de la carte mère, ils survivent à une réinstallation du système d’exploitation.
Malware
Le malware Doki infecte les serveurs Docker dans le cloud [12]
Des chercheurs de la société Intezer ont publié une analyse de Doki, un malware qui cible les serveurs Linux dans le cloud qui exposent l’accès à l’API Docker.
Doki reprend des éléments de campagne déjà analysée précédemment pour cibler les serveurs exposant l’API Docker. Cette API permet de créer un container Docker sur le serveur. Ensuite, une technique d’évasion du container permet aux pirates d’accéder au système de fichier du serveur Docker. Ils modifient grâce à cela le cron du serveur afin d’exécuter un script toutes les minutes. De plus, Doki a la capacité de se propager automatiquement en scannant les plages IP des services cloud infectés et permet l’exécution de commandes à distance.
Attaque
L’entreprise bancaire Dave victime d’une brèche de sécurité touchant 7,5 millions d’utilisateurs [13]
L’application bancaire Dave a confirmé une faille de sécurité dans son système, après qu’un pirate a publié les informations de 7,5 millions d’utilisateurs.
Parmi les informations collectées et mises à la disposition de tous sur un forum, on peut retrouver les données financières, les noms, les adresses, les numéros de téléphone, les emails et les dates de naissance des utilisateurs.
Fuite d’informations
Nintendo victime d’une fuite de données : 2 téraoctets d’archive ont été publiés [14a] [14b] [14c]
L’éditeur de jeux vidéos japonais Nintendo a été victime d’une fuite de données, qui a été baptisée Gigaleak en raison du volume de données exposées (2 téraoctets).
Des archives du géant nippon (codes sources d’anciens jeux ou de firmwares de consoles, médias inutilisés, outils de développement) ont ainsi été publiées sur le forum 4Chan.
Santé
Un rapport revient sur les incidents de sécurité dans le secteur de la santé [15a] [15b]
Le rapport 2019 sur les incidents de sécurité dans le domaine de la santé en France vient d’être publié.
Le rapport contient de nombreux graphiques illustrant la nature, les conséquences et l’évolution des incidents. Il détaille par exemple la répartition géographique, les établissements les plus visés, l’origine des incidents ou encore le nombre d’incidents ayant directement mis en danger des patients.
Cybercriminalité
Le groupe ShinyHunters divulgue gratuitement 386 millions d’enregistrements d’utilisateurs de 18 entreprises [16]
Le groupe connu sous le pseudonyme de ShinyHunters a rendu disponibles gratuitement 18 bases de données contenant les données personnelles de plus de 386 millions de personnes.
Parmi les bases de données concernées, 9 avaient déjà été diffusées d’une manière ou d’une autre. Les 9 autres (dont Havenly, Indaba Music, Ivoy, Proctoru, Rewards1, Scentbird et Vakinha) n’avaient quant à elles jamais été publiées.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2020-3941
[2] CXA-2020-3921
[3] CXA-2020-3913
[4] CXA-2020-3910
[5] CXA-2020-3895
[6] CXA-2020-3939
[7] CXA-2020-3937
[8] CXA-2020-3934
[9] CXA-2020-3874
[10] CXN-2020-3940
[11] CXN-2020-3920
[12] CXN-2020-3914
[13] CXN-2020-3888
[14] CXN-2020-3880
[15] CXN-2020-3878
[16] CXN-2020-3900
