Résumé de la semaine 33 (du 14 au 20 août)

Résumé de la semaine 33 (du 14 au 20 août)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Fortinet pour FortiWeb [1], par Adobe pour Bridge [2] et pour Photoshop [3], par Mozilla pour Firefox [4] et par Google pour Chrome [5].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Un code d’exploitation a été publié cette semaine. Un correctif est disponible.

Prise de contrôle du système et contournement de sécurité via 3 vulnérabilités au sein de Microsoft Exchange (ProxyShell) [6]

Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. En exécutant ce module sur un serveur vulnérable, un attaquant distant est en mesure de contourner le mécanisme d’authentification, usurper l’identité d’un utilisateur et écrire des fichiers arbitraires sur le serveur afin d’exécuter des commandes arbitraires.

Informations

Publication

Rapid7 publie les détails d’une vulnérabilité concernant les pare-feux FortiWeb avant la publication du correctif [7a] [7b] [7c]

Durant le mois de juin 2021, une vulnérabilité fut découverte par le chercheur en sécurité informatique William Vu, travaillant pour Rapid7. Cette faille concernait les pare-feux applicatifs web FortiWeb et permettait à un attaquant authentifié d’exécuter du code à distance par l’intermédiaire de la page de configuration du serveur SAML. Fortinet, l’éditeur du produit, a rapidement publié un correctif.

Attaque

Une attaque nommée ProxyShell permet d’exécuter du code à distance sans authentification sur des serveurs Microsoft Exchange [8a] [8b]

L’expert en sécurité Kevin Beaumont et le chercheur Rich Warren ont récemment révélé que leur honey pot hébergeant un serveur Microsoft Exchange avait été compromis par des cybercriminels à partir de l’attaque ProxyShell. Le serveur en question avait peu de temps auparavant détecté des tentatives de scans. Cette attaque, conçue par le chercheur en sécurité Orange Tsai, permet d’exécuter du code sur le serveur. Elle peut être réalisée à distance par un attaquant sans aucun compte. Elle concerne les versions 2013, 2016 et 2019 de Microsoft Exchange.

Vulnérabilité

Une vulnérabilité impacte des millions d’objets connectés sur le réseau Kalay [9]

Mandiant, une société du groupe FireEye, a récemment divulgué la présence d’une vulnérabilité impactant le protocole Kalay, mis au point par l’entreprise ThroughTek. Ce dernier est intégré par différents fabricants au sein d’objets connectés comme des babyphones ou des caméras. La vulnérabilité (CVE-2021-28372) permet à un attaquant « d’usurper l’identité » d’un appareil connecté au réseau Kalay. L’exploitation de cette faille pourrait permettre à un individu malveillant de récupérer de façon illégitime les identifiants d’un utilisateur souhaitant se connecter à l’un de ses objets en se faisant passer pour celui-ci. Il est cependant nécessaire de connaitre l’UID de l’appareil afin de pouvoir procéder à cette attaque.

Fuite d’informations

Les données personnelles de 100 millions de clients T-Mobile ont été dérobées [10]

L’entreprise de télécommunication américaine T-Mobile a récemment été victime d’une fuite de données massive. Celle-ci a tout d’abord été annoncée au travers d’un message sur un forum du deep Web. L’auteur du message, disant être à l’origine de cette fuite de données, a mis en vente une partie des données contenant les informations de 30 millions d’utilisateurs au prix de 6 Bitcoins (~230 000 euros aujourd’hui). Le prix total des informations des 100 millions de comptes n’a pas été divulgué.

Ransomware

L’opérateur de ransomware Darkside a exfiltré les données personnelles de 5 810 employés de l’entreprise Colonial Pipeline [11]

L’entreprise Colonial Pipeline a récemment notifié 5 810 employés (et anciens employés) du fait que leurs données personnelles avaient été volées lors de l’attaque de l’opérateur Darkside. Les informations ayant été exfiltrées sont notamment les noms, coordonnées, dates de naissance, pièces d’identité ainsi que les informations relatives à la santé des salariés.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-3840
[2] CXA-2021-3845
[3] CXA-2021-3839
[4] CXA-2021-3825
[5] CXA-2021-3804
[6] CXA-2021-3867
[7] CXN-2021-3836
[8] CXN-2021-3814
[9] CXN-2021-3849
[10] CXN-2021-3831
[11] CXN-2021-3837


Marc Lambertz

Analyste CERT-XMCO