Résumé de la semaine #35 (du 27 août au 2 septembre)

Résumé de la semaine #35 (du 27 août au 2 septembre)

Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.


Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’installation des correctifs publiés pour les logiciels Cisco [1], les produits Huawei [2] et les imprimantes Xerox [3]. L’exploitation des vulnérabilités corrigées permettait à un attaquant distant de provoquer divers dommages allant du déni de service à la prise de contrôle total du système.

 

Codes d’exploitation

La semaine dernière, 4 codes d’exploitation ont été publiés.

Le premier affecte les routeurs D-Link DIR-601. Le code permet à un attaquant de dérober des informations sensibles et d’élever ses privilèges. Aucun correctif n’est disponible. [4]

Le deuxième affecte PhpMyAdmin. Il permet à un attaquant d’effectuer des actions à l’insu d’un utilisateur légitime en l’incitant à visiter une page web spécifique. Un correctif est disponible. [5]

Le troisième affecte Microsoft Windows. Il permet à un attaquant d’élever ses privilèges sur le système. Aucun correctif n’est disponible. [6]

Enfin, le quatrième code d’exploitation affecte Adobe Flash. Via une URL spécialement conçue, un attaquant est en mesure de voler des informations et de stopper l’exécution du navigateur client. Un correctif est disponible. [7]

 

Informations

Vulnérabilités

Airmail : le concurrent d’Apple Mail présente des défauts de sécurité importants. Airmail est un client SMTP payant, concurrent à Apple Mail ou encore à Thunderbird. Selon des chercheurs de la société VerSprite, Airmail est affecté par quatre vulnérabilités permettant notamment d’accéder à d’anciens emails ou pièce jointe, sans avoir besoin d’interaction utilisateur. [8]

Un chercheur en sécurité a découvert une vulnérabilité au sein de l’interface de gestion ISPConfig. Son exploitation permet à un utilisateur d’exécuter du code arbitraire dans le contexte de l’utilisateur privilégié « ispconfig ». Cette vulnérabilité permet à un utilisateur malveillant d’inclure un fichier arbitraire qu’il aura précédemment transmis au travers de l’interface FTP et ce, simplement en changeant la langue de son interface. [9]

Une solution de gestion Cloud expose accidentellement les clés privées des certificats TLS des utilisateurs. Une vulnérabilité affectant la solution de reverse-proxy et d’équilibrage de charge « Traefik » a été découverte le lundi 20 août 2018. Cette vulnérabilité permet de récupérer (sous certaines conditions) les clés privées des certificats TLS des utilisateurs de la solution. Bien qu’il s’agisse plus d’une erreur de configuration que d’une vulnérabilité, cet incident de sécurité fait l’objet d’une CVE. Il s’agit de la CVE-2018-15598 , toujours en cours d’analyse avant compte-rendu. [10]

Sécurité

Mimecast, une société internationale spécialisée dans la gestion des e-mails, vient de publier son rapport Security Risk Assessment Report. Ce bilan concerne 142 millions de mails provenant de 37 entreprises dans 20 secteurs de l’industrie mondiale et semble plutôt négatif. Ce bilan trimestriel montre une augmentation des attaques par usurpation d’identité, soit un domaine difficile à identifier sans outils de sécurité spécialisée. [11]

Google proscrit désormais les antivirus qui, pour analyser les flux web, injectent du code dans son navigateur. Il veut les forcer à changer de technique de détection. Cela fait suite à son annonce en décembre 2017 de bloquer les injections de code dans le processus de Google Chrome. Les antivirus comme Kaspersky, Malwarebytes, Avast et bien d’autres ont tous été bannis par Chrome et les utilisateurs avaient reçu des messages les incitants à les désinstaller. La solution proposée par le géant de la technologie semble être de surveiller le flux web en passant par des extensions du navigateur. Microsoft, Avast et Malwarebytes proposent déjà leurs extensions disponibles dans le Chrome Web Store. [12]

Cybercriminalité

Le ministère américain de la Justice a annoncé l’arrestation de trafiquants de drogue dans le cadre de l’opération américaine Darkness Falls. Cette opération a été menée conjointement par plusieurs organismes gouvernementaux. Parmi les arrestations, des trafiquants du Dark web ont été appréhendés. Ainsi, les deux vendeurs Matthew et Holly Roberts, considérés comme les vendeurs les plus prolifiques de Fentanyl, font partie des arrestations. [13]

Attaques

La société Volexity a récemment pu constater l’exploitation de la vulnérabilité référencée CVE-2018-11776 affectant Apache Struts par un groupe d’attaquants afin de déployer une solution de minage de cryptomonnaie. L’attaque consistait à installer la solution « CNRig cryptocurrency miner », afin de générer de la cryptomonnaie au travers d’un script de lancement. [14]

La compagnie aérienne Air Canada a forcé ses 1,7 million d’utilisateurs à changer leur mot de passe après avoir détecté une activité anormale. Air Canada a annoncé que 20 000 comptes auraient été exposés. Les comptes contiendraient des détails sur les passeports des clients. Air Canada ajoute que la faille n’a exposé aucun moyen de payement. La compagnie assure que ces données sont chiffrées et en accord avec les règles du PCI-DSS. [15]

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


Références portail XMCO

[1] CXA-2018-3505
[2] CXA-2018-3485
[3] CXA-2018-3494
[4] CXA-2018-3538
[5] CXA-2018-3532
[6] CXA-2018-3508
[7] CXA-2018-3487
[8] CXN-2018-3497
[9] CXN-2018-3491
[10] CXN-2018-3512
[11] CXN-2018-3519
[12] CXN-2018-3509
[13] CXN-2018-3544
[14] CXN-2018-3506
[15] CXN-2018-3543


Jean-Christophe Pellat

Cert-XMCO