Résumé de la semaine #38 (du 17 au 23 septembre)

Résumé de la semaine #38 (du 17 au 23 septembre)

Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.


Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’installation des correctifs publiés par Adobe pour Acrobat et Reader [1], par Cisco [2] ainsi que SAP [3]. L’exploitation des vulnérabilités associées permettait à un attaquant de contourner des mécanismes de sécurité, de voler et manipuler des informations, ainsi que de prendre le contrôle du système.

Codes d’exploitation

La semaine dernière, un seul code d’exploitation a été publié. Il concerne le produit CA Release Automation [4]. Son exploitation permet à un attaquant de prendre le contrôle du système via l’envoi d’une requête spécifiquement conçue. Un correctif est disponible.

 

 

Informations

Vulnérabilité

Une équipe de recherche de Tenable a trouvé une vulnérabilité critique dans le logiciel Nuuo NRVMini2, utilisé par des caméras de sécurité et des équipements de surveillance, pouvant toucher des centaines de milliers d’équipements à travers le monde. [5a][5b][5c]

Des chercheurs appartenant à une équipe de recherche de Securify ont révélé aujourd’hui une vulnérabilité sur les équipements « My Cloud » de Western Digital. Cette vulnérabilité donne un accès administrateur à un attaquant, sans qu’il ait besoin de s’identifier. Plus particulièrement, elle lui permet d’obtenir un contrôle total du NAS, lui permettant de lire, copier et modifier les données qu’il contient. Cette vulnérabilité peut être exploitée via Internet. [6a][6b]

Piratage

Quelques jours après s’être moqué d’un concurrent, EOSBet, une application de jeu d’argent utilisant la blockchain EOS, a été victime d’un vol, à la suite d’une faille de sécurité dans l’un de ses smart contract. [7]

Newegg, un détaillant en ligne d’électronique et de matériels informatiques a été victime depuis un mois d’une faille de sécurité exposant les informations de cartes de crédit de ces clients par le même groupe qui a ciblé récemment British Airways ( CXN-2018-3695 ), Ticketmaster UK ( CXN-2018-2914 ) et Feedify, CXN-2018-3758 ). Ce logiciel malveillant vole les données de cartes bancaires sur les pages web compromises et les envoie vers un serveur externe contrôlé par les attaquants. [8]

Vie privée

En mai 2018, le Sénat californien votait une loi en faveur du rétablissement de la neutralité du net (voir CXN-2018-2320 ), précédemment abrogé par la Federal Communications Commission (FCC) (voir CXN-2018-3427 ). Le 31 aout 2018, l’assemblée d’État de Californie a confirmé ce vote (23-11), et a donc permis à cette loi d’aller jusqu’au bureau du gouverneur de Californie, Jerry Brown. [9a][9b][9c]

Des utilisateurs du logiciel CCleaner confirment que Piriform (récemment racheté par Avast) oblige à mettre à jour le logiciel à la version 5.46 même si l’utilisateur a expressément paramétré le programme pour ne pas effectuer les mises à jour automatiques. De plus, une fois la dernière version installée, les paramètres concernant la vie privée sont remis par défaut, ce qui autorise l’envoi de données d’utilisation anonyme à Avast/Piriform. [10]

Vie privée

Dans le cadre du Plan d’action national de la France pour une action publique transparente et collaborative, l’ANSSI a publié le code source de CLIP OS, un système d’exploitation sécurisé destiné à l’administration sur lequel elle travaille depuis plus de 10 ans. [11a][11b]

 

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


Références portail XMCO

[1] CXA-2018-3819
[2] CXA-2018-3817
[3] CXA-2018-3764
[4] CXA-2018-3792
[5] CXN-2018-3782
[6] CXN-2018-3801
[7] CXN-2018-3800
[8] CXN-2018-3818
[9] CXN-2018-3781
[10] CXN-2018-3804
[11] CXN-2018-3827


Jean-Yves Krapf

Consultant Cert-XMCO