Résumé de la semaine 39 (du 19 au 25 septembre)

Résumé de la semaine 39 (du 19 au 25 septembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Firefox ESR [1a] [1b], Apache Tomcat [2a] [2b] [2c], Google Chrome [3], Apple Safari [4], Samba [5a] [5b] [5c] [5d] et Citrix [6].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 3 codes d’exploitation ont été publiés. Des correctifs de sécurité sont disponibles pour les routeurs D-Link ainsi que les produits Mantis BT.

Prise de contrôle du système et divulgation d’informations via une vulnérabilité au sein des routeurs D-Link COVR-2600R et COVR-3902 Kit (SAP10109) [7a] [7b]

Les identifiants ainsi que la preuve de concept pour les récupérer ont été publiés. La preuve de concept indique les fichiers dans lesquels les identifiants étaient contenus.

Prise de contrôle du système via une vulnérabilité au sein de Mantis BT [8]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce script contre un serveur vulnérable, un attaquant est alors en mesure d’obtenir un invite de commandes distant sur le serveur.

Divulgation d’informations via une vulnérabilité au sein de SecureCRT [9a] [9b]

Ce code d’exploitation se présente sous la forme d’un module pour le Framework MetaSploit. En incitant sa victime à ouvrir un programme malveillant ou en ayant gagné un accès préalable, un attaquant est alors en mesure de déchiffrer les secrets stockés (identifiants).

 

Informations

International

Une force internationale coordonnée mène à l’arrestation de 179 trafiquants du Dark Web [10]

Plusieurs organismes de polices internationales, coordonnées par Europol et Eurojust ont récemment annoncé qu’une de leur action commune à l’encontre de sites illégaux du Dark Web avait abouti à l’arrestation de 179 personnes dans différents pays et la saisie de biens s’élevant à 6.5M$, principalement de grosses quantités de drogues et d’armes à feu.
Cette action fait suite à l’extinction du site Wall Street Market, qui avait apporté beaucoup d’informations sur de potentiels suspects.

Des pirates divulguent les informations de 1 000 policiers biélorusses de haut rang [11]

Un groupe de pirates a divulgué samedi les noms et les données personnelles de plus de 1 000 policiers biélorusses de haut rang en réponse à la violente répression policière contre les manifestations antigouvernementales. Les données ont été partagées via un tableur Google et concernent des lieutenants, des majors et des capitaines.

Un site anonyme publie les informations personnelles d’activistes hongkongais [12]

Depuis 2019, un site anonyme appelé HK Leaks publie les informations personnelles d’activistes politiques hongkongais. Ce site serait promu par des groupes liés au parti communiste chinois. Les informations publiées contiennent entre autres l’adresse du domicile, les numéros de téléphone et les comptes sur divers réseaux sociaux des victimes.
Ce procédé connu sous le nom de doxxing vise à rendre publiques les informations personnelles d’individus pour les exposer au harcèlement de leurs opposants.

Recherche

De nombreuses erreurs de configuration des buckets exposent des données hébergées dans le cloud de Google [13a] [13b]

La société de cybersécurité britannique, Comparitech, a démontré qu’un grand nombre de buckets contenant des informations sensibles sont exposés sur Internet.
Les chercheurs ont estimé que 6% des buckets de Google sont vulnérables à un accès non autorisé par un utilisateur malveillant avec la possibilité de télécharger des documents confidentiels. Par exemple, une base de données indienne qui contenait près de 6000 documents scannés parmi lesquels on pouvait trouver des informations à caractère personnel.

Cybercriminalité

L’agence de la cybersécurité américaine alerte d’une recrudescence d’attaque de LokiBot [14a] [14b]

L’Agence pour la cybersécurité et la sécurité des infrastructures américaine (CISA) a récemment annoncé que son système interne de détection des intrusions EINSTEIN a détecté une recrudescence d’infection par le malware LokiBot.
Le nombre d’infections détectées aurait plus de doublé entre juin et août, passant de 250 à près de 700. Aujourd’hui, il sert principalement à dérober des informations en ciblant les navigateurs, les clients mail, les applications FTP et les portefeuilles de cryptomonnaies.

Publication

La NSA publie un guide de personnalisation de Secure Boot pour l’UEFI [15a][15b]

La NSA, agence américaine responsable de la sécurité des systèmes d’information, a récemment publié un guide facilitant la personnalisation des paramètres de Secure Boot pour l’UEFI.
L’UEFI est une spécification définissant les modalités de communications entre le micrologiciel d’une carte et les systèmes d’exploitation. Elle remplace la spécification historique BIOS (Basic input output system).

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2020-4817
[2] CXA-2020-4799
[3] CXA-2020-4790
[4] CXA-2020-4760
[5] CXA-2020-4754
[6] CXA-2020-4850
[7] CXA-2020-4808
[8] CXA-2020-4768
[9] CXA-2020-4827
[10] CXN-2020-4839
[11] CXN-2020-4774
[12] CXN-2020-4756
[13] CXN-2020-4819
[14] CXN-2020-4810
[15] CXN-2020-4792


Marc Lambertz