Résumé de la semaine 39 (du 22 au 28 septembre)

Résumé de la semaine 39 (du 22 au 28 septembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détails ce service sur xmco.fr et testez le gratuitement et sans engagement sur leportail.xmco.fr.

 

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft pour une faille 0-day impactant son navigateur Internet Explorer [1], par Tomcat pour Tomcat 8 et Tomcat 9 [2a] [2b], par Adobe pour Adobe ColdFusion [3], par VMWare pour VMWare ESXi [4] ainsi que par Mozilla pour son navigateur Firefox [5]. Ces correctifs adressent des dommages allant du déni de service jusqu’à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, deux codes d’exploitation ont été publiés.

pfSense [6]

Le premier code d’exploitation impacte pfSense. Il se présente sous la forme d’un script en Python. Il permet à un attaquant authentifié d’obtenir une invite de commandes sur le système. Aucun correctif n’est disponible.

Microsoft Sharepoint [7]

Le second code d’exploitation impacte Microsoft Sharepoint. Il se présente sous la forme d’une requête HTTP. Il permet à un attaquant d’exécuter un code Javascript arbitraire (vulnérabilité de type `Cross-Site Scripting`). Un correctif est disponible.

 

Informations

Vulnérabilité

Prise de contrôle du système via une vulnérabilité au sein du CMS vBulletin [8]

Une vulnérabilité jusque là inconnue a été publiée sur Full Disclosure et affecte le CMS vBulletin. Cette vulnérabilité permet à un attaquant distant et non authentifié d’exécuter du code arbitraire sur le système. vBulletin est un logiciel permettant de déployer et d’administrer rapidement une plateforme communautaire (forum). La vulnérabilité, qui n’avait pas été identifiée jusque là et demeure non corrigée (« 0-day »), affecte toutes les versions de vBulletin sur la branche 5.x, y compris les dernières mises à jour.

Fuite d’informations

Deux bases de données liées à un cheval de troie bancaire exposent des millions de données [9]

Deux instances MongoDB liées au réseau Gootkit ont été découvertes le 5 juillet denier. Gootkit est un cheval de Troie très sophistiqué découvert dans la nature durant l’été 2014. Les deux instances, accessibles via des moteurs de recherche publics, ont été déconnectées le 10 juillet. Le dossier contenant le plus de données était le dossier Forms. En effet, ce dernier contenait les données saisies par les utilisateurs sur les machines infectées : mots de passe en clair, détails de configuration, comptes bancaires, détails de cartes de crédit.

Une option de configuration de Google Calendar peut aboutir à une fuite d’informations sensibles [10]

Un chercheur en sécurité informatique a découvert que l’option de partage d’agenda de Google Calendar pouvait aboutir à l’exposition d’informations sensibles. Cette option permet à l’utilisateur de partager l’accès à son agenda à d’autres utilisateurs en leur fournissant une URL spécifique. Selon le chercheur, les utilisateurs auraient tendance à penser que seuls les utilisateurs auxquels ils ont partagé le lien peuvent avoir accès à leur agenda. Or, lorsque cette option est activée, l’agenda est indexé par le moteur de recherche de Google et peut donc être retrouvé sans connaissance préalable du lien de partage.

Malware

Le botnet le plus destructeur Emotet est de retour avec des vols de mots de passe et d’adresses mail [11]

Alors qu’initialement conçu pour distribuer un cheval de Troie bancaire, le botnet Emotet a étendu ses capacités pour désormais distribuer le cheval de Troie TrickBot et le ransomware Ryuk. Après 4 mois d’inactivité, Emotet a de nouveau été détecté comme actif. Emotet envoie des messages de spam avec une pièce jointe malveillante. Ces messages apparaissent comme provenant d’une personne avec laquelle la victime a déjà échangé.

Recherche

L’Air Force permettra de tester la sécurité d’un satellite lors de la prochaine édition de la DefCon [12]

Lors de l’édition 2019 de la DefCon, l’Air Force a mis un système embarqué dans les avions de chasse F-15 à la disposition d’un groupe de chercheurs. Ces derniers ont découvert plusieurs vulnérabilités dans le système en question. L’une d’entre elles permettait d’interrompre les échanges de données entre l’appareil et le centre de commandement. Satisfaite par les résultats obtenus, l’Air Force a annoncé qu’un appel à candidatures sera prochainement mis en place. Les candidats devront soumettre une méthodologie d’attaque ciblant un satellite. L’Air Force invitera les candidats les plus prometteurs à un concours au cours duquel ils pourront tester leurs méthodologies sur un système réel.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2019-4317
[2] CXA-2019-4295
[3] CXA-2019-4340
[4] CXA-2019-4290
[5] CXA-2019-4303
[6] CXA-2019-4331
[7] CXA-2019-4364
[8] CXN-2019-4338
[9] CXN-2019-4286
[10] CXN-2019-4320
[11] CXN-2019-4361
[12] CXN-2019-4368


Arthur Gautier