Résumé de la semaine 4 (du 18 au 24 janvier)

Résumé de la semaine 4 (du 18 au 24 janvier)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Citrix pour Citrix ADC, Citrix NetScaler et Citrix SD-WAN [1]. Ces correctifs adressent la vulnérabilité référencée CVE-2019-19781 qui permettait à un attaquant distant et non authentifié d’exécuter des commandes arbitraires sur le système.
Le CERT-XMCO a également noté la publication de correctifs par Ansible [2], par Samba [3a] [3b] [3c] ainsi que pour Cisco Webex Teams [4].

 

Codes d’exploitation

Cette semaine, 4 codes d’exploitation ont été publiés par le CERT-XMCO.

Xen Mobile [5]

Le premier code d’exploitation impacte Xen Mobile. Il prend la forme d’un code en Python permettant à un attaquant d’exploiter une vulnérabilité de type XXE.

Spring [6]

Le second code d’exploitation impacte le framework Spring. Celui-ci prend la forme d’un lien HTTP spécifiquement conçu qui fait télécharger un fichier à l’utilisateur puis peut l’exécuter.

Solaris [7]

Le troisième code d’exploitation impacte Oracle Solaris. Ce programme écrit en C permet à un attaquant d’obtenir les privilèges root sur le système.

Cisco DCNM [8]

Enfin, le dernier code d’exploitation impacte Cisco DCNM (Data Center Network Manager). Il s’agit d’un programme en Python qui permet d’exécuter du code Java arbitraire grâce à une clé de chiffrement préconfigurée.

 

Informations

Vulnérabilités

Prise de contrôle d’un système à distance via une vulnérabilité au sein d’Internet Explorer [9]

Une vulnérabilité a été découverte au sein d’Internet Explorer. Son exploitation permet à un attaquant de prendre le contrôle du système à distance. La faille de sécurité référencée CVE-2020-0674 provient d’une erreur dans la gestion des objets en mémoire par le moteur de script utilisé par Internet Explorer.
En incitant sa victime à visiter une page web spécifiquement conçue, un attaquant était en mesure d’exécuter du code arbitraire avec les droits de l’utilisateur courant.
Cette vulnérabilité serait liée à la vulnérabilité 0day référencée CVE-2019-17026 affectant le navigateur Firefox (voir CXA-2020-0082).

Cybercriminalité

Emotet reste encore le botnet le plus utilisé pour la distribution de malwares sur les marchés noirs [10]

Le rapport annuel d’eSentire estime à 20% le nombre d’incidents de malware dont le déploiement a été effectué par le botnet Emotet. Il s’agit de la solution de distribution préférée des malwares utilisée sur les marchés noirs (delivery-as-a-service).

Des cybercriminels mettent en place une plateforme frauduleuse contre le vol de données personnelles [11]

Des cybercriminels ont mis en place une plateforme pour l’Official Personal Data Protection Fund, un organisme frauduleux prétendument associé à la Federal Trade Commission proposant une compensation en cas de vol de données personnelles.

M6 donne des détails concernant la cyberattaque ayant récemment touché le groupe [12]

Pour la première fois, un des dirigeants du groupe M6 raconte la cyberattaque qui a touché le groupe M6 dans la nuit du 11 au 12 octobre 2019.

Fuite d’informations

Une liste de 500 000 accès Telnet à des serveurs, routeurs, et objets connectés publiée sur Internet [13]

Un pirate a publié cette semaine, sur un célèbre forum de hacking, une liste de plus de 500 000 accès à des serveurs, routeurs, et objets connectés à Internet. La liste contient, pour chaque appareil, son adresse IP, ainsi qu’un identifiant et un mot de passe pour le protocole Telnet, qui permet de contrôler les appareils à distance.

Piratage

Le smartphone de Jeff Bezos aurait été piraté par le gouvernement saoudien [14]

Le téléphone de Jeff Bezos, le PDG d’Amazon, aurait été piraté. Une enquête menée par la société FTI Consulting révèle qu’un malware aux fonctionnalités avancées aurait pu être déployé sur l’appareil. Le piratage ferait suite à la réception d’une vidéo envoyée en 2018 depuis le compte WhatsApp du prince saoudien, Mohammed Ben Salman.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2020-0336
[2] CXA-2020-0411
[3] CXA-2020-0404
[4] CXA-2020-0383
[5] CXA-2020-0380
[6] CXA-2020-0353
[7] CXA-2020-0312
[8] CXA-2020-0309
[9] CXA-2020-0305
[10] CXN-2020-0311
[11] CXN-2020-0318
[12] CXN-2020-0394
[13] CXN-2020-0337
[14] CXN-2020-0358


Arthur Gautier