Résumé de la semaine #4 (du 20 au 26 janvier)

Résumé de la semaine #4 (du 20 au 26 janvier)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’installation des correctifs publiés par Cisco pour plusieurs de ses produits (Cisco WebEx [1a][1b][1c], Cisco Unified Intelligence Center [2], Cisco SD-WAN [3a][3b][3c][3d][3e]), par Apple pour macOS [4] et pour iOS [5], par Apache pour Hadoop [6] et pour HTTPd [7], par Moodle [8] et enfin par les principales distributions Linux pour APT [9]. Ces correctifs adressent des vulnérabilités allant du déni de service à la prise de contrôle du système.

 

Code d’exploitation

Cette semaine, 4 codes d’exploitations ont été publiés. 3 d’entre eux impactent des produits Microsoft (Edge et Windows 10).

Le code d’exploitation impactant Microsoft Edge permet à un attaquant de contourner des restrictions de sécurité et d’élever ses privilèges [10]. Le code d’exploitation se matérialise sous la forme d’un code en C++. Il permet à un attaquant d’accéder à la session d’un autre utilisateur, et d’y lancer le navigateur. Un correctif est disponible.

Les deux codes d’exploitation visant Windows 10 permettent à un attaquant d’élever ses privilèges sur le système [11], [12]. Les codes d’exploitation se matérialisent sous la forme de codes en C#. Le premier permet de contourner le contrôle du service de partages de données afin d’exécuter un programme arbitraire. Le second permet de modifier des fichiers système de façon arbitraire.

Le dernier code d’exploitation touche le service SCP d’OpenSSH et permet à un attaquant de télécharger un fichier arbitraire depuis le serveur distant [13]. Le code d’exploitation se matérialise sous la forme d’un code en Python et permet de tester si le client SSH utilisé est vulnérable. Il permet à un attaquant contrôlant le serveur malveillant d’ajouter un fichier arbitraire à un téléchargement SCP (si le client est vulnérable).

 

Informations

Attaques

Le dépôt d’extensions et d’applications PHP PEAR (PHP Extension and Application Repository) a découvert une attaque touchant ses serveurs [14]. Celle-ci aurait duré plus de 6 mois. Des attaquants auraient réussi à compromettre les serveurs du dépôt, afin de remplacer le fichier d’installation de PEAR par une version contenant du code malveillant. Généralement, PEAR est inclus lors de l’installation de PHP sur un serveur, ce qui veut dire que le nombre potentiel de serveurs compromis est très élevé. L’équipe d’administration de PEAR communique sur l’attaque sur son compte Twitter @pear, auquel vous pouvez vous référer pour plus d’informations.

Une nouvelle version du ransomware BlackRouter a été découverte sur Telegram [15]. Fonctionnant comme un ransomware classique, ce logiciel surprend notamment par la manière dont le développeur le propose. En effet, celui-ci est proposé comme une solution hébergée dans le Cloud. Un chercheur a donc créé l’expression Ransomware-as-a-Service pour décrire le modèle économique.

Fuites d’informations

Un serveur appartenant aux services de l’état de l’Oklahoma a été découvert en décembre [16]. Il exposait près de 3 To de données. Parmi toutes ces données, on retrouvait notamment des documents liés à des enquêtes du FBI et des données personnelles. L’exposition du serveur serait due à un serveur RSync non sécurisé.

Un chercheur en sécurité aurait découvert une base de données ElasticSearch, exposée sur Internet sans authentification [17]. Celle-ci contenait les informations de 108 millions d’utilisateurs de sites de casino en ligne, notamment le nom, le prénom, la date de naissance ou l’adresse IP.

Vie privée

La CNIL a annoncé cette semaine condamner Google à une amende de 50 millions d’euros [18]. Cette amende fait suite à des plaintes de deux associations luttant pour la vie privée en ligne. L’entreprise a annoncé faire appel de cette décision.

Publications

La France a publié sa doctrine pour la lutte informatique offensive [19]. Parmi les dispositions abordées dans la Revue stratégique de défense et de sécurité nationale et de la Revue stratégique de cyberdéfense, on peut notamment noter l’enveloppe consacrée à la lutte dans l’espace numérique (1,6 milliard d’euros) ou le nombre de nouveaux postes prévus (1500).

Un chercheur en sécurité de l’équipe 360 Vulcan a publié des détails concernant deux vulnérabilités permettant de jailbreak, à distance, un iPhone X sous iOS 12 [20]. La première vulnérabilité permet à un attaquant d’exécuter du code arbitraire depuis une page web, la seconde d’élever ses privilèges et d’installer une application malveillante. Le chercheur a toutefois décidé de ne pas publier le code d’exploitation dans son ensemble, afin de ne pas encourager les actions malveillantes à l’encontre des utilisateurs d’Apple.

Recherche

Un chercheur pour le Google Project Zero a découvert une nouvelle vulnérabilité dans Ghostscript [21]. En analysant les changements entre deux versions, le chercheur a découvert que les sous-programmes de Ghostscript sont accessibles en écriture comme en lecture, et qu’ils peuvent être lus par des gestionnaires d’erreurs. Cette vulnérabilité pourrait notamment être exploitée en faisant déborder la pile du programme afin de l’exposer aux gestionnaires d’erreurs et de pouvoir la modifier. Le chercheur a joint une preuve de concept à son papier de recherche.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2019-0399
[2] CXA-2019-0398
[3] CXA-2019-0400
[4] CXA-2019-0394
[5] CXA-2019-0373
[6] CXA-2019-0416
[7] CXA-2019-0374
[8] CXA-2019-0348
[9] CXN-2019-0381
[10] CXA-2019-0351
[11] CXA-2019-0341
[12] CXA-2019-0344
[13] CXA-2019-0417
[14] CXN-2019-0397
[15] CXN-2019-0333
[16] CXN-2019-0372
[17] CXN-2019-0378
[18] CXN-2019-0354
[19] CXN-2019-0334
[20] CXN-2019-0396
[21] CXN-2019-0426


Arthur Gautier