Résumé de la semaine 41 (du 6 au 11 octobre)

Résumé de la semaine 41 (du 6 au 11 octobre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft durant le Patch Tuesday [1], pour macOS Catalina [2], pour Android [3], pour Foxit Reader [4], pour le CMS Joomla! [5], pour Magento [6] ainsi que pour Centreon [7]. Ces vulnérabilités permettaient à un attaquant de provoquer divers dommages allant du déni de service à la prise de contrôle d’un système à distance.

 

Codes d’exploitation

Cette semaine, un code d’exploitation a été publié. Ce dernier concerne le CMS Joomla! [8] et permet à un attaquant de prendre le contrôle du système à distance. Ce code en Python automatise l’injection d’une porte dérobée au sein du fichier /configuration.php permettant ainsi à un attaquant d’exécuter des commandes arbitraires sur le système cible.

 

Informations

Entreprise

Google lance un service permettant d’être averti des fuites de mots de passe [9]

Google a récemment ajouté un nouvel outil à son gestionnaire de mots de passe intégré au navigateur Google Chrome. Nommé Password Checker, cet outil avertira les utilisateurs dans deux cas:

  • lorsqu’un de leurs mots de passe est considéré comme trop faible ou vulnérable aux attaques par dictionnaire ou force brute ;
  • lorsqu’un de leurs identifiants apparait dans une fuite de base de données.

La DGSI publie un flash à propos de cas d’ingérence économique [10]

La Direction Générale de la Sécurité Intérieure a publié un flash d’information rappelant quelques-uns des dangers auxquels les employés d’entreprises françaises doivent faire face lors de leurs déplacements à l’étranger. Ce document de 4 pages relate et commente deux cas d’ingérence économique à l’encontre de dirigeants d’entreprises françaises dont le nom n’est pas mentionné.

Attaques

Des défauts de sécurité opérationnelle permettent l’attribution et l’identification de potentiels acteurs étatiques [11]

Des chercheurs de Kaspersky Lab ont identifié plusieurs menaces liées à un acteur nommé SandCat probablement rattaché aux services de sécurité de l’état d’Ouzbékistan. Ces découvertes sont principalement dues à des défauts dans les processus de sécurité opérationnelle mis en place. Parmi les découvertes des chercheurs, 4 vulnérabilités 0-day ont été identifiées.

Le groupe Avivore serait responsable des récentes attaques contre Airbus [12]

Les équipes de renseignement numérique et de réponse à incident de la société Context Information Security ont récemment publié un article traitant de la découverte d’un nouveau groupe cybercriminel. Baptisé Avivore, ce dernier serait responsable des attaques des 12 derniers mois contre Airbus et d’autres acteurs de l’aérospatiale, l’automobile et l’énergie en Europe (voir CXN-2019-0525).

Des groupes APT exploitent des VPN qui ne sont pas à jour pour espionner des cibles internationales [13]

Des groupes d’attaquants exploitent des vulnérabilités au sein de VPN à l’échelle internationale, dans le but de dérober des identifiants et surveiller le trafic. Les services VPN affectés sont utilisés par une majorité des entreprises du Fortune 500. Le Centre National de Cyber Sécurité du Royaume-Uni semble indiquer que le gouvernement chinois se serait servi de techniques similaires pour récupérer des informations sensibles.

Des groupes d’attaquants continuent d’exploiter la faille de sécurité Drupalgeddon2 pour livrer des malwares [14]

La vulnérabilité Drupalgeddon2 fait référence à une vulnérabilité corrigée en mars 2018 par les équipes de sécurité du CMS Drupal (cf CXA-2018-1822, CXN-2018-1319). Cette vulnérabilité hautement critique impactait les versions 7 et 8 de Drupal. D’après le chercheur Larry W. Cashdollar de la société Akamai, une nouvelle campagne cherche à exploiter cette vulnérabilité afin d’exécuter du code malveillant présent au sein d’un fichier .gif.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2019-4598
[2] CXA-2019-4597
[3] CXA-2019-4580
[4] CXA-2019-4479
[5] CXA-2019-4525
[6] CXA-2019-4584
[7] CXA-2019-4611
[8] CXA-2019-4529
[9] CXN-2019-4488
[10] CXN-2019-4508
[11] CXN-2019-4510
[12] CXN-2019-4527
[13] CXN-2019-4573
[14] CXN-2019-4592


Arthur Gautier