Résumé de la semaine 42 (du 10 au 16 octobre)

Résumé de la semaine 42 (du 10 au 16 octobre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre du Patch Tuesday [1] (en particulier les correctifs publiés pour Sharepoint [2]), par SAP [3], par Apache pour Apache Tomcat [4a] [4b] [4c] et Apache Solr [5], par phpMyAdmin [6a] [6b], par Citrix pour Citrix Hypervisor [7], par Juniper pour Junos OS [8] ainsi que par Adobe pour Magento [9].

Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

De plus, SonicWall a publié un correctif de sécurité [10]. Ce correctif adresse une vulnérabilité permettant à un attaquant distant et non authentifié de provoquer un déni de service persistant ou d’exécuter du code arbitraire sur un VPN SonicWall exposé sur Internet.

 

Codes d’exploitation

Cette semaine, 2 bulletins portant sur des codes d’exploitation ont été publiés par le CERT-XMCO. Tous les deux disposent d’un correctif.

Cisco ASA [11]

Ce code d’exploitation, qui impacte les équipements Cisco ASA, se présente sous la forme d’un script en bash. Un attaquant non authentifié peut exécuter ce script afin de parcourir les répertoires du système de fichier et de télécharger des fichiers arbitraires.

Sharepoint [12]

Ce code d’exploitation impacte Sharepoint. Il se présente sous la forme d’un script Python. En exécutant ce script, un attaquant authentifié disposant de la permission AddAndCustomizePages va générer une page spécifiquement conçue afin de réaliser une injection de fichier côté serveur qui lui permet de récupérer le fichier web.config. Le contenu de ce fichier peut être utilisé par un attaquant afin d’exécuter du code arbitraire.

 

Informations

Juridique

La CNIL demande à l’État de ne pas faire appel à Microsoft pour l’hébergement des données de santé des citoyens français [13a] [13b] [13c]

L’État français prévoyait de faire appel à Microsoft pour héberger les bases de données dans le cadre du Health Data Hub. Cependant, suite à l’invalidation du Privacy Shield, la CNIL évoque ses inquiétudes sur le transfert des données de santé des citoyens français à une entreprise américaine. En effet, depuis le mois de mars 2018, le Congrès américain a adopté le Cloud act qui autorise aux agences de renseignement américaines de demander les informations stockées sur les serveurs des entreprises américaines.

Ransomware

Tyler Technologies a payé une rançon pour déchiffrer ses données [14]

L’entreprise avait subi une attaque le 25 septembre 2020, qui impliquait le ransomware RansomExx. Le 10 octobre 2020, l’entreprise aurait décidé de payer une rançon dont le montant n’a pas été révélé.

Guide

Microsoft publie un court guide des meilleures pratiques de sécurisation des machines virtuelles Azure [15]

Microsoft a récemment publié un guide visant à aider ses clients utilisant des machines virtuelles hébergées sur Azure à gérer leur sécurité. Ce guide détaille 7 bonnes pratiques et rappelle l’efficacité de la défense en profondeur.

International

Des pirates ont utilisé des failles VPN pour accéder aux systèmes support aux élections américaines [16]

Un groupe de pirates informatiques a récemment attaqué les services de supports des élections américaines. Ils ont utilisé des failles au sein de logiciels VPN couplées à une vulnérabilité récente ayant touché Windows (CVE-2020-1472). Cette attaque pourrait potentiellement comporter un risque pour les informations confidentielles des élections américaines. Toutefois, il n’y a pas de preuve de compromission de données à l’heure actuelle.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2020-5199
[2] CXA-2020-5184
[3] CXA-2020-5185
[4] CXA-2020-5138
[5] CXA-2020-5145
[6] CXA-2020-5117
[7] CXA-2020-5115
[8] CXA-2020-5217
[9] CXA-2020-5244
[10] CXA-2020-5238
[11] CXA-2020-5139
[12] CXA-2020-5198
[13] CXN-2020-5128
[14] CXN-2020-5132
[15] CXN-2020-5131
[16] CXN-2020-5144


Arthur Gautier