Résumé de la semaine #43 (du 18 au 24 octobre)

Résumé de la semaine #43 (du 18 au 24 octobre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.


Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détails ce service sur xmco.fr et testez le gratuitement et sans engagement sur leportail.xmco.fr.

 

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour PHP [1], pour les navigateurs Google Chrome [2], Firefox et Firefox ESR [3] ainsi que pour les Citrix Application Delivery Controller (ADC) et Citrix Gateway [4]. Ces vulnérabilités permettaient à un attaquant de provoquer divers dommages allant du déni de service à la prise de contrôle d’un système à distance.

 

Codes d’exploitation

Cette semaine, 4 codes d’exploitation ont été publiés.

PHP [5]

Le premier code d’exploitation impacte PHP. Il se présente sous la forme d’un programme écrit en Golang et permettait d’exécuter un script arbitraire en manipulant l’URL. Un correctif de sécurité est disponible.

Kibana [6]

Le deuxième code d’exploitation impacte Kibana. Il se présente sous la forme d’une formule Timelion et permet d’exécuter du code JavaScript à partir du module de visualisation du même nom. Aucun correctif de sécurité n’est disponible à l’heure actuelle.

Kubernetes [7]

Le troisième code d’exploitation impacte Kubernetes. Il se présente sous la forme d’un programme écrit en Bash et permet de provoquer un déni de service en saturant les ressources du serveur. Un correctif de sécurité est disponible.

Centreon [8]

Le dernier code d’exploitation impacte Centreon. Il se présente sous la forme d’un programme en Python ainsi qu’un module Metasploit écrit en Ruby et permet à un attaquant authentifié d’exécuter du code arbitrairement à partir d’une requête HTTP spécifiquement conçue. Un correctif de sécurité est disponible.

 

Informations

Monétique

Un nouveau standard PCI pour le paiement sans contact [9]

Avec la montée en puissance des solutions de paiement sans contact et leur diversité, il est nécessaire de faire évoluer les standards PCI (Payment Card Industry) pour supporter ce moyen de paiement de plus en plus utilisé.

Vie privée

NordVPN, un des leaders en services VPN, a subi un incident de sécurité visant l’un de ses serveurs à la suite d’une négligence d’un fournisseur [10]

NordVPN est l’un des leaders sur le marché des services VPN (Virtual Private Network) notamment pour particuliers. Cette semaine, au travers d’une publication sur son blog, le fournisseur VPN s’est exprimé sur un incident de sécurité ayant eu lieu en mars 2018.

 

Cybercriminalité

Le groupe Turla exploite une APT Iranienne pour étendre son emprise [11]

Le groupe Turla (aussi connu sous les appellations Waterbug ou VENOMOUS BEAR), suspecté d’origine russe, cible les gouvernements, les forces armées ainsi que les secteurs de l’énergie dans le but de collecter des informations. De précédents rapports du NCSC ont détaillé comment Turla a utilisé les implants Neuron et Nautilus ainsi qu’une porte dérobée, le tout dans le rootkit Snake.

La société Avast victime d’une attaque sur son réseau interne [12]

La firme Avast, célèbre entreprise tchèque produisant l’antivirus homonyme, a annoncé avoir été victime d’une attaque sur son réseau interne, visiblement destinée à insérer un programme malveillant au sein du produit CCleaner.

Le groupe Emotet ciblerait les entreprises avec un SOC externalisé [13]

La semaine dernière, le chercheur Marco Ramilli a publié un article détaillant une nouvelle campagne de phishing potentiellement liée au groupe Emotet et usurpant l’identité d’un SOC externalisé.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2019-4856
[2] CXA-2019-4825
[3] CXA-2019-4824
[4] CXA-2019-4794
[5] CXA-2019-4858
[6] CXA-2019-4831
[7] CXA-2019-4815
[8] CXA-2019-4814
[9] CXN-2019-4854
[10] CXN-2019-4836
[11] CXN-2019-4839
[12] CXN-2019-4796
[13] CXN-2019-4776


Aurélien Denis