Résumé de la semaine #45 (du 4 au 10 novembre)

Résumé de la semaine #45 (du 4 au 10 novembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’installation des correctifs publiés pour Puppet Enterprise [1a][1b][1c][1d], Android [2], MariaDB [14], Apache Struts [15] et Nginx [16a][16b]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Code d’exploitation

Cette semaine, deux codes d’exploitations a été publiés.

Le premier concerne Dell OpenManage Network Manager [3]. Le code d’exploitation permet à un attaquant d’élever ses privilèges (grâce à l’utilisation d’identifiants par défaut) puis d’exécuter du code arbitraire sur le système (en y déposant une backdoor). Un correctif est disponible.

Le second concerne iOS et MacOS [17]. Le code d’exploitation permet à un attaquant de causer un déni de service grâce à l’envoi de paquets TCP/IP, en corrompant la mémoire du noyau et en provoquant le redémarrage le système. Un correctif est disponible

 

Informations

Monétique

Les exigences européennes sur la sécurité des paiements ont évolué : le système SMS-OTP ne sera bientôt plus suffisant [4]. La dépréciation de ce système, utilisé dans 85 % des cas pour l’authentification forte des paiements en lignes, inquiète fortement les banques et les commerçants, qui demandent du temps pour étudier les possibilités de changement.

Attaque

Une attaque par déni de service visant des équipements Cisco est en cours [5a][5b]. Celle-ci exploite une vulnérabilité dans le Session Initiation Protocol (SIP) des équipements. Aucun correctif n’est disponible, mais il est possible de désactiver l’inspection SIP et de bloquer/filtrer le trafic externe sur ce protocole pour limiter les impacts.

Sécurité

WooCommerce est un des plug-ins WordPress les plus répandus dans les boutiques en ligne (il compte aujourd’hui plus de 4 millions d’installations). Une vulnérabilité a été corrigée dans la dernière version de ce plug-in [6], vulnérabilité qui permettait à un attaquant d’exécuter du code arbitraire sur le serveur.

Deux vulnérabilités affectant des puces Bluetooth ont été découvertes [7]. Celles-ci permettent à un attaquant de prendre le contrôle du système et d’y exécuter du code arbitraire. Cisco a publié un correctif pour ses puces, et Texas Instruments a travaillé avec Armis pour développer un patch sur le reste des puces affectées.

Publication

Un chercheur en sécurité a publié une faille de sécurité affectant Oracle Virtual Box [8a][8b]. La vulnérabilité permet d’élever ses privilèges depuis une machine invitée vers une machine hôte, en exploitant la mauvaise configuration d’un adaptateur réseau.

Un second chercheur a publié une faille de sécurité permettant à un attaquant de prendre le contrôle du système via une vulnérabilité au sein du navigateur Microsoft Edge [9a][9b]. Les détails de la vulnérabilité n’ont pas encore été publiés, et n’auraient pas été communiqués à l’éditeur.

Juridique

La nouvelle politique de l’ICANN concernant les enregistrements whois fait polémique [10]. En voulant appliquer strictement le RGPD, l’ICANN a limité les possibilités des enquêteurs et des entreprises de lutter contre les actes de malveillance liés à des noms de domaines (typosquatting, etc.).

La police néerlandaise espère pouvoir arrêter de nombreux suspects après avoir réussi à intercepter plus de 250 000 messages de chats chiffrés [11]. Cette opération d’envergure, visant l’application de chat chiffrée IronChat (de l’entreprise BlackBox Security), a déjà permis d’arrêter des suspects en possession de grandes quantités de drogues.

Vie privée

Des clients de la banque HSBC ont été victimes d’une fuite de données personnelles [12a][12b]. Les données dérobées concernent l’identité complète des clients, leurs numéros de compte, et l’historique de toutes les transactions bancaires liées à leurs comptes.

International

La DGSI et la DGSE ont publié un rapport concernant une opération de recrutement des services secrets chinois, visant des ressortissants français [13]. Les agents de renseignements contactaient des Français sur LinkedIn, en leur proposant de venir sur le sol chinois, généralement pour donner des conférences. Une fois en Chine, les agents de renseignements commençaient à proposer aux ressortissants français de réaliser des rapports informatifs contre rémunérations. Rappelons qu’un tel acte est pénalement répréhensible, et que si vous deviez être contactés, il faut se rapprocher de la DGSI (si vous êtes sur le sol français) ou de la DGSE.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2018-4535
[2] CXA-2018-4506
[3] CXA-2018-4509
[4] CXN-2018-4555
[5] CXN-2018-4499
[6] CXN-2018-4536
[7] CXN-2018-4498
[8] CXA-2018-4521
[9] CXA-2018-4503
[10] CXN-2018-4528
[11] CXN-2018-4527
[12] CXN-2018-4516
[13] CXN-2018-4502
[14] CXA-2018-4487
[15] CXA-2018-4523
[16] CXA-2018-4522
[17] CXA-2018-4561


Jean-Christophe Pellat

Cert-XMCO