Résumé de la semaine 46 (du 9 au 16 novembre)

Résumé de la semaine 46 (du 9 au 16 novembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.
 

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft durant le patch Tuesday [1], pour Oracle VM [2][3], pour VMware [3][4], pour Squid [5][6][7][8][9] et pour SAP [10]. Ces vulnérabilités permettaient à un attaquant de provoquer divers dommages allant du déni de service à la prise de contrôle d’un système à distance.

 

Codes d’exploitation

Cette semaine, 3 codes d’exploitation ont été publiés.

Atlassian Confluence [11]

Le premier code d’exploitation concerne Confluence. Il se présente sous la forme d’un programme écrit en Python. En exécutant ce programme, un attaquant est en mesure de télécharger un webshell sur une page du serveur lui permettant ainsi d’exécuter du code arbitraire directement sur le serveur.

Apache Solr [12]

Le second code d’exploitation concerne Apache Solr. Il se présente sous la forme de 2 requêtes HTTP successives. En exécutant ce programme, un attaquant est en mesure de spécifier un template Velocity vulnérable puis d’exécuter du code arbitraire à distance.

Joomla! [13]

Le dernier code d’exploitation concerne le CMS Joomla!. Il se présente sous la forme d’une commande curl. En exécutant ce programme, un attaquant est en mesure de modifier les liens générés sur la page renvoyée par le serveur en manipulant la requête d’origine.
 

Informations

 

Vulnérabilités

Découverte de nouvelles vulnérabilités affectant les processeurs Intel [14]

Intel a publié un bulletin concernant 77 vulnérabilités (corrigées par Intel) affectant certains de ses processeurs. Leur exploitation permettait à un attaquant de provoquer un déni de service, d’accéder à des informations sensibles, d’élever ses privilèges et de provoquer d’autres dommages non spécifiés.

Une mystérieuse vulnérabilité sur le TPM mise en lumière par Microsoft [15]

Microsoft a publié un bulletin concernant une vulnérabilité affectant le TPM (Trusted Platform Module). Selon les informations données par Microsoft, la vulnérabilité permettant la récupération de clés basées sur l’algorithme ECDSA.
 

Attaques

Multiplication des attaques Magecart: des sites ciblés simultanément par plusieurs groupes [16]

Le skimming et les attaques des groupes Magecart représentent une menace importante sur la sécurité des paiements en ligne. D’après des chercheurs de PerimeterX qui ont analysé plusieurs attaques Magecart ces derniers mois, la multiplication des attaques est telle que certains sites subissent simultanément plusieurs attaques par des groupes différents.
 

Fuite d’informations

Fuite de données du forum ZoneAlarm suite à l’utilisation d’une version obsolète de vBulletin [17]

La société ZoneAlarm, spécialisée dans les logiciels de sécurité pour Internet et détenue par Check Point, a subi une fuite de données de l’un de ses forums. ZoneAlarm a envoyé un email aux utilisateurs affectés pour les prévenir que certaines de leurs données (noms, adresses mail, condensats de mots de passe et dates de naissance) ont pu être récupérées par un ou des acteurs malveillants.
 

Phishing

PayPal devient la marque la plus visée par les tentatives de phishing [18]

Pour la première fois, PayPal a dépassé Microsoft en tant que marque la plus utilisée lors des tentatives de phishing. Pour preuve, 16 547 URLs uniques de phishing ont été détectées par l’algorithme de l’entreprise Vade Secure, avec une moyenne de 180 par jour.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.

 


Références portail XMCO

[1]  CXN-2019-5159
[2]  CXA-2019-5172
[3]  CXA-2019-5172
[4]  CXA-2019-5147
[5]  CXA-2019-5147
[6]  CXA-2019-5095
[7]  CXA-2019-5095
[8]  CXA-2019-5095
[9]  CXA-2019-5095
[10] CXA-2019-5095
[11] CXA-2019-5135
[12] CXA-2019-5174
[13] CXA-2019-5154
[14] CXA-2019-5204
[15] CXN-2019-5162
[16] CXN-2019-5130
[17] CXN-2019-5103
[18] CXN-2019-5092


Aurélien Denis