Résumé de la semaine 48 (du 21 au 27 novembre)

Résumé de la semaine 48 (du 21 au 27 novembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Drupal [1], Joomla! [2a] [2b] [2c] [2d] [2e] [2f] [2g] et cPanel [3a] [3b].
Ces correctifs adressent des dommages allant de la divulgation d’informations à la prise de contrôle du système.

 

Code d’exploitation

Un code d’exploitation a été publié cette semaine. Il dispose d’un correctif de sécurité.

Prise de contrôle du système et contournement de sécurité via une vulnérabilité au sein d’Apache Solr [4]

Ce code d’exploitation se présente sous la forme de commandes écrites en bash et faisant appel à l’outil curl afin d’envoyer des requêtes HTTP. En exécutant ce code d’exploitation, un attaquant distant et non authentifié pouvait envoyer un fichier de configuration malveillant solrconfig.xml sur le serveur via l’API configset, lui permettant d’exécuter des commandes à distance sur le serveur.

 

Informations

Fuite d’informations

Une agrégation de 23 600 bases de données compromises disponible sur le Darkweb (Cit0Day) [5a] [5b] [5c]

Une base de données contenant près de 13 milliards de comptes compromis a été publiée sur le Darkweb. Cette base provient du site Cit0Day, fermé par le FBI en septembre dernier. Il s’agit vraisemblablement d’une agrégation de plus de 23 600 bases de données compromises issues de différents sites et entreprises, dont des sites français.

Une liste contenant près de 50 000 adresses IPs de serveurs VPN Fortinet vulnérables a été mise en ligne [6]

Une personne dont le pseudonyme est pumpedkicks vient de publier une liste de presque 50 000 adresses IPs de serveurs exposant un VPN Fortinet vulnérable à la vulnérabilité CVE-2018-13379.
Dans cette liste dévoilée, on retrouve de nombreuses adresses IPs de dispositifs appartenant à de grosses entreprises, des banques et à des organisations gouvernementales internationales.

Juridique

L’État français met à jour ses niveaux de classification concernant la confidentialité des informations d’État [7]

Un nouvel arrêté concernant l’instruction générale interministérielle n°1300 a été publié au journal officiel. Cet arrêté concerne la protection des informations relatives à la défense nationale et à la sûreté de l’État français. C’est notamment cet arrêté qui définissait les différents niveaux d’accréditation. À l’occasion de cette publication, une réorganisation des niveaux de classification a été effectuée. Ceci a pour objectif d’aligner les niveaux de classification de la France sur celles de ses alliées. Ainsi le terme « Confidentiel défense » devient « niveau Secret », « Secret défense » devient « Très secret » et « Très secret défense » devient « Très secret faisant l’objet d’une classification spéciale ».

International

Une base de données contenant les informations de 380 millions d’utilisateurs de Spotify a été découverte [8]

Au cours d’une vaste opération de cartographie du Web, des chercheurs de la société vpnMentor ont découvert une base de données ElasticSearch non protégée contenant les informations personnelles de plus de 380 millions d’utilisateurs de Spotify. Les chercheurs ont rapidement contacté Spotify après avoir vérifié l’authenticité des entrées présentes dans la base. Cette dernière contient le nom d’utilisateur, le mot de passe, et dans certains cas le pays de résidence et l’adresse email des utilisateurs.

Cybercriminalité

Bilan sur les attaques DDoS du troisième trimestre 2020 [9]

Durant la période du troisième trimestre 2020, CloudFlare a observé une augmentation significative des attaques DDoS. Celles-ci avaient déjà doublé lors du premier et second trimestre, pour atteindre aujourd’hui 4 fois plus que ce qui était observé avant la pandémie de la COVID-19. D’autre part, malgré une constante domination des attaques via SYN, RST et UDP flood, de nouveaux vecteurs d’attaque ont été observés, notamment sur les protocoles mDNS, Memcached et Jenkins.

RGPD

Ticketmaster UK écope d’une amende de 1,7 million d’euros suite à une fuite de données en 2018 [10a] [10b]

La branche britannique de la société de billetterie Ticketmaster a récemment écopé d’une amende de 1,7 million d’euros. Émise par l’ICO (Information Commissioner's Office, l’autorité en charge de l’application du RGPD au Royaume-Uni), cette amende est le fruit de la concertation des différentes autorités de protection des données européennes. Survenue dès février 2018, la fuite de données à l’origine de cette amende a conduit à la compromission des informations de cartes bancaires de près de 9,4 millions de clients européens. Les attaquants présumés, Magecart, ont intégré un skimmer au code JavaScript d’un chatbot développé par la société Inbenta et utilisé sur les pages de paiement de plusieurs sites de Ticketmaster.

Attaque

Une attaque par ingénierie sociale ciblant des employés de GoDaddy aboutit à la compromission de plusieurs plateformes de gestion de cryptomonnaies [11a] [11b] [11c]

Un attaquant a mené à bien une attaque par ingénierie sociale ciblant des employés de GoDaddy. Il a ainsi pu les convaincre de lui octroyer le contrôle de domaines associés à plusieurs plateformes de gestion de cryptomonnaies. L’attaquant a alors redirigé le trafic Web et les emails à destination de ces plateformes vers des serveurs sous son contrôle. Selon le PDG de la plateforme Liquid, l’attaquant a pu compromettre une partie de l’infrastructure et accéder à des documents internes, ainsi qu’à des données personnelles d’utilisateurs : adresses email, noms, adresses physiques et mots de passe chiffrés entre autres.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2020-5962
[2] CXA-2020-5943
[3] CXA-2020-5946
[4] CXA-2020-5912
[5] CXN-2020-5935
[6] CXN-2020-5913
[7] CXN-2020-5909
[8] CXN-2020-5951
[9] CXN-2020-5934
[10] CXN-2020-5925
[11] CXN-2020-5919


Arthur Gautier

Analyste CERT