Résumé de la semaine 48 (du 23 au 29 novembre)

Résumé de la semaine 48 (du 23 au 29 novembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Jenkins [1], pour Centreon [2], pour Gitlab [3], pour HPE [4], ainsi que pour Symantec Critical System Protection (CSP) [5]. L’ensemble des vulnérabilités permettaient à un de provoquer des dommages allant du simple déni de service à la compromission.

 

Codes d’exploitation

Cette semaine, 3 codes d’exploitation ont été publiés.

Apache Solr [6]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme, un attaquant est en mesure d’exécuter une commande arbitraire sur le système distant. Un correctif de sécurité est disponible.

macOS [7]

Ce code d’exploitation se présente sous la forme d’une suite de commandes bash. En téléchargeant le binaire fourni puis en exécutant différentes commandes, un attaquant avec les droits superutilisateur (root) est en mesure d’obtenir des privilèges noyau. Aucun correctif de sécurité n’est disponible à l’heure actuelle.

TestLink [8]

Ce code d’exploitation se présente sous la forme de cinq requêtes HTTP (Méthode GET). Chacune d’entre elles possède un paramètre contenant une charge permettant d’exécuter du code HTML/JavaScript. Sur ces cinq requêtes, seule une d’entre elles permet d’injecter du code HTML/JavaScript au sein d’une page de manière persistante. Aucun correctif de sécurité n’est disponible à l’heure actuelle.

 

Informations

Fuite d’informations

Une fuite massive d’informations concernant un total de 1,2 milliard de personnes semble provenir des entreprises People Data Labs (PDL) et Oxy [9]

Le 16 octobre 2019, deux chercheurs ont découvert une instance Elasticsearch (moteur d’indexation) dans le Cloud Google qui était non protégée et accessible depuis Internet. Cette instance contenait des données de plus de 4 milliards de comptes utilisateur (4 TB). Le nombre de personnes uniques correspondant à ces comptes s’élève à 1,2 milliard. Les informations comportent des noms, des adresses mail, des numéros de téléphone, et d’autres informations issues de Facebook et LinkedIn. Aucune donnée sensible (mot de passe, numéro de carte bancaire ou numéro de sécurité sociale) n’était présente.

Threat Intel

Les serveurs Webmin ciblés par le botnet peer-to-peer Roboto [10]

Des chercheurs de NetLab 360 ont découvert un botnet peer-to-peer ciblant les serveurs utilisant une version de Webmin vulnérable à la faille référencée CVE-2019-15107 . Le botnet présente des fonctionnalités permettant l’exécution de commandes à distance sur le serveur infecté, la coordination d’attaque de déni de service et le rassemblement d’information sur l’hôte infecté.

L’ANSSI met en garde contre une campagne d’attaque en cours diffusant le ransomware Clop sur des SI en France [11]

L’ANSSI a publié un rapport concernant une série d’attaques encore en cours sur des systèmes d’information localisé en France. Ces attaques seraient le fait du groupe criminel TA505, et font suite à une campagne massive de phishing datée autour du 16 octobre 2019.
Les attaquants déploient le ransomware Clop, qui chiffre les documents en leur ajoutant une extension « .CIop » ou « .Clop ». Ce ransomware ne possédant pas de capacité d’autopropagation, il est déployé manuellement par les attaquants sur les postes du SI, après qu’ils se soient emparés du contrôle d’un compte administrateur de domaine.

Attaques

Le site officiel de la cryptomonnaie Monero piraté [12]

Le site officiel de la cryptomonnaie Monero a été piraté. En effet, certains exécutables proposés par le site ont été corrompus et remplacés par des fichiers malveillants, permettant aux attaquants d’effectuer des transactions et de voler les utilisateurs. Le nombre d’utilisateurs affectés n’est toujours pas connu, en revanche les gestionnaires du site de Monero ont confirmé le piratage sur Twitter, en appelant les utilisateurs à la prudence.

Entreprise

Le RIPE NCC est officiellement à court d’adresses IPV4 [13]

Le RIPE NCC, qui gère l’attribution des plages d’adresses IPV4 en Europe, a annoncé dans un communiqué sur son site Internet avoir distribué toutes les adresses IPV4 qui étaient disponibles. L’organisation a mis en place une liste d’attente pour pouvoir redistribuer les adresses rendues par les organisations qui ont fermé ou n’en ont plus besoin. Seules les organisations n’ayant jamais reçu d’adresses IPV4 du RIPE NCC pourront s’y inscrire, et ne seront éligibles qu’à l’allocation d’une adresse IPV4 /24.

Annonce

Google offre jusqu’à 1,5 million pour son programme de bug bounty [14]

Google a annoncé l’extension de son programme de bug bounty, et certains types d’attaques peuvent désormais rapporter jusqu’à 1,5 million de dollars. La plus haute récompense proposée par Google est de 1 million de dollars, pour l’exploitation d’une vulnérabilité du Pixel Titan M, éventuellement majorée de 50% si elle est effectuée sur les nouvelles versions d’Android, disponibles uniquement pour les développeurs. Le code d’exploitation doit être capable de s’exécuter, d’être persistant, et de compromettre la puce de sécurité du Titan M.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.

 


Références portail XMCO

[1] CXA-2019-5397
[2] CXA-2019-5459
[3] CXA-2019-5449
[4] CXA-2019-5423
[5] CXA-2019-5383
[6] CXA-2019-5398
[7] CXA-2019-5425
[8] CXA-2019-5454
[9] CXN-2019-5361
[10] CXN-2019-5373
[11] CXN-2019-5390
[12] CXN-2019-5368
[13] CXN-2019-5457
[14] CXN-2019-5424


Aurélien Denis