Résumé de la semaine 49 (du 28 novembre au 4 décembre)

Résumé de la semaine 49 (du 28 novembre au 4 décembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application du correctif publié par Mozilla pour son client mail Thunderbird [1].
Ce correctif adresse des dommages allant du déni de service à la manipulation de données.

Codes d’exploitation

4 codes d’exploitation ont été publiés cette semaine. 3 d’entre eux disposent d’un correctif de sécurité.

Prise de contrôle du système et contournement de sécurité via une vulnérabilité au sein de Moodle [2]

Ce code d’exploitation se présente sous la forme d’un programme écrit en PHP requêtant la page repository_ajax.php?action=upload. En utilisant cet exploit, un attaquant est alors en mesure de télécharger des fichiers arbitraires sur le serveur Moodle. L’attaquant pourrait ensuite s’en servir pour prendre le contrôle du système et exécuter des commandes. Un correctif de sécurité est disponible.

Prise de contrôle du système et divulgation d’informations via une vulnérabilité au sein d’Apache Tomcat [3]

Ce code d’exploitation se présente sous la forme d’un module écrit en Ruby pour le framework offensif Metasploit. L’exécution de ce code permet d’envoyer une requête ajp13 spécifiquement conçue afin d’accéder à des fichiers arbitraires sur le serveur tel que WEB-INF/web.xml. Ce code permet également à un attaquant d’exécuter n’importe quel fichier du serveur en tant que fichier JSP, pouvant mener à l’exécution de code arbitraire à distance. Un correctif de sécurité est disponible.

Prise de contrôle du système via une vulnérabilité au sein de Ruckus vRIoT [4]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En ouvrant un port sur sa machine, puis en spécifiant l’adresse IP et le port du système vulnérable ainsi que son adresse IP et le port en écoute, un attaquant est alors en mesure de déclencher l’exécution d’un invité de commande distant (reverse shell). Un correctif de sécurité est disponible.

Manipulation de données et divulgation d’informations via une vulnérabilité au sein de SAP Lumira [5]

Ce code d’exploitation se présente sous la forme d’un document HTML. En injectant ce document dans la page, un attaquant est en mesure d’exécuter du code JavaScript dans le navigateur de sa victime. Aucun correctif de sécurité n’est disponible à l’heure actuelle.

Informations

Attaques

Les attaques ciblant Docker se multiplient et la sécurité des serveurs Docker ne doit plus être négligée [6]

Depuis le premier logiciel malveillant ciblant Docker en 2017, les attaquants n’ont eu de cesse de multiplier leurs attaques sur Docker. Ainsi, de nouveaux logiciels malveillants ciblant Docker et Kubernetes sont régulièrement découverts. Cependant, de nombreux développeurs n’accordent que peu d’importance à la configuration de leurs serveurs Docker, les laissant exposés aux attaques. Docker et Kubernetes ne sont plus aujourd’hui des technologies marginales, mais bel et bien des technologies répandues qui en font des cibles de choix pour les attaquants.

Le cheval de Troie Bandook réapparait dans de nombreuses campagnes liées à des intérêts étatiques [7a][7b]

Le cheval de Troie Bandook existe depuis plus de 13 ans. Il a été créé en 2007, en Delphi et en C++ par un pirate libanais connu sous le pseudonyme PrinceAli. Depuis 2019 et de plus en plus au cours de l’année 2020, de nouvelles campagnes d’attaques utilisant ce malware ont été identifiées contre de nombreux secteurs (gouvernementaux, financiers, énergétique, agroalimentaire, éducation, IT et légaux) et de nombreux pays (Chili, Chypre, Allemagne, Indonésie, Italie, Singapour, Suisse, Turquie et États-Unis).

Fuite d’informations

La société Apodis Pharma est victime d’une fuite de données personnelles [8]

Plus de 1,7 To de données sensibles appartenant à la société Apodis Pharma ont été divulguées. Ces données étaient exposées via une interface Kibana publiquement accessible. Bien qu’il n’existe aucune preuve que ces données aient été accédées, la base de données a déjà été indexée sur un moteur de recherche populaire ce qui signifie que des tiers ont accédé aux données et les ont téléchargées à des fins potentiellement malveillantes.

Recherche

Le microlearning pourrait favoriser l’efficacité des formations à la cybersécurité [9]

Les menaces liées aux cyberattaques représentent un risque de plus en plus présent au sein des organisations. De nombreuses entreprises ont donc mis en place des formations pour les collaborateurs afin de leur apprendre à détecter et à réagir face aux cyberattaques. Mais les attaquants deviennent de moins en moins prévisibles et changent constamment leurs méthodes de fonctionnement. De nouveaux concepts de microlearning et de gamification ont été mis en place dans plusieurs organismes afin d’aider à concevoir des programmes de formations plus agiles et plus efficaces.

Ransomware

50 millions d’euros de perte attendue pour Sopra Steria à la suite de l’attaque du ransomware Ryuk [10]

Sopra Steria a déclaré que l’attaque du ransomware Ryuk d’octobre entraînera une perte de 40 à 50 millions d’euros. En effet, « la remédiation et les différents niveaux d’indisponibilités des différents systèmes depuis le 21 octobre devraient avoir un impact négatif sur la marge d’exploitation », a déclaré l’entreprise mercredi. Elle a également ajouté que « la couverture d’assurance du groupe pour les risques cyber s’élève à 30 millions d’euros ».

Juridique

Le ministère des Armées crée l’Agence du numérique de défense [11a][11b]

La ministre des Armées, Florence Parly, a annoncé la création de l'Agence du numérique de défense (AND) pour faire évoluer la gouvernance du numérique de la Défense nationale. Directement rattachée au Délégué général pour l'armement (DGA), cette nouvelle structure vise une meilleure association entre les acteurs internes que sont les états-majors et les directions et services du ministère des Armées.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2020-6021
[2] CXA-2020-5985
[3] CXA-2020-5989
[4] CXA-2020-5982
[5] CXA-2020-5980
[6] CXN-2020-6003
[7] CXN-2020-6024
[8] CXN-2020-6037
[9] CXN-2020-6042
[10] CXN-2020-5975
[11] CXN-2020-6038


Alexandre Padel

Analyste CERT-XMCO