Résumé de la semaine #5 (du 27 janvier au 2 février)

Résumé de la semaine #5 (du 27 janvier au 2 février)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’installation des correctifs publiés par TYPO3 [1], par Puppet [2a][2b], pour Google Chrome [3], par Mozilla pour Firefox [4] et Thunderbird [5] et pour phpMyAdmin [6]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, deux codes d’exploitation ont été publiés.

Le premier code d’exploitation impacte les routeurs Cisco Small Business et permet à un attaquant de voler des informations sensibles et de prendre le contrôle du système [7]. Le code d’exploitation se matérialise sous la forme de plusieurs scripts Python. Ceux-ci permettent d’accéder à plusieurs informations techniques et fonctionnalités sensibles de l’appareil dont le fichier de configuration, le déchiffrement de fichiers chiffrés ou encore l’exécution de code arbitraire avec des privilèges administrateur (si l’attaquant est authentifié). Un correctif est disponible.

Le second code d’exploitation impacte phpMyAdmin et permet à un attaquant de lire des fichiers arbitraires sur le serveur [8]. Le code d’exploitation se matérialise sous la forme d’un script Python. Celui-ci instancie un serveur MySQL malveillant, qui récupère le contenu de fichiers spécifiques. Un correctif est disponible.

 

Informations

Attaques

La plateforme de partage de vidéos Dailymotion a annoncé avoir été victime d’une attaque de type « credential stuffing » [9]. Ce genre d’attaque a comme objectif de récupérer des comptes utilisateurs en utilisant des comptes provenant de bases de données compromises. L’impact a été limité par les équipes de Dailymotion.

Le groupe Airbus, et plus précisément sa branche Airbus Commercial Aircraft, a annoncé avoir été victime d’un incident de sécurité [10]. Les attaquants auraient eu accès à des données à caractères personnels (principalement des coordonnées professionnelles et des identifiants d’employés d’Airbus en Europe).

Fuites d’informations

2 ans après l’attaque massive ayant touché Equifax, de nombreuses entreprises faisant partie du classement Fortune 100 utiliseraient encore une version vulnérable d’Apache Struts [11]. Cette information a été partagée par l’entreprise Sonatype, qui n’a pas souhaité divulguer le nom des sociétés.

Recherche

Le chercheur en sécurité Elad Shamir a publié une série de méthodes permettant d’accéder à des systèmes et pouvant mener à la compromission d’un annuaire Active Directory [12]. Deux scénarios sont mis en avant dans sa recherche : le premier permet d’élever ses privilèges, le second d’exécuter du code arbitraire sur le système. Les deux scénarios exploitent le mécanisme de délégation de Kerberos.

McAfee a publié un article dans lequel des chercheurs présentent une nouvelle famille de ransomware, baptisée Anatova [13]. D’après McAfee, il s’agit d’un ransomware modulaire (il pourra donc évoluer dans le temps et devenir de plus en plus dangereux). Actuellement, ce ransomware chiffre intégralement les fichiers dont la taille est inférieure ou égale à 1 Mo. Si la taille du fichier est supérieure, le ransomware n’en chiffrera que 1 Mo.

Un chercheur a découvert une vulnérabilité affectant FaceTime [14]. Celle-ci permet à un attaquant, lors d’un appel de groupe, d’entendre les sons captés par l’iPhone destinataire avant que celui-ci ne décroche. Apple a indiqué qu’un correctif serait déployé sous peu et a désactivé la fonctionnalité d’ici là.

International

Le gouvernement du Zimbabwe a imposé la coupure de l’accès à Internet dans l’ensemble du pays [15]. L’action du gouvernement serait motivée par la volonté de masquer la violence commise par l’armée lors de la répression des manifestations.

Juridique

Le site marchand xDedic, réputé pour vendre l’accès à des machines préalablement compromises à des attaquants ou des informations personnelles, a été fermé par les forces de police internationale [16]. 11 forces de police ont été impliquées dans l’enquête dont le FBI, Europol ou la police criminelle allemande. Cette saisie fait suite à une enquête ayant duré une année.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2019-0511
[2] CXA-2019-0487
[3] CXA-2019-0483
[4] CXA-2019-0477
[5] CXA-2019-0479
[6] CXA-2019-0467
[7] CXA-2019-0471
[8] CXA-2019-0470
[9] CXN-2019-0524
[10] CXN-2019-0525
[11] CXN-2019-0526
[12] CXA-2019-0490
[13] CXN-2019-0488
[14] CXN-2019-0474
[15] CXN-2019-0432
[16] CXN-2019-0449


Jean-Christophe Pellat

Cert-XMCO