Résumé de la semaine 5 (du 30 janvier au 05 février)

Résumé de la semaine 5 (du 30 janvier au 05 février)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Cisco pour sa gamme Small Business [1a][1b][2a][2b], pour IOS [3a][3b][3c][3d][3e][3f], pour WebEx [4], ainsi que plusieurs autres produits Cisco [5], par Apache pour Cassandra [6], par Android [7], par Solarwinds pour Orion [8a][8b], Stormshield [9a][9b][9c][9d][9e][9f] et par Gitlab [10].

Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 3 bulletins portant sur des codes d’exploitation ont été publiés. Un correctif est disponible pour les vulnérabilités affectant sudo et Solaris.

Prise de contrôle du système via une vulnérabilité au sein de Dell SonicWall SSL-VPN [11]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. Le programme permet de mettre en place un Reverse Shell sur le système vulnérable.

Élévation de privilèges via une vulnérabilité au sein d’Oracle Solaris [12a][12b]

Ces codes d’exploitation se présentent sous la forme de programmes écrits en C. En compilant l’un des codes sources correspondants et en l’exécutant sur le serveur, un attaquant est alors en mesure de devenir un utilisateur privilégié (root).

Élévation de privilèges via une vulnérabilité au sein de l’utilitaire « sudo » [13]

Ce code d’exploitation se présente sous la forme d’un module pour le Framework MetaSploit (MSF) et d’une charge utile en C. En incitant sa victime à ouvrir ce programme ou en ayant préalablement gagné un accès local au système, un attaquant est alors en mesure d’élever ses privilèges.

 

Informations

Annonce

Seconde phase du déploiement des correctifs remédiant à la vulnérabilité critique « Zerologon » [14]

Dans le cadre du Patch Tuesday d’août 2020, Microsoft a publié un correctif remédiant à une vulnérabilité critique référencée CVE-2020-1472. Aussi appelée Zerologon, cette vulnérabilité provient d’un défaut cryptographique au sein du protocole Netlogon (ou MS-NRPC). Le correctif prévu pour le Patch Tuesday de Février 2021, pourrait provoquer des effets de bords indésirables.

Vulnérabilité

Importante vulnérabilité découverte sur la version 1.9.0 de Libgcrypt [15a][15b][15c]

Werner Koch, le principal développeur de l’outil de chiffrement GnuPG et de la bibliothèque Libgcrypt, a récemment averti ses utilisateurs d’une importante vulnérabilité impactant la version 1.9.0 de Libgcrypt.

La vulnérabilité est causée par un dépassement de tampon lors du déchiffrement de données. Un attaquant serait ainsi en mesure de créer un jeu de données chiffrées exploitant cette vulnérabilité pour pouvoir exécuter du code arbitraire sur la machine.

Cybercriminalité

Stormshield travaille avec l’ANSSI à la résolution de deux incidents de sécurité [16a][16b][16c]

Les équipes de Stormshield ont détecté une intrusion engendrant deux incidents de sécurité. Elles tentent avec l’aide de l’ANSSI de résoudre deux incidents.

Cyberespionnage : Le directeur du CISA révèle que 30 % des victimes de « l’affaire SolarWinds » n’utiliseraient pas Orion [17a][17b]

En décembre dernier, FireEye, une société informatique américaine spécialisée en cybersécurité, a rendu publique une infiltration sur son réseau informatique. Depuis, les investigations ont avancé, et plusieurs branches du gouvernement américain ont été identifiées comme ayant également été victimes d’une opération de cyberespionnage ayant pour épicentre la société SolarWinds.

Recherche

Une faille critique dans la commande Unix Sudo affecte les dernières versions de macOS [18a][18b]

Des chercheurs britanniques ont récemment révélé un bug critique (CVE-2021-3156) baptisé Baron Samedit dans la commande UNIX sudo.

À l’origine seules les distributions Ubuntu, Debian et Fedora semblaient impactées par cette faille, mais le chercheur Matthew Hickey a confirmé en outre que la dernière mise à jour de macOS (Big Sur) est aussi touchée par cette faille. Il faut toutefois réunir quelques conditions particulières pour exploiter cette vulnérabilité sur les systèmes macOS.

Découverte de nouvelles vulnérabilités dans les produits SolarWinds [19a][19b]

Des chercheurs de la société Trustwave ont récemment découvert de nouvelles vulnérabilités dans les produits SolarWinds. Deux de ces vulnérabilités impactent Orion, alors que la troisième concerne le service FTP du produit Serv-U.

Attaque

Retour sur l’attaque subie par Ouest-France le 21 novembre 2020 [20]

Le journal Ouest-France a publié un retour d’expérience sur l’attaque par ransomware subie dans la nuit du 20 au 21 novembre 2020.

Les employés ont d’abord été alertés par des impressions suspectes effectuées par les imprimantes de bureau de l’imprimerie de Chantepie (près de Rennes). Les équipes informatiques ont alors rapidement pris contact avec le responsable des systèmes d’information et le responsable de la sécurité des systèmes d’information.

Juridique

Le cabinet Mathias Avocats publie un livre blanc sur la gestion des contrôles de la CNIL [21]

Le cabinet Mathias Avocats a publié un livre blanc concernant les bonnes pratiques à adopter en cas de contrôle de la CNIL. Cette publication est motivée par de potentielles conséquences suite à des contrôles pouvant susciter une certaine crainte au sein des organisations.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2021-0546
[2] CXA-2021-0545
[3] CXA-2021-0526
[4] CXA-2021-0544
[5] CXA-2021-0522
[6] CXA-2021-0498
[7] CXA-2021-0497
[8] CXA-2021-0566
[9] CXA-2021-0565
[10] CXA-2021-0496
[11] CXA-2021-0479
[12] CXA-2021-0508
[13] CXA-2021-0570
[14] CXN-2021-0500
[15] CXN-2021-0488
[16] CXN-2021-0553
[17] CXN-2021-0495
[18] CXN-2021-0540
[19] CXN-2021-0562
[20] CXN-2021-0524
[21] CXN-2021-0468


Hadrien Bouffier

Analyste CERT-XMCO