Résumé de la semaine 50 (du 5 au 11 décembre)

Résumé de la semaine 50 (du 5 au 11 décembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.


Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft lors de son Patch Tuesday [1], pour SAP [2], pour les NAS QNAP [3] [4], par Google pour son système d’exploitation Android [5] et par Apache pour Apache Struts [6]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

6 codes d’exploitation ont été publiés cette semaine. Pour chacun d’entre eux, un correctif est disponible.

Manipulation de données et divulgation d’informations via une vulnérabilité au sein de Zabbix [7]

En exploitant le manque de contrôles sur le paramètre iframe dédié à l’ajout de widget sur la page /zabbix.php?sid=f7ca8c8270ce38c7&action=dashboard.widget.check, puis en incitant sa victime à suivre un lien spécifiquement conçu, un attaquant pouvait forcer le navigateur de cette dernière à exécuter un code JavaScript malveillant.

Prise de contrôle du système via plusieurs vulnérabilités au sein de Teams [8]

Cette preuve de concept se présente sous la forme d’une requête HTTP permettant d’envoyer un document JSON contenant une charge utile JavaScript. Un attaquant envoyant un message spécifiquement conçu à un utilisateur est alors en mesure d’exécuter du code JavaScript dans le contexte de l’application Electron lui permettant d’exécuter du code arbitraire sur le système sous-jacent et ainsi prendre le contrôle du système. La charge utile est exécutée à l’affichage du message envoyé.

Divulgation d’informations via une vulnérabilité au sein de Pulse Secure Desktop Client [9]

Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. En exécutant ce programme, un attaquant est alors en mesure de récupérer et déchiffrer le mot de passe d’un utilisateur.

Divulgation d’informations et déni de service via une vulnérabilité au sein d’IBM Maximo Asset Management [10]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme, un attaquant distant et non authentifié est alors en mesure d’envoyer un fichier XML spécifiquement conçu afin d’accéder à des informations sensibles.

Divulgation d’informations via une vulnérabilité au sein de Citrix XenMobile Server [11a] [11b]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme, un attaquant est alors en mesure d’envoyer une requête HTTP GET spécifiquement conçue et accéder aux fichiers présents sur le système (directory traversal).

Contournement de sécurité et divulgation d’informations via une vulnérabilité au sein de Huawei HedEx Lite [12]

Ce code d’exploitation se présente sous la forme d’une requête HTTP. En envoyant cette requête à un système vulnérable, un attaquant est en mesure d’exposer le contenu du fichier passé en paramètre.

Informations

Attaques

La NSA annonce qu’un groupe d’attaquant russe exploite une vulnérabilité de VMware afin de pénétrer des réseaux d’entreprise [13a] [13b] [13c]

L’Agence de sécurité nationale américaine (NSA) a publié lundi un bulletin d’alerte selon lequel un groupe d’attaquant s’appuie sur la vulnérabilité de VMware récemment révélée pour installer des logiciels spécifiquement conçus au sein des systèmes d’entreprises et accéder à des données protégées.

L’entreprise de cybersécurité FireEye victime d’une attaque supposée gouvernementale [14a] [14b] [14c] [14d]

Début décembre, une attaque a permis à des pirates de subtiliser les outils Red Team de la société de cybersécurité FireEye. Selon les experts de FireEye, travaillant conjointement avec le FBI et Microsoft, cette attaque a été préparée spécifiquement pour cibler FireEye. Les méthodes utilisées et les moyens mis en place laissent à penser que l’attaque a été supportée par un état.

Une attaque de spear phishing imite le domaine microsoft.com et atteint 200 millions de victimes potentielles [15]

Une attaque de spear phishing imitant Microsoft.com a atteint 200 millions d’utilisateurs dans des marchés verticaux divers tels que les services financiers, la santé, la manufacture et les fournisseurs de service. Pour se protéger, Ironscales conseille aux organisations de configurer leurs systèmes de défense avec le protocole DMARC, qui devrait bloquer l’attaque.

Ransomware

Le ransomware DoppelPaymer attaque le géant de l’électronique Foxconn et réclame 34 millions de dollars [16]

Une entité mexicaine de la firme d’électronique Foxconn (800 000 employés et 172 milliards de dollars de revenus en 2019) a été la victime d’un ransomware pendant le week-end de Thanksgiving. Les attaquants ont réussi à subtiliser des fichiers non chiffrés. La rançon exigée par les pirates s’élève à environ 34 millions de dollars en Bitcoins (1804 B).

Randstad, la multinationale du travail temporaire a été touchée par le ransomware Egregor [17a] [17b]

La multinationale hollandaise Randstad a récemment été la victime du ransomware Egregor. Cette société emploie plus de 38 000 collaborateurs et a généré 23,7 milliards de dollars de revenus en 2019. Elle est spécialisée dans le travail temporaire, les services de ressources humaines et le recrutement. Egregor a publié 32 Mo de données, incluant des fichiers PDF et des tableurs contenant des données financières, légales et commerciales. Selon les pirates, seul 1 % des données dérobées ont été publiées pour le moment.

Vulnérabilités

Google souhaite sensibiliser aux vulnérabilités «Cross-Site Leaks» [18a] [18b]

Les vulnérabilités de type Cross-Site Leaks (ou XS-Leaks) permettent à un site malveillant de faire exécuter par un navigateur des requêtes vers un site cible. Ces requêtes vont permettre au site malveillant de déduire des informations concernant l’utilisateur du navigateur, relativement au site ciblé. Le wiki peut être consulté à l’adresse suivante : https://xsleaks.dev/.

Amnesia:33 – Des millions d’appareils IoT affectés par 33 failles de sécurité dans des protocoles TCP/IP [19a] [19b] [19c]

Des recherches menées entre autres par le CISA (U.S. Cybersecurity Infrastructure Security Agency) ont récemment abouti à la découverte de 33 nouvelles vulnérabilités impactant différentes implémentations de piles TCP/IP. L’exploitation de ces failles, baptisées Amnesia:33 pourrait avoir des conséquences néfastes pour des millions d’appareils IoT (imprimantes, prises intelligentes, etc.).

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2020-6170
[2] CXA-2020-6167
[3] CXA-2020-6102
[4] CXA-2020-6098
[5] CXA-2020-6091
[6] CXA-2020-6083
[7] CXA-2020-6065
[8] CXA-2020-6070
[9] CXA-2020-6073
[10] CXA-2020-6076
[11] CXA-2020-6096
[12] CXA-2020-6186
[13] CXN-2020-6085
[14] CXN-2020-6191
[15] CXN-2020-6201
[16] CXN-2020-6093
[17] CXN-2020-6135
[18] CXN-2020-6192
[19] CXN-2020-6137


Marc Lambertz