Résumé de la semaine 51 (du 12 au 18 décembre)

Résumé de la semaine 51 (du 12 au 18 décembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Apple pour son navigateur Safari [1] et pour son système d’exploitation Mac OS X [2], par Firefox pour le client mail Thunderbird [3] et son navigateur Firefox [4a][4b], et par F5 pour plusieurs solutions de la famille BIG-IP [5].
Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 3 codes d’exploitation ont été publiés. Un correctif est disponible pour 2 d’entre eux.

Manipulation de données et divulgation d’informations via une vulnérabilité au sein d’Openfire [6]

Ce code d’exploitation se présente sous la forme d’une requête HTTP spécialement conçue. En incitant sa victime à visiter la page vulnérable, un attaquant est alors en mesure de forcer le navigateur de cette dernière à exécuter un code JavaScript malveillant. Aucun correctif n’est disponible actuellement.

Prise de contrôle du système et divulgation d’informations via une vulnérabilité au sein de Gitlab [7]

Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. Celui-ci exécute une commande GET afin d’extraire le paramètre secret_key_base de Rails, puis envoie une requête POST avec un cookie experimentation_subject_id signé et spécifiquement conçu utilisé par Gitlab afin de provoquer une exécution de code arbitraire via une désérialisation. Un correctif est disponible.

Manipulation de données et divulgation d’informations via une vulnérabilité au sein de Jenkins [8]

L’exploitation de cette vulnérabilité permettait de mener différentes attaques : récupération du cookie de session, modification de l’apparence du site web ciblé dans le contexte du navigateur, voire redirection de l’utilisateur vers un site malveillant (par exemple, un site de phishing en affichant un faux formulaire destiné à voler identifiants et mots de passe). Un correctif est disponible.

 

Informations

SCADA/Industriel

Des chercheurs alertent d’un risque important d’exploitation pour de nombreux appareils connectés et systèmes industriels [9]

Dans un récent article de blog, des chercheurs de la société Armis ont alerté sur l’exposition d’un grand nombre d’appareils aux vulnérabilités URGENT/11 et CDPwn. D’après les échantillons inspectés par Armis, 97 % des appareils OT (Operational Technology) restent exposés aux vulnérabilités URGENT/11, alors que 80 % des appareils affectés par CDPwn restent vulnérables.

L’ANSSI publie un document présentant une doctrine de détection pour les systèmes industriels [10]

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a publié un document présentant une doctrine de détection pour les systèmes industriels. Les menaces planant sur ces systèmes sont croissantes, tout comme les incidents les impliquant. Les conséquences de tels incidents peuvent mener à l’arrêt de la production, endommager les installations, dégrader les ressources naturelles ou mettre en danger les personnes en contact avec ces systèmes. Le document propose ainsi une méthode pour découper le système d’information industriel en un ou plusieurs sous-ensembles afin de mieux définir les périmètres de la détection. Par la suite, les principes généraux de détections sont présentés. Le document se conclut sur une définition des différents points de détection.

International

La Russie est suspectée d’être responsable d’une campagne de cyberespionnage massive contre le gouvernement américain [11]

L’agence de presse Reuters a récemment publié un article révélant des détails sur une attaque de grande envergure ciblant les États-Unis. L’ampleur de l’attaque serait à l’origine d’une réunion à la Maison-Blanche du Conseil de Sécurité Nationale (National Security Council). À l’origine se trouve la découverte de l’espionnage des communications entre le Trésor américain et le Département du Commerce américains.

Malware

Le logiciel SolarWinds Orion a été détourné pour déployer la backdoor SunBurst dans le cadre d’une campagne d’espionnage mondiale [12a][12b]

FireEye a découvert une attaque utilisant les mises à jour du logiciel SolarWinds Orion comme cheval de Troie afin de compromettre des victimes dans le monde entier.

Les acteurs désignés comme appartenant au groupe d’attaquants UNC2452 ont eu accès à de nombreux systèmes d’information leur permettant de réaliser des mouvements latéraux au sein même du système dans le but de voler de données sensibles. La campagne est l’œuvre d’acteurs hautement qualifiés et l’opération a été menée en portant une attention particulière à la sécurité opérationnelle.

Publication d’une analyse des dernières attaques d’Emotet [13]

La société Neurosoft en partenariat avec l’Université du Pirée a publié une analyse des dernières attaques impliquant Emotet, le cheval de Troie modulaire. Le rapport s’appuie sur une base documentaire constituée de 3048 emails, 1968 documents, 749 fichiers exécutables et 1375 noms de domaines.

Découverte du malware Goontact [14]

Les chercheurs de la société Lookout ont découvert un nouveau malware. Baptisé Goontact, le malware cible les utilisateurs d’appareils Android et iOS parlant chinois, japonais ou coréen et basés dans des pays asiatiques.

Juridique

L’auteur présumé de Locky relaxé de 13 chefs d’inculpation sur 14 par la justice Française [15]

La 13e chambre du tribunal judiciaire de Paris a récemment rendu son délibéré au sujet de l’affaire Alexander Vinnik. Ce dernier n’a été inculpé que de l’un des 14 chefs d’accusations pesant contre lui.
Le prévenu, un ressortissant russe de 40 ans, est suspecté d’être l’auteur et opérateur du ransomware Locky, diffusé entre 2016 et 2018. Locky aurait permis à ses opérateurs d’extorquer près de 20 000 bitcoins, soit environ 134 millions d’euros. Sur les 200 entreprises françaises touchées par le ransomware, seules 20 ont payé la rançon demandée.

Hardware

Présentation de l’attaque AIR-FI, qui permet d’exfiltrer des données en manipulant la mémoire vive pour émettre des ondes Wifi [16]

Mordechai Guri, chercheur de l’université israélienne Ben-Gurion, a démontré qu’il était possible d’exfiltrer des données d’un ordinateur non connecté à Internet et qui n’est équipé d’aucun système de transmission sans fil (puce Wifi ou antenne).

Cybercriminalité

Un botnet attaque les bases de données PostgreSQL [17]

Des chercheurs de l’entreprise de cybersécurité Palo Alto Networks ont découvert un botnet s’attaquant aux bases de données PostgreSQL mal protégées. Celui-ci mine de la cryptomonnaie. Il a été nommé PgMiner par les chercheurs.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2020-6299
[2] CXA-2020-6278
[3] CXA-2020-6301
[4] CXA-2020-6295
[5] CXA-2020-6317
[6] CXA-2020-6248
[7] CXA-2020-6254
[8] CXA-2020-6250
[9] CXN-2020-6307
[10] CXN-2020-6258
[11] CXN-2020-6280
[12] CXN-2020-6267
[13] CXN-2020-6256
[14] CXN-2020-6283
[15] CXN-2020-6271
[16] CXN-2020-6315
[17] CXN-2020-6257


Aurélien Denis