Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Drupal [1] et par Joomla! [2] pour les CMS éponymes, pour le framework Django [3], par Tibco pour Tibco Spotfire [4], par Google pour le navigateur Google Chrome [5],  ainsi que pour le logiciel Gitlab [6]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, un code d’exploitation a été publié.

Xerox Altalink [7]

Ce code d’exploitation impacte les imprimantes Xerox AltaLink. Il prend la forme d’une page en HTML contenant une requête HTTP et permet d’exploiter une vulnérabilité de type Cross-Site Request Forgery (CSRF). Un attaquant parvenant à convaincre un utilisateur authentifié de visiter cette page spécifiquement conçue peut créer un compte administrateur sur l’imprimante en usurpant l’identité de sa victime. Un correctif est disponible.

Informations

Vulnérabilités

Une vulnérabilité au sein des routeurs TP-Link permettait de se connecter en tant qu’administrateur sans mot de passe [8]

Le constructeur de matériels réseaux TP-Link a mis à disposition un correctif pour certains de ses routeurs Archer pour corriger une vulnérabilité qui permettait à de potentiels attaquants de remplacer le mot de passe administrateur par une valeur nulle, puis de se connecter sur le compte administrateur à travers une connexion Telnet. Pour cela, il suffisait à l’attaquant d’envoyer une requête HTTP contenant une chaine de caractères plus longue que le nombre de bits autorisés. Le mot de passe de l’utilisateur était alors remplacé par une valeur vide.

Google confirme un déni de service permanent sur les appareils Android 8, 9 et 10 [9]

Le bulletin de sécurité Android de décembre a été publié par Google et contient 3 vulnérabilités critiques. La vulnérabilité la plus critique ( CVE-2019-2232 ) permet, en envoyant un message spécifiquement conçu, de provoquer un déni de service permanent rendant le téléphone inutilisable. Aucune interaction utilisateur ni aucun privilège n’est nécessaire pour exploiter la vulnérabilité à distance.

Annonces

Mozilla va imposer l’authentification à 2 facteurs aux développeurs d’extensions Firefox [10]

Mozilla a annoncé qu’à compter de début 2020, tous les développeurs d’extensions Firefox devront impérativement activer l’authentification en 2 étapes (2FA) sur leur compte. L’objectif de cette mesure est de réduire le risque d’attaque via la chaîne d’approvisionnement. En cas de compromission du compte Firefox d’un développeur d’extension, un attaquant serait en mesure de publier une mise à jour malveillante de l’extension, qui pourrait être déployée sur les systèmes des utilisateurs.

Google va interdire l’accès aux comptes G Suite pour les applications dont l’authentification est peu sécurisée [11]

Google a annoncé sur le blog dédié à ses outils G Suite qu’à partir de février 2021, les applications n’utilisant que le nom d’utilisateur et le mot de passe pour se connecter avec un compte G Suite ne pourront plus le faire. En effet, d’après Google, ces applications affaiblissent la sécurité des comptes utilisateurs en cas, par exemple, de fuite de données chez cette application.

Juridique

Le Comité judiciaire du Sénat des États-Unis voudrait imposer l’existence d’un accès aux données d’utilisateurs chiffrées [12]

Le Comité judiciaire du Sénat des États-Unis a tenu une audience à propos du chiffrement des données d’utilisateurs. Le procureur du district de Manhattan, Cyrus Vance, a appelé les entreprises à construire un accès aux données chiffrées de l’utilisateur pour le gouvernement. Cette audience fait suite à des discours, lettres ouvertes et autres pressions publiques de la part de forces de l’ordre envers Facebook pour l’insertion d’un accès dans ses applications de messagerie, en avançant que le chiffrement des données serait un outil utilisé dans les crimes graves tels que l’exploitation d’enfants.

Monétique

VISA publie une note sur l’attaque des systèmes PoS des distributeurs de carburant [13]

VISA a détecté au moins 3 attaques sur les systèmes nord-américains de distribution de carburant. Les PoS (Point-of-Sell) seraient infectés par des malware récupérant les données de cartes de paiement utilisées.

En effet, les marchands impliqués ne semblent pas utiliser les technologies recommandées pour traiter les données de cartes de paiement comme le chiffrement de bout en bout (Point to Point Encryption) et la tokenization (transformation d’un numéro de carte en jeton dont la valeur intrinsèque est inutile et ne permet pas de récupérer le numéro de carte dont il est issu).

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.

Références portail XMCO

[1] CXA-2019-5863
[2] CXA-2019-5828
[3] CXA-2019-5838
[4] CXA-2019-5836
[5] CXA-2019-5830
[6] CXA-2019-5805
[7] CXA-2019-5857
[8] CXN-2019-5833
[9] CXN-2019-5831
[10] CXN-2019-5798
[11] CXN-2019-5813
[12] CXN-2019-5796
[13] CXN-2019-5773