Résumé de la semaine #51 (du 16 au 22 décembre)

Résumé de la semaine #51 (du 16 au 22 décembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’installation des correctifs publiés pour SQLite [1], pour le navigateur Internet Explorer [2] et les routeurs Cisco ASA [3]. Ces vulnérabilités permettaient à un attaquant de dérober des informations sensibles, élever ses privilèges sur le système ainsi que d’en prendre son contrôle.

 

Code d’exploitation

Cette semaine, 4 codes d’exploitation ont été publiés.

Le premier permet d’exploiter une vulnérabilité provenant d’un défaut de vérification au sein des appareils Cisco RV110W. Un attaquant est en mesure de récupérer les mots de passe utilisateurs et d’exécuter des commandes sur le routeur. Un correctif est disponible. [4]

Le second permet d’exploiter une faille de sécurité au sein de SQLite, celle-ci provient de défauts non spécifiés par l’éditeur. Ce code d’exploitation permet uniquement de provoquer un crash du navigateur. Un correctif est disponible. [5a][5b]

Le troisième permet d’exploiter une vulnérabilité provenant d’erreurs de traitement des URL par les routeurs Huawei HG532e. Un attaquant en mesure de s’authentifier sur l’appareil peut exécuter des commandes arbitraires. Un correctif est disponible. [6a][6b]

Enfin, le dernier code d’exploitation permet d’exploiter une vulnérabilité au sein de Microsoft Windows. Un attaquant local peut dérober des fichiers arbitraires sur le système et ainsi élever ses privilèges. Aucun correctif n’est disponible. [7]

 

Informations

International

Des pirates informatiques ont infiltré pendant au moins trois ans le réseau de correspondance européenne (COREU) de l’Union (UE) et ont pu télécharger des milliers de documents après, semble-t-il, être parvenus à dérober les données et les codes d’accès de diplomates chypriotes. Le piratage a été révélé mardi 18 décembre par le New York Times qui a publié plusieurs extraits des documents dérobés. Le média américain s’est notamment appuyé sur le travail de la société de cybersécurité Area 1, fondée par trois anciens employés de la NSA. [8]

Un organisme de cybersurveillance tchèque a récemment indiqué que les produits Huawei et ZTE pourraient compromettre la sécurité des données de leurs utilisateurs. Une telle annonce n’est pas surprenante, les États-Unis ayant affiché un point de vue similaire plus tôt cette année. L’avertissement concerne autant les produits logiciels que le matériel vendu par les entreprises. Sa publication coïncide avec la découverte d’une opération d’espionnage chinoise sur le territoire Tchèque, révélée par une agence de renseignement locale. [9]

Selon un inspecteur du Département de la Défense (DOD) américain, les systèmes de défense antimissile des États-Unis ne sont pas assez sécurisés. Ces systèmes de défense sont supposés intercepter les missiles envoyés en direction des États-Unis et sont efficaces contre tous les missiles balistiques, quelle que soit leur portée. Cependant, une mauvaise sécurisation des sites où sont stockés ces systèmes de défense pourrait compromettre leur efficacité. Le rapport de l’inspecteur général démontre en effet que certaines pratiques de sécurité de base n’y sont pas appliquées. L’inspecteur général a émis des recommandations dans son rapport, mais n’a reçu aucune réponse des intéressés. Il a donc contacté de plus hautes autorités pour forcer la mise en conformité des sites audités. [10]

Vie privée

Facebook aurait permis à d’autres sociétés d’accéder aux données personnelles des utilisateurs. Une enquête du New York Times dévoile que Facebook aurait permis à d’autres sociétés d’accéder aux données personnelles des utilisateurs sans leur consentement. Selon cette enquête, Netflix, Spotify et la Banque Royale du Canada auraient eu l’occasion de consulter les messages privés des utilisateurs s’étant connectés sur leurs sites respectifs par le biais du réseau social. Les accusations ne s’arrêtent pas là, les sociétés accusées auraient également été en mesure d’envoyer des messages à l’insu des utilisateurs, ainsi que de supprimer lesdits messages. [11a][11b]

Une erreur au sein de Twitter permettait à certains services tiers d’accéder aux messages personnels. Le chercheur en sécurité Terence Eden a découvert que le formulaire permettant de choisir les autorisations pour certains services tiers exposait les messages personnels des utilisateurs de Twitter. Terence Parker a fait part de sa découverte à Twitter le 11 juin dernier et la faille de sécurité a été corrigée le 12 décembre. [12]

Malware

Des cybercriminels derrière plusieurs familles de malwares utilisent le même outil d’installation. Des chercheurs de Trend Micro ont identifié un loader commun à plusieurs familles de malwares. Cette étude semble indiquer une segmentation du travail grandissante ainsi qu’une spécialisation des différents acteurs sur le marché du cybercrime, annonçant l’arrivée de malwares plus performants et plus difficiles à détecter. [13]

Entreprise

Shopify évite une violation de données grâce à un bug bounty. Shopify et Google ont récemment détaillé un incident de sécurité lié à Google Kubernetes. La faille a été signalée par un chercheur en sécurité participant à un programme de bug bounty. Elle a pu être rapidement corrigée, avant que des dommages ne soient causés. [14]

Cybercriminalité

L’ingénierie sociale est toujours au coeur des attaques contre les infrastructures critiques. Près de 100 organisations réparties dans 24 pays ont été touchées par une attaque de grande ampleur. Cette information a été révélée par des chercheurs en cybersécurité travaillant pour l’éditeur d’antivirus McAffee. L’attaque en question a commencé son déploiement par le biais d’une opération de phishing ciblé.La société Cofense, spécialisée dans la lutte contre le phishing, a annoncé que près de 78% des entreprises européennes ont déjà fait face à des incidents dont l’origine était un email. La menace est toujours d’actualité. [15a][15b]

Recherche

Des chercheurs sont parvenus à contourner le système de reconnaissance faciale sur Android à partir d’impression 3D de leurs visages. Un simple visage imprimé en 3D suffirait à déverrouiller un téléphone protégé avec la reconnaissance faciale sur les téléphones suivants : Samsung S9, Samsung Note 8, One Plus 6. Ces chercheurs ont toutefois nuancé la criticité de ce type d’attaque de par la difficulté d’accès et des ressources nécessaires à une impression 3D de bonne qualité. [16]

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2018-5117
[2] CXA-2018-5198
[3] CXA-2018-5199
[4] CXA-2018-5114
[5] CXA-2018-5123
[6] CXA-2018-5127
[7] CXA-2018-5229
[8] CXN-2018-5212
[9] CXN-2018-5157
[10] CXN-2018-5134
[11] CXN-2018-5210
[12] CXN-2018-5150
[13] CXN-2018-5193
[14] CXN-2018-5179
[15] CXN-2018-5125
[16] CXN-2018-5109


Jean-Christophe Pellat

Cert-XMCO