Résumé de la semaine 6 (du 1er au 7 février)

Résumé de la semaine 6 (du 1er au 7 février)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Cisco pour plusieurs de ses produits [1a] [1b] [1c] [1d] [1e] [1f], par Google pour le navigateur Google Chrome [2] et pour son système d’exploitation Android [3], par Django pour le framework éponyme [4] et par Juniper pour JunOS [5].
L’exploitation des vulnérabilités associées permettait à un attaquant de provoquer des dommages allant du déni de service jusqu’à la prise de contrôle du système.

 

Codes d’exploitations

Cette semaine, 4 codes d’exploitation ont été publiés. Les correctifs de sécurité associés sont tous disponibles.

Prise de contrôle du système via une vulnérabilité au sein de F-Secure [6]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. Il permet à un attaquant non authentifié d’exécuter du code à distance via l’envoi de requêtes HTTP spécialement conçues.

Prise de contrôle du système via une vulnérabilité au sein de Schneider Electric U.Motion Builder [7]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. Un attaquant authentifié peut exécuter du code malveillant sur le système Windows sous-jacent via l’envoi de requêtes HTTP spécialement conçues.

Divulgation d’informations via une vulnérabilité au sein de Juniper JunOS [8]

Ce code d’exploitation se présente sous la forme d’une requête HTTP. Il permet à un attaquant distant et authentifié avec des privilèges ordinaires de lire le contenu d’un fichier arbitraire sur le système (Local File Inclusion).

Contournement de sécurité et manipulation de données via une vulnérabilité au sein de phpMyAdmin [9]

Ce code d’exploitation se présente sous la forme d’une requête HTTP GET. Un attaquant authentifié et injectant du code SQL malveillant est en mesure de manipuler la base de données de l’application.

 

Informations

Vulnérabilités

Un bug WhatsApp permettait à des attaquants d’accéder au système de fichier local [10]

Facebook a corrigé une vulnérabilité critique concernant WhatsApp qui aurait permis à des attaquants de lire le système de fichier local sur les plateformes macOS et Windows. La vulnérabilité référencée comme la CVE-2019-18426 ne concerne que l’appareillage d’un iPhone avec l’application WhatsApp Desktop sur macOS et Windows. L’exploitation de cette vulnérabilité peut se faire à distance, mais nécessite qu’un utilisateur clique sur un lien spécialement conçu.

Les chercheurs de Checkpoint ont trouvé des vulnérabilités sur les infrastructures cloud Azure [11]

Les chercheurs de Checkpoint ont publié les résultats de leurs recherches sur les infrastructures cloud Microsoft Azure. Un article est dédié à l’exploitation d’une vulnérabilité de type dépassement de capacité sur la pile dans le service DWASSVC. L’exploitation de cette vulnérabilité permet d’exécuter du code en tant que l’utilisateur NT AUTORITÉ\SYSTÈME.

Phishing

Victime d’une campagne de malvertising, weather.com dérobe des données de milliers d’utilisateurs depuis plusieurs mois [12]

Le site de météo weather.com a été compromis par des publicités malveillantes (malvertising) qui récupéraient des informations personnelles sur les utilisateurs visitant le site avec des smartphones. Les raisons de cette attaque ne sont pas encore connues. Il s’agirait tout de même d’un groupe organisé qui collecterait des informations dans le but de les revendre sur des marchés noirs ou en vue d’une attaque future.

Ransomware

Ransomware : les 3 infos sur l’attaque contre Bouygues Construction [13]

L’entreprise française Bouygues Construction a récemment été victime d’un ransomware particulier. Elle a débuté par la compromission d’un serveur de l’entreprise à Toronto au Canada, qui a permis aux attaquants de rebondir sur l’ensemble du Système d’Information de Bouygues. Contrairement aux ransomwares classiques qui chiffrent les données des victimes et demandent une rançon en échange de la clef de déchiffrement, les auteurs de celui-ci menacent de publier 200 Go de données sensibles si la rançon de 10 millions d’euros n’est pas payée.

Fuite d’informations

Des documents exposent un marché secret revendant les données de navigation des utilisateurs [14]

Une investigation menée par PCMag et Motherboard a montré qu’une filiale d’Avast, Jumpshot, vend chaque recherche, clic, ou achat sur n’importe quel site de millions d’utilisateurs à des entreprises comme Google, Microsoft, Pepsi ou encore McKinsey. Des documents ont été retrouvés et prouvent que des clients payent jusqu’à des millions de dollars pour avoir une offre “All Clicks Feed” traquant les comportements utilisateur avec une haute précision: coordonnées GPS sur Google Maps, visite de pages LinkedIn ainsi que de liens YouTube spécifiques. Chacune de ces données est horodatée et c’est ce qui intéresse les entreprises clientes de Jumpshot.

Twitter révèle que son API a été exploitée pour obtenir les numéros de téléphone associés à des comptes [15]

Twitter a annoncé hier avoir détecté une campagne exploitant une fonctionnalité de l’API du réseau social. Cette campagne exploite la fonctionnalité de l’API Twitter permettant aux nouveaux inscrits de retrouver leurs connaissances à partir des numéros de téléphone de leurs contacts. D’après Twitter, les responsables auraient été en mesure de lier près de 17 millions de comptes à leur numéro de téléphone.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2020-0724
[2] CXN-2020-0670
[3] CXN-2020-0647
[4] CXN-2020-0636
[5] CXN-2020-0630
[6] CXN-2020-0656
[7] CXN-2020-0648
[8] CXN-2020-0631
[9] CXN-2020-0620
[10] CXN-2020-0702
[11] CXN-2020-0629
[12] CXN-2020-0667
[13] CXN-2020-0625
[14] CXN-2020-0617
[15] CXN-2020-0652


Arthur Gautier