Résumé de la semaine 7 (du 8 au 14 février)

Résumé de la semaine 7 (du 8 au 14 février)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés durant le Patch Tuesday pour les produits Microsoft [1], pour SAP [2], pour Firefox [3], Adobe Flash [4], pour Adobe Acrobat [5], pour Cacti [6] ainsi que pour Symantec Endpoint Protection [7].

L’exploitation des vulnérabilités associées permettait de provoquer des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitations

Cette semaine, 5 codes d’exploitation ont été publiés. Des correctifs de sécurité sont disponibles pour chacune des vulnérabilités exploitées.

Prise de contrôle d’un système via une vulnérabilité au sein des routeurs D-Link [8]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Ruby pour le framework offensif Metasploit. Le programme envoie un paquet UDP contenant des en-têtes HTTP (M-SEARCH) spécifiquement forgées afin d’exécuter des commandes arbitraires.

Manipulation de données et vol d’information via 2 vulnérabilités au sein de Cisco Data Center Network Manager (DCNM) [9]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En récupérant des identifiants statiques, un attaquant était en mesure d’exploiter une vulnérabilité au sein des API REST et SOAP en tant qu’administrateur afin d’effectuer une injection SQL.

Prise de contrôle du système via deux vulnérabilités au sein de Cisco Data Center Network Manager (DCNM) [10]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En récupérant des identifiants statiques, un attaquant était en mesure d’exploiter une vulnérabilité au sein des API REST et SOAP en tant qu’administrateur et ainsi exécuter du code sur le serveur.

Manipulation de données via une vulnérabilité au sein de MikroTik WinBox [11]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce code, un attaquant se positionne en tant qu’homme du milieu (man-in-the-middle), puis écrit un fichier arbitraire sur le système de sa victime (où Winbox a les privilèges d’écriture).

Élévation de privilèges via une vulnérabilité au sein de plusieurs imprimantes Ricoh [12]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Ruby pour le framework offensif Metasploit. Le programme crée une imprimante (virtuellement) et ajoute une bibliothèque malveillante au sein de cette dernière qui sera ensuite chargée par le processus PrintIsolationHost.exe. Le code de l’attaquant sera donc exécuté.

 

Informations

Attaque

La CIA a été en mesure d’espionner les communications de 120 pays pendant plusieurs décennies [13]

La société suisse Crypto AG commercialisait des appareils et des logiciels de chiffrement à destination des états. Plus de 120 pays ont eu recours à ses produits, ce qui lui a permis d’engranger plusieurs millions de dollars.

Smartphones

Une vulnérabilité critique affectant les utilisateurs d’Android est exploitable sans interaction utilisateur [14]

Les utilisateurs d’appareils Android devraient sans attendre appliquer les derniers correctifs de sécurité publiés lundi dernier par Google. En effet, ces derniers corrigent une vulnérabilité critique liée à Bluetooth. Un attaquant peut exploiter la vulnérabilité référencée CVE-2020-0022 sans interaction utilisateur afin d’exécuter du code arbitraire avec les privilèges élevés du processus Bluetooth lorsque le module sans-fil est activé.

Ransomware

Le ransomware RobinHood installe un driver Gigabyte vulnérable pour supprimer les produits antivirus [15]

Sophos a investigué sur 2 attaques par ransomware durant lesquelles les attaquants déploient un pilote légitimement signé dans le but de supprimer tous les produits de sécurité sur le système. Puis, l’étape du chiffrement des fichiers est amorcée. Dans les deux cas, c’est le ransomware RobinHood qui a été déployé.
Le pilote signé est issu d’un paquet obsolète de Gigabyte et possède une vulnérabilité connue (CVE-2018-19320) permettant une élévation de privilèges.

Anubis : le malware aux multiples facettes cible plus de 250 applications Android [16]

Les chercheurs de la société Cofense ont récemment identifié une campagne de phishing visant à propager le malware Anubis. Ce malware était initialement utilisé pour réaliser des opérations d’espionnage, mais il a évolué au fil du temps en tant que trojan bancaire.

Fuite d’informations

Le parti politique du Premier ministre israélien expose les informations personnelles de 6,4 millions d’Israéliens [17]

Une application du parti du Premier ministre israélien Benjamin Netanyahu a exposé les informations personnelles de 6,4 millions d’Israéliens. Le parti avait commandé une application permettant à ses sympathisants de recevoir des informations sur les prochaines élections israéliennes, qui auront lieu le 2 mars.
Tous les partis israéliens ont reçu des données sur 6,4 millions de citoyens ayant le droit de vote, afin de préparer les campagnes d’élection. Cependant, suite à une exposition non maîtrisée, cette base de données aurait été accessible librement.

Threat Intelligence

Le Groupe Magecart 12 change rapidement de domaine hébergeant ses skimmers pour échapper à la détection [18]

Les groupes de pirates spécialisés dans le vol de donnée de carte bancaire sont désignés sous l’appellation Magecart. Ces groupes injectent du code JavaScript dans les pages de site e-commerce afin d’intercepter les informations de carte bancaire renseignées au moment du paiement. Ces codes JavaScript sont appelés des skimmers.

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXN-2020-0805
[2] CXN-2020-0806
[3] CXN-2020-0802
[4] CXN-2020-0792
[5] CXN-2020-0786
[6] CXN-2020-0757
[7] CXN-2020-0756
[8] CXN-2020-0759
[9] CXN-2020-0744
[10] CXN-2020-0742
[11] CXN-2020-0745
[12] CXN-2020-0739
[13] CXN-2020-0809
[14] CXN-2020-0734
[15] CXN-2020-0779
[16] CXN-2020-0766
[17] CXN-2020-0764
[18] CXN-2020-0762


Arthur Gautier