Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Cisco [1a] [1b] [1c] [2] [3a] [3b] [3c] [4], BitDefender [5], Kaspersky [6], Avira [7], Eset [8], MariaDB [9], Linux Kernel [10], Dovecot [11a] [11b], SonicWall [12] et Stormshield Network Security [13a] [13b].

L’exploitation des vulnérabilités associées permettait à un attaquant de provoquer un déni de service, d’accéder à des informations sensibles, de manipuler des données, de contourner des restrictions de sécurité, d’élever ses privilèges ainsi que de prendre le contrôle du système.

Codes d’exploitations

Cette semaine, 4 codes d’exploitation ont été publiés. Des correctifs de sécurité sont disponibles pour chacune des vulnérabilités exploitées.

Prise de contrôle du système via une vulnérabilité au sein du serveur mail OpenSMTPD d’OpenBSD [14]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Ruby pour le framework offensif Metasploit. En exécutant ce module, un attaquant est alors en mesure d’exécuter du code arbitraire sur le serveur OpenSMTPD.

Contournement de sécurité via une vulnérabilité au sein de Windows [15]

Ce code d’exploitation se présente sous la forme d’un programme écrit en C++. Un attaquant exécutant ce programme localement est alors en mesure d’exécuter des méthodes de l’interface ISxsStore de manière privilégiée et ainsi de lire tous les fichiers présents sur le système.

Prise de contrôle du système et divulgation d’informations via une vulnérabilité au sein d’Apache Tomcat [16]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme et en ciblant un serveur vulnérable, un attaquant est alors en mesure d’accéder à des fichiers sur le serveur tel WEB-INF/web.xml via une requête directe avec le protocole ajp13.

Divulgation d’informations et manipulation de données via une vulnérabilité au sein de Django [17]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. Le programme exploite une injection SQL dans le paramètre delimiter de la fonction django.contrib.postgres.aggregates.StringAgg. L’appel de cette fonction avec le paramètre delimiter permet à l’attaquant de contrôler le corps de la requête SQL envoyée.

Informations

Piratage

Citrix a été victime d’une intrusion pendant plus de cinq mois [18]

Le 10 février 2020, l’entreprise Citrix System a publié un communiqué à ses clients indiquant avoir été victime d’une intrusion informatique pendant une durée de 5 mois entre l’année 2018 à 2019.

Une usine de compression de gaz naturel touchée par un ransomware aux États-Unis [19a] [19b]

Le Department of Homeland Security (DHS) américain a publié une alerte concernant une attaque par ransomware récente ayant touché une usine de compression de gaz naturel.
La compromission initiale est due à une attaque par phishing ciblé (spearphishing), ayant permis au pirate d’obtenir un accès au réseau interne de l’usine.

Microsoft se fait pirater ses propres sous-domaines [20]

Un chercheur en sécurité a mis en évidence la difficulté qu’a Microsoft à gérer ses milliers de sous-domaines. En effet, ce chercheur n’a cessé d’envoyer des rapports à Microsoft en listant des sous-domaines dont la configuration DNS n’était pas correcte. Mais Microsoft, n’ayant jamais donné suite à la liste des 142 sous-domaines qui lui a été envoyée tout au long de l’année 2019, a silencieusement sécurisé quelques sous-domaines, mais pas tous.

Analyse d’une nouvelle attaque attribuée à l’APT Goblin Panda [21]

MeltXOR, un chercheur en sécurité, a récemment publié une analyse d’une attaque visant des intérêts vietnamiens. Le mode opératoire, les cibles et des indicateurs de compromission (IOC) permettent de relier cette attaque au groupe APT Goblin Panda. Cette APT est connue pour avoir mené des opérations d’espionnage et de vol d’informations en lien avec les intérêts chinois.

Éditeur

La version 8.2 d’OpenSSH prend désormais en charge les protocoles FIDO/U2F [22]

La version 8.2 d’OpenSSH vient d’être publiée. Elle est disponible sur les serveurs miroirs listés sur le site Internet d’OpenSSH: https://www.openssh.com/. Parmi les changements, un support est maintenant proposé pour les protocoles FIDO/U2F, ainsi que quelques nouveaux services et corrections de bugs.

Malware

Parallax RAT: offre promotionnelle du malware sur les forums de pirate [23]

Depuis décembre 2019, il est possible pour les attaquants d’acheter un malware nommé Parallax RAT avec une offre promotionnelle mensuelle, voire trimestrielle, et une assistance technique incluse. Selon les chercheurs en sécurité informatique de MalwareHunterTeam, pour la somme de 65 $ par mois ou de 175 $ par trimestre, l’attaquant dispose d’un outil à 99 % fiable garantie par l’équipe de pirates Parallax Team à l’origine de l’outil.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.

Références portail XMCO

[1] CXN-2020-0947
[2] CXN-2020-0958
[3] CXN-2020-0954
[4] CXN-2020-0948
[5] CXN-2020-0966
[6] CXN-2020-0925
[7] CXN-2020-0875
[8] CXN-2020-0893
[9] CXN-2020-0850
[10] CXN-2020-0865
[11] CXN-2020-0871
[12] CXN-2020-0970
[13] CXN-2020-0963
[14] CXN-2020-0898
[15] CXN-2020-0861
[16] CXN-2020-0988
[17] CXN-2020-0990
[18] CXN-2020-0962
[19] CXN-2020-0960
[20] CXN-2020-0942
[21] CXN-2020-0904
[22] CXN-2020-0927
[23] CXN-2020-0868