Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.

Correctifs

Cette semaine, le CERT-XMCO recommande l’application des correctifs publiés par Oracle dans le cadre de son traditionnel « CPU » (Critical Patch Update) du mois d’avril. Notamment : Java [1], MySQL [2], Oracle Fusion Middleware [3], Oracle Financial Services Applications [4], Oracle JD Edwards [5] et Oracle Retail Applications [6]. Plusieurs des vulnérabilités corrigées permettaient la prise de contrôle d’un système à distance par un attaquant non authentifié.

De plus, il est conseillé d’appliquer les correctifs publiés pour le navigateur Google Chrome [7], phpMyAdmin [8] et les logiciels Foxit [9].

Codes d’exploitation

La semaine dernière, six codes d’exploitation ont été publiés.

Plusieurs codes d’exploitation utilisent des vulnérabilités corrigées par l’éditeur :
Le premier affecte Oracle OAM et permet à un attaquant d’obtenir une session valide d’une victime en l’incitant à suivre une URL spécifique. [12]
Le second affecte Oracle Fusion Middleware et permet à un attaquant de prendre le contrôle d’un système à distance via le protocole T3 sur le port 7001. [13]
Le troisième affecte le framework Spring et permet la prise de contrôle à distance d’un système via le protocole STOMP. [11]
Le quatrième affecte les routeurs MikroTik et permet de provoquer un redémarrage de l’appareil à distance via l’envoi de plusieurs requêtes. [10]

Enfin, deux codes d’exploitation utilisent des vulnérabilités ne disposant pas de correctif à l’heure actuelle :
Un code affecte le navigateur Safari et permet à un attaquant d’exécuter du code arbitraire sur la machine des victimes se connectant à un serveur Web malveillant. [14]
Un code affecte Windows 10 et permet à un attaquant local de s’échapper d’une machine virtuelle Java afin d’exécuter du code sur la machine hôte. [15]

Informations

PCI DSS

Le PCISSC vient d’annoncer la publication imminente d’une nouvelle version du standard PCI DSS (v3.2.1). Cette nouvelle version n’apporte aucune nouvelle exigence, mais met à jour certaines exigences relatives à la configuration SSL/TLS. [19]

Attaques

Le 13 avril, des chercheurs ont annoncé avoir découvert des exploitations de la vulnérabilité Drupalgeddon2 (impactant le CMS Drupal) dans le but de miner du Monero. Deux jours après, des chercheurs ont annoncé par le biais du forum du SANS ISC InfoSec, avoir décelé des exploitations sur leurs serveurs honeypots. Ces compromissions avaient pour objectif d’intégrer des mineurs de Monero. [17]

Des attaquants, dont l’identité n’est pour l’instant pas connue, ont dérobé la liste des gros parieurs d’un casino (dont le nom n’a pas été divulgué) grâce à une vulnérabilité présente au sein d’un thermomètre connecté dans un aquarium du casino. Les acteurs malveillants ont réussi à compromettre une base de données interne et à exfiltrer la liste des plus gros parieurs du casino vers un serveur situé en Finlande. [18]

Vie privée

Suite au scandale Cambridge Analytica, Facebook lance son « Data Abuse Bounty Program » pour détecter au plus tôt l’utilisation abusive de données personnelles par un tiers. Le programme consiste à offrir des récompenses financières aux personnes signalant les développeurs dont les applications collectent et transfèrent des données personnelles à un tiers dans le but de les vendre, de les voler ou de les utiliser pour influencer l’opinion publique. [20]

Suite à une question prioritaire de constitutionnalité (QPC) formulée par l’avocat de Karim Morand-Lahouazi (jugé pour une affaire de droit commun), le Conseil Constitutionnel a statué le 30 mars 2018 que les personnes faisant l’objet d’une garde à vue sont désormais dans l’obligation de donner le code d’accès à leur téléphone aux autorités. [21]

Malware

Des chercheurs de Trend Micro ont découvert une campagne d’attaques initiée en mars 2018 ciblant le Japon, la Corée du Sud, la Chine, Taiwan et Hong Kong. Les attaquants utilisent la technique de l’empoisonnement de cache DNS pour rediriger le trafic des internautes vers des serveurs malveillants. Ces derniers envoient une notification aux internautes, les incitant à installer des applications malveillantes. [16]

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

 Références portail XMCO

[1] CXA-2018-1622
[2] CXA-2018-1610
[3] CXA-2018-1623
[4] CXA-2018-1613
[5] CXA-2018-1616
[6] CXA-2018-1618
[7] CXA-2018-1637
[8] CXA-2018-1661
[9] CXA-2018-1666
[10] CXA-2018-1566
[11] CXA-2018-1569
[12] CXA-2018-1640
[13] CXA-2018-1642
[14] CXA-2018-1656
[15] CXA-2018-1657
[16] CXA-2018-1653
[17] CXA-2018-1589
[18] CXA-2018-1568
[19] CXA-2018-1639
[20] CXA-2018-1542
[21] CXA-2018-1651