Résumé de la semaine du 19 février au 23 février

Résumé de la semaine du 19 février au 23 février

Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.


Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour le CMS Drupal [1], le serveur applicatif Apache Tomcat [2a][2b][2c] et les systèmes Apple (macOS / iOS) [3a][3b]. L’exploitation des vulnérabilités associées permettait à un attaquant de provoquer un déni de service, de voler et manipuler des données, de contourner des restrictions de sécurité voire de prendre le contrôle du système.

 

Codes d’exploitation

La semaine dernière, sept codes d’exploitation ont été publiés.

Le premier affecte l’application Oracle Primavera Project Management et se matérialise sous la forme d’une URL malveillante. En envoyant cette URL au serveur, un attaquant est en mesure d’exploiter une vulnérabilité de type « cross-site scripting »  (XSS) lui permettant d’exécuter du code JavaScript dans le navigateur des clients du serveur. Cette vulnérabilité permet à un attaquant de voler des informations sensibles (cookies de session, mots de passe…). [4]

Trois codes d’exploitation affectant Internet Explorer ont par ailleurs été publiés.
Les trois codes se matérialisent sous la forme de scripts en JavaScript et permettent d’exploiter une faille mémoire (utilisation après libération). En utilisant une page web malveillante, un attaquant est en mesure de voler des informations sensibles au sein de la mémoire du navigateur de la victime. [5][6][7a][7b]

Enfin, trois autres codes d’exploitation affectaient le système Windows.
Les trois codes permettent de provoquer différents dommages lorsqu’ils sont exécutés localement sur la machine de la victime : création et déplacement arbitraires de fichiers avec les privilèges administrateur, vol du jeton d’authentification du compte administrateur et vol d’informations au sein de la mémoire du noyau. [8][9][10]

 

Informations

Les chercheurs de CheckPoint ont découvert un malware affectant les serveurs Jenkins. Nommé JenkinsMiner , il s’agit d’un « miner » pour la cryptomonnaie Monero. Il s’agirait de la plus grosse opération de minage jamais découverte. L’attaquant aurait ainsi pu miner pour un total de 3,4 millions de dollars. Le malware exploite une vulnérabilité ancienne (avril 2017) au sein de Jenkins (référencée CVE-2017-1000353), ce qui lui permet d’exécuter du code arbitraire. D’après les chercheurs, l’attaque inclurait également l’installation d’un outil d’administration à distance malveillant (RAT), permettant de garder un contrôle sur les machines infectées. [11]

Suite à une intrusion dans son réseau SWIFT (transactions bancaires), la banque indienne City Union Bank a subi un vol de 1,8 million de dollars. Les cybercriminels ont pu procéder à 3 versements SWIFT frauduleux (pour des montants de 300 000, 500 000 et 1 million de dollars). Le versement de 1 million de dollars a été effectué vers une banque chinoise et les fonds ont été retirés par son bénéficiaire, qui aurait utilisé de faux documents pour procéder au retrait. Les autres versements ont pu être récupérés. La City Union Bank indique que des mesures de renforcement de la sécurité de son réseau SWIFT ont été mises en œuvre. [12]

D’après un chercheur de la société chinoise Netlab, le malware ADB.miner ou aussi nommé Android.CoinMine.15 se répand à une très grande vitesse. Il vise uniquement les appareils sous Android, et principalement les smarts TVs utilisant le système d’exploitation « Android TV » ainsi que les boxs Android et les smartphones. Tout appareil utilisant le service ADB (Android Debug Bridge, utilisé pour des connexions Internet ininterrompues) est une cible potentielle (tablettes, routeurs, etc.). Le malware permet de miner la cryptomonnaie Monero, très en vue en ce moment, pour sa particularité à être pratiquement anonyme. De plus, il peut infecter les autres machines en utilisant le port 5555 (utilisé par le service ADB). [13]

Deux pirates russes ont été condamnés à plusieurs années de prison (respectivement 12 ans et 4 ans et demi) : ils ont plaidé coupables lors de leur procès. Avec 3 autres pirates, ils se sont introduits dans les systèmes de plusieurs grandes entreprises (commerçants, institutions financières et gestionnaires de paiements) afin d’y récolter des données bancaires ou personnelles, qu’ils revendaient ensuite sur le Dark Web. Ils les utilisaient également pour créer de fausses cartes bancaires. Le groupe serait actif depuis 2009 et aurait ainsi dérobé les données de près de 160 millions de cartes de crédit, ce qui aurait causé plusieurs centaines de millions de dollars de pertes pour les sociétés concernées et les particuliers dont les données ont été dérobées. [14]

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


Références portail XMCO

[1] CXA-2018-0799
[2] CXA-2018-0819
[3] CXA-2018-0746
[4] CXA-2018-0716
[5] CXA-2018-0765
[6] CXA-2018-0773
[7] CXA-2018-0756
[8] CXA-2018-0769
[9] CXA-2018-0767
[10] CXA-2018-0763
[11] CXN-2018-0735
[12] CXN-2018-0733
[13] CXN-2018-0726
[14] CXN-2018-0754


Jean-Christophe Pellat

Cert-XMCO