Résumé de la semaine du 26 au 30 mars

Résumé de la semaine du 26 au 30 mars

Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.


Correctifs

La semaine dernière les équipes de sécurité de Drupal ont annoncé une vulnérabilité jugée « hautement critique ». Le CERT-XMCO recommande l’installation des correctifs de sécurité publiés [1][2]. L’exploitation de cette vulnérabilité permettait à un attaquant d’accéder et de modifier l’ensemble des données du serveur.

Par ailleurs, d’autres correctifs ont été publiés pour Kubernetes [3], Jenkins [4], Thunderbird [5] et le navigateur Safari [6]. L’exploitation de ces vulnérabilités permettait à un attaquant de causer un déni de service, de voler des informations, de contourner des mesures de sécurité, ainsi que de prendre le contrôle du système.

 

Codes d’exploitation

La semaine dernière, trois codes d’exploitation ont été publiés.

Le premier affecte les produits Cisco IOS. Il permet d’envoyer des paquets spécialement conçus dans le but de prendre le contrôle du système distant. Un correctif est disponible. [7]

Le second affecte le CMS Joomla!. La preuve de concept permet de récupérer les sessions des comptes super administrateurs ou administrateurs présents au sein du CMS. Un correctif est disponible. [8]

Le dernier affecte Windows. La preuve de concept permet de dérober des fichiers au sein du système vulnérable. Un correctif est disponible. [9]

 

Informations

Vulnérabilités

Selon Roman Mueller, chercheur en sécurité chez Infosec, l’application iOS Camera (chargée de n’analyse de QR code) est affectée par un bug qui pourrait être exploité par des pirates afin de rediriger les utilisateurs vers un site malveillant. La faille de sécurité affecte la dernière version d’iOS (11) pour iPhone, iPad et iPod Touch. [10]

Après les vulnérabilités Spectre et Meltdown, 4 chercheurs annoncent avoir découvert une nouvelle faille baptisée BranchScope, affectant les processeurs Intel. Les chercheurs affirment avoir proposé plusieurs contre-mesures pour protéger la conception des futurs processeurs. Pour le moment, Intel n’a pas réagi et aucune information concernant les potentiels impacts de la vulnérabilité n’est connue. [11]

International

Des chercheurs de la société Morphisec ont découvert qu’un fichier Flash malveillant (exploitant la vulnérabilité Adobe Flash référencée CVE-2018-4878) avait été déposé discrètement sur la page d’accueil du site d’un opérateur Telecom hongkongais. L’attaque avait pour cible la population chinoise, le correctif pour la vulnérabilité est disponible depuis février 2018. Les différents rapports d’analyses sont unanimes quant à l’origine des attaquants : ce malware est issu d’une APT nord-coréenne. [12]

Attaques

L’entreprise SS8 Networks a publié son analyse rétrospective des techniques d’évasion et d’exfiltration utilisées par les cybercriminels en 2017. On peut retenir de ce rapport que certaines de ces techniques sont bien connues et utilisées massivement (phishing, utilisation de SSH, utilisation de serveurs DNS internes pour de la reconnaissance). On retient également l’émergence de nouvelles techniques liées aux technologies en vogue comme l’utilisation du réseau TOR ou des cryptomonnaies [13].

Vie Privée

La plateforme de communication Slack a mis à jour sa politique de confidentialité il y a quelques jours. Ainsi, les abonnés des services premium peuvent télécharger les conversations privées et publiques des membres de leurs communautés sans aucune notification. L’entreprise a justifié cette mesure en déclarant que ces changements avaient pour but de préparer les clients Premium de Slack à la mise en conformité avec le RGPD. [14]

La CNIL (Commission Nationale de l’Informatique et des Libertés) a décidé mardi 27 mars de mettre l’entreprise Direct Energie en demeure en raison d’une absence de consentement à la collecte des données de consommation issues du compteur communicant Linky. Cette dernière a trois mois pour se mettre en conformité. [15]

Lors de la conférence « PrivacyCon », plusieurs chercheurs et doctorants ont mis en avant des dérives concernant des outils utilisés quotidiennement, qui peuvent mener à des atteintes à la vie privée de leurs utilisateurs. Au-delà du réseau social Facebook, d’autres outils ont été évoqués, tels que des extensions de navigateur (AdBlocker, Speak it, etc.) et des applications mobiles (Meet24, FastMeet, Waplog, Period & Ovulation Tracker, etc.). Elles sont massivement utilisées, mais les enjeux en termes de protection de la vie privée sont mal perçus par leurs utilisateurs. [16]

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


 Références portail XMCO

CXA-2018-1283
CXN-2018-1319
CXA-2018-1247
CXA-2018-1257
CXA-2018-1249
CXA-2018-1339
CXA-2018-1312
CXA-2018-1326
CXA-2018-1334
CXN-2018-1298
CXN-2018-1284
CXN-2018-1279
CXN-2018-1237
CXN-2018-1275
CXN-2018-1270
CXN-2018-1252


Antoine Dumouchel