Résumé de la semaine du 26 février au 2 mars

Résumé de la semaine du 26 février au 2 mars

Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.


Correctifs

Le CERT-XMCO recommande en priorité l’application des correctifs publiés pour les routeurs Cisco [1], F5 [2], ainsi que Citrix NetScaler [3]. L’exploitation des vulnérabilités associées permettait à un attaquant de provoquer un déni de service, de voler et manipuler des données, de contourner des restrictions de sécurité voire de prendre le contrôle du système.

 

Codes d’exploitation

La semaine dernière, cinq codes d’exploitation ont été publiés.

Le premier affecte les smartphones iOS et se matérialise sous la forme d’un code en langage C. Ce code exploite un défaut dans le calcul de l’identifiant de session permettant à un service de s’identifier sur le service « bluetoothd ». En incitant un utilisateur à ouvrir une application malveillante, un pirate était alors en mesure d’exécuter du code hors de la sandbox. [4a][4b]
Trois codes d’exploitation affectant les produits Asterisk ont par ailleurs été publiés.
Les preuves de concept se matérialisent sous la forme de codes en Python. Ces codes permettent de forger des requêtes spécifiques via divers paramètres vulnérables afin de provoquer un déni de service. [5a][5b][5c][5d]

Enfin, un code d’exploitation affectant les systèmes Windows 8.1 et Windows Server 2012 a été publié. Sous la forme d’un code Python, ce code peut être utilisé pour créer un serveur SMB malveillant écoutant sur le port TCP/445. En incitant un utilisateur de se connecter à ce serveur, un attaquant est alors capable de mettre le système du client en état de déni de service en envoyant une réponse malveillante spécialement conçue. [6]

 

Informations

Il y a quelques jours, un article a été publié sur le site Zataz.com, indiquant qu’une plateforme sur le darkweb proposait à la vente les données des clients de différentes sociétés françaises (voir CXN-2018-0820). Bien que le nom du site n’ait pas été divulgué, le CERT-XMCO a pu retrouver le site d’origine, et a analysé les informations mises en vente. [7]

En début de semaine, d’importantes attaques de déni de service distribué par amplification ont été observées. Ces attaques reposent sur l’exploitation de serveurs hébergeant un service Memcached exposé sans protections sur internet. Cette attaque a été découverte par l’équipe chinoise « 0Kee Team ». Ce type d’attaque a par la suite été utilisé à l’encontre du site Github. [8a][8b][8c][8d][8e][8f]

Les chercheurs en sécurité de la société Sitelock ont découvert une centaine de sites infectés par un malware composé de fichiers encodés par ionCube, se faisant passer pour des fichiers légitimes. ionCube est une technologie d’encodage utilisée afin de protéger les logiciels PHP contre la visualisation, le changement et l’exécution sur des ordinateurs non autorisés. Suite à cela, une analyse plus poussée a permis de révéler 700 autres sites infectés, totalisant environ 7 000 fichiers corrompus. [9]

Un article rédigé par Heather Burns, spécialiste du droit numérique à Glasgow, a pour objectif de décrire l’impact que le RGPD (règlement général sur la protection des données) va avoir sur les processus de développement web et l’impact auprès des développeurs. Il se trouve que les développeurs Web ont un rôle majeur à jouer dans l’application du RGPD, car les bonnes pratiques de développement sécurisé en matière de protection des données concernent autant le côté développement que le côté gestion de l’entreprise. [10a][10b]

Les personnes ayant obtenu un certificat pour leur site Web auprès de Trustico pourraient bien voir leur certificat être révoqué dans les prochaines 24h. Selon Jeremy Rowley, chef de produit chez DigiCert, Trustico a déclaré dans la matinée à DigiCert que ses certificats vendus avaient été « compromis » et que les certificats devaient être révoqués en masse. Après avoir demandé une preuve de la compromission, DigitCert aurait alors reçu de Trustico un e-mail contenant 23 000 clés privées issues des certificats vendus par Trustico. [11a][11b]

Suite à la découverte d’une faille de sécurité dans le système de paiement sans contact par des chercheurs de MoneySavingExpert en septembre 2016, les sociétés Visa, MasterCard et American Express sont toujours en train d’appliquer les correctifs. Visa, MasterCard et American Express ont annoncé la révision de leur système de gestion des paiements sans contact. La révision est opérationnelle pour les transactions Visa depuis octobre dernier, MasterCard a fixé cet objectif pour mars 2018. [12a][12b]

La société Cellebrite a récemment fait parler d’elle suite à l’affaire opposant Apple et le gouvernement américain concernant le déverrouillage de l’iPhone du terroriste de San Bernardino. Cellebrite est une société israélienne spécialisée dans la cybersécurité, connue notamment pour aider les agences gouvernementales du monde entier dans leurs enquêtes. À travers une brochure publicitaire, Cellebrite affiche désormais clairement qu’elle permet le déverrouillage des appareils mobiles d’Apple : iPhone, iPad, iPad mini, iPad Pro, iPod touch, sous iOS 5 à iOS 11. Android n’est pas en reste puisque les Samsung Galaxy, Galaxy Note ainsi que d’autres marques sont données en exemple. [13a][13b]

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


Références portail XMCO

[1] CXA-2018-0827
[2] CXA-2018-0916
[3] CXA-2018-0917
[4] CXA-2018-0883
[5] CXA-2018-0878
[6] CXA-2018-0877
[7] CXN-2018-0924
[8] CXN-2018-0921
[9] CXN-2018-0905
[10] CXN-2018-0901
[11] CXN-2018-0895
[12] CXN-2018-0838
[13] CXN-2018-0849


Jean-Christophe Pellat

Cert-XMCO