Résumé de l’actualité de la semaine #42 (du 15 au 19 octobre)

Résumé de l’actualité de la semaine #42 (du 15 au 19 octobre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’installation des correctifs publiés par Oracle pour ses produits lors du Critical Patch Update d’octobre 2018. Parmi les 301 vulnérabilités corrigées, 3 étaient critiques et permettaient à un attaquant distant de prendre le contrôle de serveurs Oracle WebLogic de manière triviale [1].

Il est également conseillé d’installer les correctifs de sécurité pour Drupal [2], VMWare [3] et jQuery File Upload [4a][4b]. Les failles concernant Drupal permettaient de prendre le contrôle du système, et de rediriger l’utilisateur vers des sites malveillants. La faille concernant VMWare permettait à un attaquant de prendre le contrôle du système hôte depuis une machine virtuelle. La faille impactant jQuery File Upload permettait à un attaquant d’uploader des fichiers arbitraires à travers du plug-in.

Codes d’exploitation

Durant cette semaine, une vulnérabilité affectant les routeurs D-Link a été publiée, ainsi qu’une preuve de concept.

Un attaquant est en mesure de parcourir les répertoires, pour trouver un mot de passe stocké en clair, puis d’exécuter du code arbitraire une fois authentifié, pouvant ainsi prendre le contrôle du système [5]. Aucun correctif n’est disponible pour le moment.

De plus, 3 codes d’exploitation ont été publiés.

Le premier affecte la validation des privilèges dans le système NTFS des systèmes Microsoft Windows, à partir de Windows 7. Un attaquant est en mesure de lister le contenu d’un dossier pour lequel il n’a pas les permissions d’accès. Un correctif est disponible [6].

Le deuxième affecte Microsoft Edge, à partir de Microsoft Windows 10. L’attaquant est en mesure d’exécuter du code VBScript arbitraire et de prendre le contrôle du système. Un correctif est disponible [7a][7b].

Le troisième affecte la commande git clone de Git. L’attaquant est en mesure d’exécuter du code arbitraire à partir d’un dépôt Git, et de prendre le contrôle du système. Un correctif est disponible [8a][8b].

 

Informations

Piratage

La bibliothèque multiplateforme Libssh était vulnérable à un contournement d’authentification. Les attaquants pouvaient envoyer un message ‘SSH2_MSG_USERAUTH_SUCCESS’ à la place d’un message ‘SSH2_MSG_USERAUTH_REQUEST’ afin d’être authentifiés sans fournir d’identifiants [9].

Les routeurs MikroTik ont été massivement infectés par des mineurs de cryptomonnaies. On en dénombrerait plus de 200 000 [10]. Cependant, un pirate s’introduirait aussi sur les routeurs afin de les désinfecter, puis d’y déployer le correctif développé par MikroTik et d’empêcher d’autres pirates de réexploiter la faille [11]. Il aurait désinfecté plus de 100 000 routeurs.

Sécurité

Le gouvernement britannique et le NCSC ont mis en place et publié un guide de bonne conduite pour les entreprises développant et fabriquant des objets connectés. Celui-ci définit 13 grandes lignes directrices. Un second guide destiné aux utilisateurs et un plan d’action ont également été publiés [12]. HP Inc. et Centrica Hive sont les deux premières entreprises à s’engager à respecter ce guide.

Les navigateurs Chrome, Firefox, Edge et Safari prévoient d’arrêter le support des versions de TLS vulnérables d’ici mi-2020. Ainsi, TLS 1.0 et TLS 1.1 ne seront bientôt plus supportés. Cela ne devrait pas avoir d’impact négatif, puisque 94 % des sites web actuels utilisent déjà TLS 1.2 [13].

Vie privée

Les informations de nombreux citoyens américains ont fuité. D’un côté, ce sont les données de 35 millions d’électeurs (incluant nom, prénom, adresse et historique de vote) qui sont disponibles à la vente sur un forum pirate depuis début octobre. La source de ces données n’est pas connue pour le moment [14a][14b]. De l’autre, c’est les informations personnelles et les données de cartes bancaires d’au moins 30 000 employés du Département de la Défense américain qui ont fuité, il y a plusieurs mois [15].

En France, le Conseil d’État a rejeté les requêtes contre la création du mégafichier regroupant les données personnelles et biométriques des citoyens français disposant d’une carte d’identité ou d’un passeport. Ce fichier, appelé le TES (Titres Electroniques Sécurisés), qui a été créé en octobre 2016, va donc devenir actif. C’est donc les données concernant près de 60 millions de Français qui vont être centralisés [16].

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco


Références portail XMCO

[1] CXN-2018-4249
[2] CXA-2018-4270
[3] CXA-2018-4228
[4] CXN-2018-4287
[5] CXA-2018-4260
[6] CXA-2018-4271
[7] CXA-2018-4188
[8] CXA-2018-4291
[9] CXN-2018-4254
[10] CXN-2018-4173
[11] CXN-2018-4192
[12] CXN-2018-4199
[13] CXN-2018-4194
[14] CXN-2018-4197
[15] CXN-2018-4198
[16] CXN-2018-4301


Jean-Christophe Pellat

Cert-XMCO