Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Firefox [1] [2], Google Chrome [3], Android [4], Nagios XI (Nagios Enterprise) [5], Redmine [6], Apache HTTPd Server 2.4.x [7] et Juniper Junos OS [8] [9].
L’exploitation des vulnérabilités associées permettait à un attaquant de provoquer des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 4 codes d’exploitation ont été publiés.

Contournement de sécurité et manipulation de données via 2 vulnérabilités au sein de LimeSurvey [10a] [10b]

Ces codes d’exploitation se présentent sous la forme de requêtes HTTP. Un attaquant peut donc rejouer ces requêtes contre une version vulnérable pour exploiter ces vulnérabilités. Un correctif de sécurité est disponible.

Prise de contrôle du système via une vulnérabilité d’OpenWRT [11]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Bash faisant appel à un module python. En exécutant ce programme, un attaquant peut exécuter du code arbitraire sur le système de sa victime. Un correctif de sécurité est disponible.

Contournement de sécurité et divulgation d’informations via une vulnérabilité au sein de Windows [12]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme, un attaquant est en mesure de récupérer la liste des serveurs possédant le même mot de passe administrateur que la machine locale et qui sont accessibles depuis la machine visée. Aucun correctif de sécurité n’est disponible.

Manipulation de données et divulgation d’informations via une vulnérabilité au sein de pfSense [13]

Ce code d’exploitation se présente sous la forme d’une requête HTTP POST. Un attaquant envoyant cette requête spécifiquement forgée est en mesure de créer un nouvel utilisateur au sein de la fonctionnalité User Manager. Un correctif de sécurité est disponible.

Informations

Vulnérabilité

Plus de 80% des serveurs Exchange exposés ne sont pas mis à jour pour empêcher l’exploitation de la vulnérabilité CVE-2020-0688 [14]

La CVE-2020-0688 est une vulnérabilité qui permet à un utilisateur d’exécuter du code arbitraire sur le système en tant qu’administrateur. Cette vulnérabilité affecte toutes les versions de Microsoft Exchange Server. La firme derrière Metasploit, Rapid7, a récemment utilisé son outil ProjectSonar pour découvrir des serveurs Exchange exposés sur Internet. Sur ces 433 464 serveurs Exchange, 82,5% d’entre eux n’ont pas été mis à jour.

Un chercheur en sécurité découvre 7 vulnérabilités au sein du navigateur Safari dont 3 permettent entre autres d’accéder à la caméra et au micro de l’appareil sous-jacent [15]

Un chercheur en sécurité a découvert 7 vulnérabilités 0day au sein du navigateur phare d’Apple, Safari. Safari est le navigateur Web par défaut sur les systèmes iOS (iPhone/iPad) ainsi que macOS. Parmi ces 7 vulnérabilités, trois d’entre elles permettaient d’accéder arbitrairement à la caméra et au microphone de la victime à l’aide d’une page ou d’un lien spécifiquement conçu.

Les PC Windows exposés à des attaques via des vulnérabilités critiques au sein du support d’assistance HP [16]

10 vulnérabilités au sein de l’assistant de support HP exposent les machines Windows à des élévations de privilèges, des effacements de fichiers arbitraires et à des exécutions de code arbitraire à distance.

Entreprise

Des centaines de dispositifs de suivis de tâches, exposés à cause du COVID-19 [17]

Malgré les précautions prises par les entreprises qui ont dû se mettre dans des conditions de télétravail, on ne sait pas encore les implications qu’un tel changement de pratiques entrainera. Des outils comme Atlassian JIRA ou encore ASANA, aident les salariés à gérer leur emploi du temps grâce à un système de tâches qui leur sont assignées sous forme de tickets. Et si ces systèmes de créations de tâches sont exposés publiquement, des pirates pourraient s’y intéresser.

La solution de vidéoconférence Zoom a fait transiter des appels en Chine malgré la géolocalisation de ses utilisateurs [18]

Une fois de plus, le logiciel de vidéoconférence Zoom est mis à l’épreuve. En effet, les chercheurs de Citizen Labs ont révélé que certains appels placés en Amérique du Nord transitaient par des serveurs en Chine.

Fuite d’informations

Les données de plus de 600 000 comptes de messagerie Email.it sont en vente sur le Dark Web [19]

Le groupe de pirates nommé NN (No Name) Hacking Group a publié sur Twitter une annonce concernant la mise en vente des données de plus de 600 000 utilisateurs du service de messagerie italien Email.it. Selon le communiqué publié sur le site du groupe, la compromission des serveurs aurait eu lieu en janvier 2018.

352 comptes Zoom volés sont distribués gratuitement sur le dark Web [20]

Le service de visioconférence Zoom, très populaire depuis la mise en place de mesures de confinement dans de nombreux pays, a récemment connu une série d’incidents de sécurité plus ou moins critiques. Des chercheurs de la société Sixgill ont récemment trouvé un lot de 352 comptes Zoom distribués gratuitement sur un forum du Dark Web. Les données contenaient notamment l’adresse email, le mot de passe, le message de bienvenue et le nom d’hôte des utilisateurs.

Cybercriminalité

Le malware Emotet utilisé pour causer des dommages matériels [21]

Microsoft a récemment dévoilé des informations sur une attaque subie par un de ses clients, désigné dans son étude par l’alias Fabrikam. Dans ce cadre-là, Emotet a été utilisé afin de faire surchauffer les processeurs pour endommager les équipements physiques.

Une augmentation de l’utilisation d’exploit 0-day a été observée [22a] [22b]

Une étude menée par FireEye a récemment montré que l’année 2019 a battu un record sur l’utilisation de vulnérabilités 0-day par les attaquants. D’après FireEye, cette popularisation est due à des groupes privés d’experts en sécurité vendant leurs outils à un public plus large.

Malware

Des ports d’API Docker mal configurés cibles du logiciel malveillant Kinsing [23a] [23b]

Des chercheurs en sécurité ont récemment découvert une campagne d’attaques via le logiciel malveillant Kinsing. Cette campagne vise des ports d’API Docker mal configurés. Profitant d’un port d’API Docker exposé sur Internet sans protections, les attaquants ont été en mesure d’instancier un conteneur Ubuntu leur permettant d’exécuter des mineurs de cryptomonnaies sur les machines affectées.

De faux installateurs Zoom utilisés pour charger des logiciels malveillants [24]

Avec la popularisation du service de vidéoconférence Zoom, des pirates tentent de plus en plus d’exploiter ce service, notamment grâce à la diffusion de paquets d’installation modifiés auxquels sont attachés des logiciels malveillants (comme Coinminer), des chevaux de Troie ou encore des adwares (forme de logiciel malveillant qui se cache sur un système et propose des publicités souvent intrusives).

Juridique

Le département de la justice américain déclare le Zoom-Bombing illégal et potentiellement puni par de la prison [25]

Zoom (un logiciel de vidéoconférence) fait face à de nombreux problèmes de sécurité, dont le Zoom-Bombing. Cette pratique permet de s’infiltrer dans des réunions Zoom, voire de faire crasher la réunion en question. Le département de la justice américain a désormais déclaré le Zoom-Bombing illégal et punissable d’amendes voire de prison dans l’état du Michigan.

Vie privée

COVID-19 ou la tentation de « la surveillance numérique de masse » [26]

Pour lutter contre la propagation du virus COVID-19, les États souhaitent recourir à l’utilisation du numérique et plus précisément aux données des téléphones portables. Les épidémiologistes et les pouvoirs publics voient en la géolocalisation un moyen d’identifier les flux de population et donc de surveiller à la trace la propagation du virus voire de prévenir les personnes en contact avec des malades dans leur entourage. En France, Orange travaille en collaboration avec l’INSERM et l’AP-HP en fournissant les données de géolocalisation de ses clients.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.

Références portail XMCO

[1] CXA-2020-1787
[2] CXA-2020-1728
[3] CXA-2020-1776
[4] CXA-2020-1755
[5] CXA-2020-1781
[6] CXA-2020-1753
[7] CXA-2020-1732
[8] CXA-2020-1803
[9] CXA-2020-1808
[10] CXA-2020-1752
[11] CXA-2020-1780
[12] CXA-2020-1745
[13] CXA-2020-1741
[14] CXN-2020-1756
[15] CXN-2020-1724
[16] CXN-2020-1722
[17] CXN-2020-1720
[18] CXN-2020-1718
[19] CXN-2020-1788
[20] CXN-2020-1809
[21] CXN-2020-1784
[22] CXN-2020-1754
[23] CXN-2020-1777
[24] CXN-2020-1747
[25] CXN-2020-1721
[26] CXN-2020-1713