Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Cisco pour Cisco IOS XE [1], pour WordPress [2], par Google pour Google Chrome [3], pour Ruby on Rails [4], par VMWare pour plusieurs de ses produits [5], pour NTPd [6] et pour Rancher [7]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 3 codes d’exploitation ont été publiés. Des correctifs sont disponibles pour chacune des vulnérabilités.
Élévation de privilèges via une vulnérabilité au sein de Cisco AnyConnect Secure Mobility Client [8]
Ce code d’exploitation se présente sous la forme d’un module écrit en Ruby pour le framework offensif Metasploit et permet d’obtenir les privilèges NT AUTHORITÉSYSTÈME.
Prise de contrôle d’un système via 3 vulnérabilités au sein de Trend Micro InterScan Web Security Virtual Appliance [9]
Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. En exécutant ce programme, un attaquant distant et non authentifié est en mesure d’exécuter du code arbitraire en tant que root sur le système.
Prise de contrôle d’un système à distance via une vulnérabilité au sein de Ruby on Rails [10]
Ce code d’exploitation se présente sous la forme d’un programme écrit en Ruby. En envoyant une requête spécifiquement conçue, un attaquant est alors en mesure d’exécuter du code arbitraire sur le système.
Informations
Fuite d’informations
Vol et publication de données sensibles issues de près de 200 départements de la police américaine et centres de fusion [11]
Les fichiers, dénommés BlueLeaks ont été publiés par Distributed Denial of Secrets (DDoSecrets). Ce groupe se décrit comme un collectif pour la transparence et est parfois considéré comme une alternative à Wikileaks dans le cadre de la publication de données secrètes. Plus de 270 Gigaoctets de données ont été publiées contenant près de 10 ans de données issues de plus de 200 départements de la police et centres de fusion inter agences.
Juridique
Le compte Twitter de DDoSecrets a été suspendu suite à l’affaire BlueLeaks [13]
Il y a quelques jours, des données appartenant à plus de 200 organisations liées à la police américaine ont été publiées sur le compte Twitter DDoSecrets (affaire BlueLeaks). Le compte a été définitivement suspendu par Twitter, qui évoque une violation de ses conditions d’utilisation concernant la publication de données issues de piratage (notamment lorsque leur publication peut mettre en danger l’intégrité physique des personnes concernées).
Ransomware
Le CERT de Nouvelle-Zélande alerte d’une nouvelle campagne de ransomware [12a] [12b]
Le CERT de Nouvelle-Zélande a récemment publié une alerte concernant une nouvelle campagne de ransomware. L’acteur à l’origine de l’attaque n’a pas encore été identifié, mais une description sommaire du mode opératoire a été faite.
Un nouveau rançongiciel se fait passer pour une application de suivi des contacts COVID-19 sous Android [14]
Les chercheurs travaillant pour l’éditeur de solution de sécurité ESET ont récemment mis au jour un nouveau rançongiciel, s’attaquant aux applications de suivi de contact, utilisées dans la lutte contre le COVID 19 (StopCovid, COVID Alert, etc). Ce dernier aurait fait surface juste après que l’application canadienne COVID Alert ait été lancée en phase de test dans la ville d’Ontario.
Les pirates informatiques utilisant des rançongiciels se cachent sur le réseau après leur attaque [15]
Lorsqu’une entreprise est victime d’une attaque par rançongiciel, de nombreuses victimes ont le sentiment que les attaquants déploient rapidement la demande de rançon et partent pour ne pas se faire prendre. Malheureusement, la réalité est bien différente, car les attaquants ne sont pas aussi rapides à abandonner une ressource qu’ils ont réussi à contrôler.
Malware
Des pirates utilisent de faux journaux d’erreurs de Windows pour masquer un logiciel malveillant [16]
Le groupe de recherche Huntress Labs a découvert récemment que des cybercriminels ont employé de faux journaux d’erreurs Windows pour cacher du code en hexadécimal qui, une fois déchiffré, se transforme en une charge malveillante qui prépare le terrain pour d’autres attaques.
Un nouveau malware cible les machines Windows [17]
Un nouveau malware nommé Lucifer possédant de très nombreuses fonctionnalités a été découvert. Pour accéder au système de sa victime, celui-ci va tenter d’exploiter une grande quantité de vulnérabilités connues afin d’exécuter du code arbitraire. Il va également tenter une attaque par force brute sur certains services, avec une liste de mots de passe connus.
Nouvelles fonctionnalités dans le bootkit Rovnix [18]
Durant le mois d’avril, certains systèmes de surveillance de menaces ont détecté des fichiers malveillants distribués sous le nom de à la nouvelle initiative de la Banque mondiale en rapport avec la pandémie de coronavirus (en russe) avec une extension EXE ou RAR. À l’intérieur de ces fichiers se trouvait le bootkit Rovnix.
Un skimmer Web utilise le service Google Analytics pour passer inaperçu [19]
Des chercheurs de la société Sansec ont découvert un nouveau malware destiné à dérober des données bancaires renseignées sur une page Web. Ce skimmer a la particularité d’exfiltrer les données dérobées en exploitant le service Google Analytics.
Recherche
Scénario d’une attaque utilisant le malware TrickBot [20]
TrickBot est le malware successeur de Dyre, originellement destiné à la fraude bancaire. Au fil des années, TrickBot a évolué pour cibler les environnements d’entreprises. Ce logiciel malveillant peut être utilisé de diverses manières: détection du réseau, collection de données, attaques latérales, etc. Les opérateurs de TrickBot utilisent PowerTrick et Cobalt Strike pour déployer leur porte dérobée et déployer le ransomware Ryuk.
La NSA travaille sur une version de DNS centrée sur la sécurité [21]
Au début de l’année 2019, une campagne imputée au gouvernement iranien a été détectée. L’attaque reposait sur la manipulation d’enregistrements DNS (cf. CXN-2019-0330).
Cette campagne a poussé la division de la NSA dédiée à la sécurité informatique à travailler sur une nouvelle version du protocole DNS, centrée sur la sécurité. Baptisé Secure DNS, ce projet vise à améliorer la sécurité des requêtes DNS émises par les systèmes de sous-traitants du Department of Defense.
L’application mobile dédiée à la campagne de Donald Trump présente une vulnérabilité [22]
Une équipe de chercheurs en cybersécurité a analysé l’application mobile dédiée à la campagne de Donald Trump. Ils ont découvert une vulnérabilité qui aurait pu donner accès à des informations personnelles d’utilisateurs. Les chercheurs de Website Planet en ont informé l’équipe de cybersécurité de la campagne du président américain et la faille a été corrigée en quelques jours.
International
L’armée de l’air Indienne visée par une attaque de haut niveau [23]
Des chercheurs de Cisco Talos ont publié l’analyse d’une campagne en cours utilisant le dropper IndigoDrop. La dernière version de l’attaque utilise les tensions récentes entre la Chine et l’Inde pour s’en prendre à des cibles gouvernementales et militaires indiennes, mais d’autres attaques montrent un intérêt pour les armées et gouvernements d’Asie du Sud en général.
L’Australie subit une cyber attaque d’un acteur étatique [24]
Le 1er ministre australien, Scott Morrison, a annoncé que l’Australie faisait face à de plus en plus de cyber attaques et notamment à l’encontre d’institutions sensibles.
Ces attaques visent de nombreux secteurs telles que le gouvernement, l’industrie, la santé ou encore les fournisseurs de services essentiels. Sans mentionner d’état, le 1er ministre australien a blâmé un « cyber-acteur étatique sophistiqué ».
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2020-3292
[2] CXA-2020-3255
[3] CXA-2020-3257
[4] CXA-2020-3239
[5] CXA-2020-3276
[6] CXA-2020-3281
[7] CXA-2020-3226
[8] CXA-2020-3297
[9] CXA-2020-3264
[10] CXA-2020-3238
[11] CXN-2020-3260
[13] CXN-2020-3305
[12] CXN-2020-3236
[14] CXN-2020-3304
[15] CXN-2020-3261
[16] CXN-2020-3231
[17] CXN-2020-3301
[18] CXN-2020-3284
[19] CXN-2020-3274
[20] CXN-2020-3285
[21] CXN-2020-3242
[22] CXN-2020-3232
[23] CXN-2020-3286
[24] CXN-2020-3228
