Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Cisco Data Center Network Manager [1], pour plusieurs produits Riverbed [2], pour Magento 1 [3] et Magento 2 [4] et pour Typo3 [5]. Ces vulnérabilités permettaient à un attaquant de provoquer un déni de service, de contourner des restrictions de sécurité voire de prendre le contrôle d’un système.
Codes d’exploitation
Cette semaine, 6 codes d’exploitation ont été publiés.
Webmin [6]
Ce code d’exploitation impacte Webmin (Unix). Il se matérialise sous la forme d’un programme écrit en Ruby pour le framework offensif Metasploit. Le code d’exploitation injecte une commande arbitraire à travers un paramètre de la commande de mise à jour. Aucun correctif de sécurité n’est disponible à l’heure actuelle.
Windows 10 [7] [8]
Deux codes d’exploitations impactent Windows 10.
Le premier code d’exploitation se présente sous la forme d’un programme écrit en C#. En exécutant ce programme, un attaquant est en mesure d’abuser du mécanisme de transaction des conteneurs de logs afin d’élever ses privilèges sur le système. Un correctif est disponible.
Le second se présente sous la forme d’un programme écrit en C#. En incitant sa victime à ouvrir ce programme, un attaquant est alors en mesure de communiquer avec le service Windows Font Cache Service afin de corrompre sa mémoire et d’élever ses privilèges sur le système. Un correctif est disponible.
ABB [9]
Ce code d’exploitation, à l’état de PoC (proof of concept), affecte les produits ABB CP6XX. Ce PoC se présente sous la forme d’un programme écrit en C++. Un attaquant, ayant remplacé un binaire déjà existant sur l’IHM cible, peut exécuter du code à distance. Un correctif est disponible.
Nagios XI [10]
Ce code d’exploitation impacte Nagios XI et tire parti de deux vulnérabilités. Il se présente sous la forme d’un module pour le framework offensif Metasploit écrit en Ruby. En exécutant ce module, un attaquant est capable d’obtenir un webshell et un exécutable Meterpreter (invité de commandes à distance aussi appelé reverse shell). Un correctif est disponible.
pfSense [11]
Enfin, un code d’exploitation impactant pfSense a été publié. Celui-ci se présente sous la forme d’une page web écrite en HTML et contenant du JavaScript. En incitant un administrateur pfSense authentifié à cliquer sur un bouton de cette page, l’attaquant est en mesure de contourner des restrictions de sécurité et d’exécuter du code arbitraire. Aucun correctif de sécurité n’est disponible à l’heure actuelle.
Informations
Guide
L’État français publie un kit de sensibilisation aux bonnes pratiques de sécurité informatique [12]
L’État français a publié un kit de sensibilisation aux bonnes pratiques de sécurité informatique, destiné au grand public. Pour chaque thème, le kit propose une vidéo, une fiche complète et un mémo. Un quiz permet également de tester la compréhension des bonnes pratiques détaillées dans le kit.
Attaques
La cyberattaque des États-Unis sur l’Iran risque d’impacter les entreprises américaines [13]
Suite aux tensions de la semaine dernière entre les États-Unis et l’Iran, des cyberattaques pourraient impacter les entreprises américaines. Les analystes s’attendent à ce que l’Iran se concentre sur des cibles accessibles notamment des infrastructures américaines telles que les sociétés pétrolières, gazières et électriques ainsi que le secteur privé.
Des pirates ont réussi à dérober des données de réseaux cellulaires [14]
Des chercheurs de Cybereason indiquent avoir découvert une campagne d’espionnage à grande échelle (baptisée Operation Soft Cell), au cours de laquelle des données appartenant à des fournisseurs de téléphonie auraient été dérobées. Les pirates auraient ainsi mis la main sur plusieurs centaines de gigaoctets de données concernant au moins 20 personnes spécialement ciblées. Ces données comporteraient la date de chaque appel émis ou reçu, ainsi que la position géographique de l’appareil au moment de l’appel.
La NASA piratée à cause d’un Raspberry Pi [15]
La NASA a confirmé cette semaine avoir subi un piratage l’année dernière. Les détails de cette attaque ont été rendus publics dans un rapport d’audit réalisé par l’Office of Inspector General. D’après le document, le piratage remonte à avril 2018. Pour s’infiltrer, les attaquants ont exploité une faille repérée dans le module d’un Raspberry Pi connecté au réseau du laboratoire de recherche Jet Propulsion Laboratory (JPL). Ils ont ainsi pu dérober 500 Mo de données provenant de 23 fichiers différents.
Des attaquants utilisent des sociétés d’infogérance pour déployer des malwares chez leurs clients [16]
La semaine dernière, un utilisateur du site Reddit a annoncé avoir observé le déploiement du ransomware Sodinokibi par des attaquants ayant infecté des sociétés d’infogérance. De plus amples investigations ont permis de déterminer que le ransomware avait été déployé au travers de la console d’administration à distance de l’antivirus SecureAnywhere édité par Webroot.
Malware
Un malware contourne les permissions SMS d’Android pour déjouer l’authentification à double facteur [17]
Des chercheurs d’ESET ont récemment découvert plusieurs applications Android se faisant passer pour l’application turque d’échange de cryptomonnaies BtcTurk. Lors de leur ouverture, elles affichent un formulaire d’authentification similaire à celui de l’application usurpée. Les identifiants de l’utilisateur sont récupérés par l’attaquant, et la victime voit apparaitre un message d’erreur indiquant que l’authentification a échoué.
Juridique
Près de 600 entreprises sensibles françaises seront soumises à des obligations de sécurité particulières d’ici 2020 [18]
Un responsable de l’ANSSI a indiqué que la France devrait compter près de 600 entreprises considérées comme opérateur d’importance vitale (OIV) ou opérateur de service essentiel (OSE) d’ici 2020. Il existe actuellement 200 OIV. L’ANSSI assistera l’État dans la définition de la liste des entreprises à désigner comme OSE. Elle sera également chargée de vérifier que les préconisations de sécurité imposées par l’État sont bien appliquées. L’ANSSI espère également que les obligations de sécurité imposées aux OIV et OSE seront diffusées à leurs prestataires.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2019-2910
[2] CXA-2019-2877
[3] CXA-2019-2900
[4] CXA-2019-2912
[5] CXA-2019-2913
[6] CXA-2019-2837
[7] CXA-2019-2878
[8] CXA-2019-2879
[9] CXA-2019-2883
[10] CXA-2019-2895
[11] CXA-2019-2909
[12] CXN-2019-2899
[13] CXN-2019-2911
[14] CXN-2019-2887
[15] CXN-2019-2880
[16] CXN-2019-2856
[17] CXN-2019-2876
[18] CXN-2019-2830
