Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par F5 pour les produits BIG-IP [1a] [1b], par Palo Alto pour PAN-OS [2], pour PrestaShop [3], par Google pour Android [4] ainsi que par Citrix pour ses produits [5]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 4 codes d’exploitation ont été publiés par le CERT-XMCO. Des correctifs sont disponibles pour chacun d’entre eux.

F5 BIG-IP [6]

Ce code d’exploitation est un module en Ruby pour le framework offensif Metasploit. Un attaquant pouvant accéder à l’interface TMUI peut exécuter ce code d’exploitation afin d’exécuter du code arbitraire ou de télécharger un fichier arbitraire sur le système.

Grafana [7]

Ce code d’exploitation est un programme écrit en bash. Un attaquant peut utiliser ce code d’exploitation afin de provoquer un déni de service via l’envoi d’une requête HTTP spécifiquement conçue vers le serveur Grafana.

Nagios XI [8]

Ce code d’exploitation est un script Python. Un attaquant authentifié et distant peut l’utiliser afin d’injecter des commandes arbitraires sur le système.

SuperMicro X10DRH-iT [9]

Enfin, le dernier code d’exploitation se présente sous la forme d’une page HTML. Si une victime authentifiée visite cette page, alors un compte administrateur sera ajouté silencieusement sur le système.

Informations

Vulnérabilité

Découverte d’un contournement du correctif à la prise de contrôle à distance dans F5 BIG-IP [10a] [10b]

Des chercheurs de la TeamAres de CriticalStart ont découvert que les mesures de prévention proposées pour prévenir l’exploitation de la vulnérabilité CVE-2020-5902 pouvaient être contournées. Ainsi, étant donné que seule la mise à jour permet de corriger le problème sous-jacent qui provoque la vulnérabilité, il est fortement recommandé d’effectuer cette mise à jour dans les plus brefs délais.

Vie privée

L’application DuckDuckGo accusée de récupérer les noms d’hôtes visités par ses utilisateurs [11a] [11b]

Le moteur de recherche DuckDuckGo, conçu et réputé pour le respect de la vie privée de ses utilisateurs, se trouve depuis la semaine dernière au centre d’une polémique. Certains de ses utilisateurs ont démontré, code à l’appui, que les noms d’hôtes qu’ils visitaient étaient systématiquement communiqués à un serveur hébergé par DuckDuckGo.

Seize applications utilisant les services de Facebook partagent des données personnelles avec des tiers [12a] [12b]

Des chercheurs ont mis au point une méthode permettant de détecter quand une application utilisant les services Facebook partage des données personnelles avec un tiers. Baptisée CanaryTrap, elle repose sur l’utilisation d’honeytokens, de fausses données placées volontairement sur un système informatique afin de détecter une utilisation frauduleuse (en surveillant l’utilisation de ces données).

Juridique

Une action menée par la gendarmerie française a permis la compromission d’un large réseau de communication utilisé par le crime organisé et à l’arrestation de nombreux malfaiteurs [13a] [13b]

La gendarmerie française est à l’initiative du démantèlement de larges réseaux criminels principalement en Europe, mais aussi dans de nombreux autres pays autour du globe. Menée conjointement par plusieurs offices rattachés à la gendarmerie et dirigée par le Centre de lutte Contre les Criminalités Numériques (C3N), rassemblant plus d’une soixantaine de gendarmes. Cela a été possible par le piratage et la surveillance d’un large réseau de communication utilisé par les criminels. Ce réseau reposait sur des téléphones, applications et solutions très sécurisés conçus et vendus par la société Encrochat, spécialisée dans ce domaine.

Le groupe Lazarus serait lié aux attaques de vol de cartes de crédit contre les magasins américains [14]

Selon une nouvelle étude, le groupe nord-coréen Lazarus vole depuis plus d’un an les informations relatives aux cartes de paiement des clients des grands distributeurs aux États-Unis et en Europe. Le vol d’informations de cartes de crédit des clients des magasins en ligne est devenu une menace croissante au cours des dernières années.

Attaque

Détournement de plus de 240 sous-domaines appartenant à de grandes entreprises [15a] [15b]

Des sous-domaines hébergés sur le cloud de Microsoft, Azure, appartenant à de grandes entreprises internationales, ont été détournés par des pirates afin de distribuer des malwares ou de rediriger vers du contenu arbitraire. Le problème provient en partie de la mauvaise gestion de ces grandes sociétés de leurs sous-domaines, ainsi que de l’absence de suivi proposé par Azure dans ce cadre.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.

Références portail XMCO

[1] CXA-2020-3446
[2] CXA-2020-3524
[3] CXA-2020-3455
[4] CXA-2020-3467
[5] CXA-2020-3515
[6] CXA-2020-3452
[7] CXA-2020-3469
[8] CXA-2020-3476
[9] CXA-2020-3534
[10] CXN-2020-3536
[11] CXN-2020-3445
[12] CXN-2020-3459
[13] CXN-2020-3481
[14] CXN-2020-3472
[15] CXN-2020-3504