Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft[1], Citrix[2], VMWare[3], F-Secure[4], Mozilla[5], Adobe[6], Squid[7], SAP[8] et Cisco[9] [10]. Ces vulnérabilités permettaient à un attaquant d’élever ses privilèges et de prendre le contrôle du système sous-jacent. L’une des vulnérabilités affectant Windows permettant l’élévation des privilèges est actuellement exploitée dans des campagnes d’attaque.
Codes d’exploitation
Cette semaine, 2 codes d’exploitation ont été publiés.
Mozilla Firefox [11]
Ce code impacte Mozilla Firefox. L’exploitation de cette faille permet de provoquer un déni de service.
Ce code d’exploitation se présente sous la forme d’un script écrit en JavaScript. En incitant sa victime à ouvrir ce programme, un attaquant peut provoquer un plantage de l’onglet de Firefox.
Aucun correctif de sécurité n’est disponible à l’heure actuelle.
Huawei HG530 [12]
Ce code d’exploitation impacte les routeurs Huawei HG530 et se présente sous la forme d’un formulaire écrit en HTML. En incitant sa victime à cliquer sur un lien contenant ce formulaire, un attaquant est en mesure de faire redémarrer ou de remettre l’appareil en configuration d’origine, permettant par la suite d’utiliser le compte administrateur par défaut disponible sur Internet afin d’accéder à l’interface d’administration.
Aucun correctif de sécurité n’est disponible à l’heure actuelle.
Informations
Vulnérabilités
Une vulnérabilité découverte dans l’application Zoom permet à un attaquant de compromettre les webcams des utilisateurs Mac [13]
Une vulnérabilité au sein de l’application de vidéoconférence Zoom sur Mac a été découverte. Elle permettait à un attaquant d’activer la webcam des utilisateurs Mac via un lien malveillant.
Au moment de l’écriture de ce résumé, Apple a publié un correctif sur Mac afin de désinstaller les serveurs web Zoom.
Un dépassement de tampon dans la bibliothèque libssh2 permet de lire arbitrairement des parties de la mémoire [14]
Une vulnérabilité (référencée CVE-2019-13115 ) a été découverte dans libssh2. libssh2 est une bibliothèque côté client codée en C qui permet à des applications de se connecter à un serveur SSH.
L’exploitation aboutie de cette vulnérabilité permet de lire des données en mémoire au-delà ce qui est normalement permis.
Attaques
Une backdoor découverte au sein d’une bibliothèque de code Ruby pour vérifier la robustesse des mots de passe [15]
Grâce à son assiduité et à l’application des meilleures pratiques de sécurité, un développeur a découvert une backdoor au sein d’une bibliothèque de code Ruby utilisée pour vérifier la robustesse des mots de passe d’utilisateurs.
La version infectée de la bibliothèque a été téléchargée 537 fois d’après les statistiques du site RubyGem.
Il est important de noter qu’aucune version malveillante de cette bibliothèque n’a été mise en ligne sur le compte GitHub de la bibliothèque.
Canonical, la société derrière la distribution Linux Ubuntu piratée [16]
Canonical, la société derrière la distribution Linux Ubuntu a été piratée le samedi 6 juillet via son compte GitHub, un pirate aurait notamment créé et ajouté 11 répertoires vides sur celui-ci.
Les équipes de sécurité d’Ubuntu ont également indiqué vouloir publier de nouvelles informations une fois l’enquête terminée même si la distribution ne semble pas être affectée à l’heure actuelle.
Une ville de Floride licencie un employé après avoir versé une rançon de 460 000$ en Bitcoin à des pirates [17]
La ville de Lake City en Floride a payé une rançon équivalente à $460 000 en Bitcoin à des attaquants ayant rendu inutilisables les systèmes informatiques de la ville le mois dernier à l’aide d’un ransomware sophistiqué. Des évènements similaires avaient eu lieu à Riviera Beach où une rançon de $600 000 avait été payée quelques semaines auparavant. Suite à cela, Lake City a licencié son directeur des Systèmes d’Informations.
Une attaque par spamming cible l’écosystème PGP [18]
En fin de semaine dernière, deux spécialistes du chiffrement email OpenPGP ont vu leur certificat de signature être victime d’une attaque par « empoisonnement ».
Près de 55 000 faux certificats ont été émis en le nom de Daniel Kahn Gillmor et 110 000 pour Robert J. Hansen. De ce fait, les certificats originaux ont été « noyés » rendant la récupération des certificats de manière automatique impossible.
Selon Hansen, ce genre d’attaque pourrait rendre la mise à jour de certains paquets du système d’exploitation Linux impossible. En empoisonnant le certificat public d’un vendeur, lors de la récupération du keyring il sera impossible de vérifier l’authenticité des paquets.
Fuite d’informations
Marriott risque une amende de 123 millions de dollars suite à la fuite de données ayant affecté sa filiale Starwood [19]
Après avoir statué sur le cas British Airways, l’Information Commissioner’s Office (ICO) a rendu son verdict concernant la fuite de données ayant affecté Starwood, une filiale de la chaîne d’hôtels Marriott. L’ICO a annoncé requérir une amende de £99 millions, soit $123 millions.
British Airways reçoit une amende de £183 millions par le RGPD à cause d’une fuite de données remontant à 2018 [20]
N’ayant pas réussi à protéger les informations personnelles d’environ 500 000 clients lors d’une fuite d’informations en 2018, British Airways a reçu une amende de £183 millions. Il s’agit de 1,5 % du chiffre d’affaires de l’entreprise .
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXN-2019-3123
[2] CXA-2019-3078
[3] CXA-2019-3073
[4] CXA-2019-3160
[5] CXA-2019-3116
[6] CXA-2019-3108
[7] CXA-2019-3053
[8] CXA-2019-3121
[9] CXA-2019-3148
[10] CXA-2019-3150
[11] CXA-2019-3077
[12] CXA-2019-3049
[13] CXN-2019-3085
[14] CXN-2019-3125
[15] CXN-2019-3066
[16] CXN-2019-3060
[17] CXN-2019-3044
[18] CXN-2019-3041
[19] CXN-2019-3124
[20] CXN-2019-3059
