Résumé de la semaine 31 (du 28 juillet au 4 août)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Google pour Chrome [1], par GitLab [2], par Squid [3], par Cisco pour Cisco Nexus 9000 Series [4], par Exim [5] et par IBM pour IBM Tivoli [6], IBM WebSphere [7] et IBM Spectrum [8]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

 

Codes d’exploitation

Cette semaine, 5 codes d’exploitation ont été publiés, dont voici les principaux.

Oracle Hyperion [9]

L’exploitation de cette faille permettait à un attaquant privilégié d’accéder à des informations sensibles sur le système ainsi que de les altérer.
Ce code d’exploitation se présente sous la forme de deux documents XML: un document hébergé sur le serveur de l’attaquant, et un document placé sur le poste du client. En incitant sa victime à ouvrir ce fichier, un attaquant est alors en mesure de récupérer le contenu d’un fichier arbitraire (ici win.ini).
Un correctif est disponible.

Redis [10]

L’exploitation de cette faille permet de prendre le contrôle du système sous-jacent.
Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby tirant parti de la fonctionnalité de réplication entre maître et esclaves. En ayant accès à un service Redis ouvert, un attaquant est en mesure d’exécuter du code arbitraire sur le système.
Aucun correctif de sécurité n’est disponible à l’heure actuelle.

Moodle [11]

L’exploitation de cette faille de type Server-Side Request Forgery permet de contourner des restrictions de sécurité.
Ce code d’exploitation se présente sous la forme d’une requête HTTP. Un attaquant distant et authentifié peut ainsi scanner le réseau interne et potentiellement exploiter les services internes via des injections à l’aveugle.
Un correctif est disponible.

Microsoft [12]

L’exploitation de cette faille permet de prendre le contrôle du système.
Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En incitant sa victime à ouvrir le fichier généré par ce programme, un attaquant est alors en mesure d’exécuter des commandes sur le système affecté.
Aucun correctif de sécurité n’est disponible à l’heure actuelle.

Cisco [13]

L’exploitation de cette faille permet de contourner des restrictions de sécurité.
Ce code d’exploitation se présente sous la forme d’une page écrite en HTML. En incitant sa victime à visiter cette page, un attaquant est alors en mesure d’effectuer certaines actions avec des privilèges d’administration.
Aucun correctif de sécurité n’est disponible à l’heure actuelle.

 

 

Informations

Vulnérabilités

Une nouvelle attaque sur les cartes de crédit Visa permet de contourner la limite des paiements effectués en sans contact [14]

Des recherches menées au Royaume-Uni ont montré qu’il était possible de contourner le mécanisme de limitation des paiements sans contact sur les cartes Visa.

La limite actuelle au Royaume-Uni est de 30 £ par opération sans contact. Les tests réalisés par les chercheurs en sécurité ont pu confirmer des paiements sans contact de montants allant jusqu’à 101 £ par transaction.
La réalisation de plusieurs paiements de 30 £ est un signe d’alerte pour les systèmes de détection de fraudes des banques qui entraîne le blocage de la carte. Cette nouvelle vulnérabilité, qui permet de réaliser des transactions plus conséquentes, pourrait être utilisée pour passer sous le radar des systèmes de détection de fraudes.

 

 

Attaques

La Louisiane déclare l’état d’urgence en matière de cybersécurité [15]

L’état de la Louisiane aux États-Unis a déclaré l’état d’urgence en matière de cybersécurité, suite à une série d’attaques contre des systèmes scolaires. Le gouverneur John Bel Edwards a en effet publié la déclaration autorisant la garde nationale de la Louisiane, de la police d’État, de l’office des services de technologie ainsi que l’université d’état de la Louisiane, dirigée par le bureau de la sécurité intérieure et de la protection civile, à utiliser toutes les ressources nécessaires pour faire face aux attaques.

Un nouveau ransomware Android diffusé via Reddit ainsi que le forum XDA Developers [16]

Un nouveau ransomware serait actuellement diffusé via des messages sur Reddit ainsi que le forum « XDA Developers ».
Le chercheur en sécurité Lukas Stefanko de la société ESET, a expliqué dans un article de blog que le ransomware nommé « Android / Filecoder.C » serait actif depuis le 12 juillet au moins.
Une fois en place sur un des périphériques, il se propagerait via des messages SMS en utilisant les listes de contacts des victimes.

 

 

Fuite d’informations

Un mot de passe exposé par erreur sur GitHub donne accès à des informations internes de Comodo [17]

Jelle Ursem, un chercheur en sécurité néerlandais, a découvert l’identifiant et le mot de passe d’un développeur de Comodo exposé par erreur sur un répertoire GitHub.
Ce compte n’étant pas protégé par un mécanisme d’authentification à double facteur, M. Ursem a pu accéder à des fichiers et des documents internes de la société. Parmi les fichiers accessibles, on dénombre des contrats de vente et des documents partagés, contenant notamment les adresses email, numéros de téléphone, calendriers et photos de certains employés.

Des milliers de documents confidentiels exposés à cause d’un Bucket S3 mal configuré [18]

La société indienne FormGet spécialisée dans la création de formulaires a récemment été la cause d’une importante fuite de documents confidentiels.
Un chercheur en cybersécurité a découvert un Bucket S3 sur Internet exposant pas moins de 43 000 documents répartis dans des répertoires. Ces documents semblent correspondre à des justificatifs d’identité ou de domicile que les clients de FormGet auraient mis en ligne via des formulaires de la société.

Fuite de données de millions d’utilisateurs chez Capital One Finance Corporation [19]

Le 19 juillet 2019, un attaquant s’est introduit dans le système de Capital One Finance Corporation grâce à un défaut de configuration. Bien que le FBI ait arrêté le responsable, la fuite de données aurait touché plus de 100 millions d’Américains ainsi que 6 millions de Canadiens.
Le vol concerne majoritairement les données que les utilisateurs saisissent pour demander une carte bancaire à savoir : noms, adresse, code postal, numéros de téléphone, adresse mail, date de naissance et revenus. En plus de ces données, l’attaquant a réussi à obtenir des données de statut des clients : historique des paiements, informations de contact et des détails quelques transactions effectuées.

 

 

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2019-3486
[2] CXA-2019-3449
[3] CXA-2019-3467
[4] CXA-2019-3470
[5] CXA-2019-3403
[6] CXA-2019-3445
[7] CXA-2019-3491
[8] CXA-2019-3496
[9] CXA-2019-3482
[10] CXA-2019-3461
[12] CXA-2019-3502
[13] CXA-2019-3512
[14] CXN-2019-3446
[15] CXN-2019-3423
[16] CXN-2019-3479
[17] CXN-2019-3444
[18] CXN-2019-3440
[19] CXN-2019-3436

Adrien Guinault

Découvrir d'autres articles