Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par GitLab [1] et par Android [2]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, aucun code d’exploitation n’a été publié.

Informations

Fuite d’informations

Fuite de données sur plus de 900 serveurs VPN Pulse Secure [3]

C’est sur un forum russophone, fréquenté majoritairement par des pirates qu’une base de données contenant les informations de 900 serveurs VPN PulseSecure a été découverte. C’est l’entreprise spécialisée en analyse de délit financier et menace, Bank Security, qui a fait la découverte. Les chercheurs en sécurité estiment que les pirates ont scanné l’ensemble d’internet à la recherche de serveurs VPN Pulse Secure non mis à jour (version du firmware) et impactés par la vulnérabilité CVE-2019-11510. D’après les métadonnées, les scans et l’extraction des données auraient été effectués entre le 24 juin et le 8 juillet 2020.

Fuite de données chez UberEATS [4]

L’équipe de recherche de Cyble a découvert une fuite de données chez UberEATS, via leur surveillance du darkweb. Un acteur malveillant a posté sur un forum plusieurs preuves de la compromission d’informations sensibles concernant les clients, les livreurs et les partenaires d’UberEATS. Les deux preuves fournies exposent les données de 579 clients et de 100 livreurs.

Vulnérabilités

Une vulnérabilité au sein de Zoom permettait d’accéder aux réunions privées [5]

Le chercheur en sécurité Tom Anthony a découvert une vulnérabilité affectant le service de vidéoconférence Zoom. La vulnérabilité provenait d’erreurs dans la gestion des protections d’accès à une réunion privée.

Des vulnérabilités permettaient de rediriger les paiements PayPal effectués sur la plateforme Meetup [6a] [6b]

Des chercheurs de la société Checkmarx ont mené un audit de sécurité de la plateforme d’organisation d’évènements Meetup. Cet audit a permis la découverte de plusieurs vulnérabilités. Une première vulnérabilité, de type XSS, affectait le champ utilisé pour publier un commentaire dans la discussion associée à un évènement. La seconde permettait d’exploiter une vulnérabilité de type CSRF. D’autres vulnérabilités permettant d’énumérer les utilisateurs de la plateforme et d’accéder à des données personnelles ont également été découvertes.

Des chercheurs exploitent les protocoles HTTP/2 et WPA3 pour mettre en place un nouveau type d’attaque [7a] [7b]

Des chercheurs de Belgium’s KU Leuven et New York University Abu Dhabi ont découvert une nouvelle technique nommée Timeless Timing Attacks pour exploiter la façon dont les protocoles réseau gèrent les requêtes simultanées. Ce genre d’attaque mesure les différences de temps de calcul entre plusieurs commandes dans l’objectif de passer outre les protections mises en place et trouver des indices concernant des informations sensibles, comme des clés de chiffrement, les conversations privées ou encore des habitudes de navigations.

Publication

Twitter : mise à jour sur les détournements de comptes du 15 juillet 2020 [8]

Twitter a publié sur son blog de nouvelles informations sur l’incident survenu le 15 juillet dernier à propos des comptes de célébrités piratées. Lors de cette attaque, les comptes de personnages publics tels que Barack Obama, Elon Musk ou Bill Gates ont été détournés par des pirates afin d’y faire la promotion d’un lien invitant les utilisateurs à verser des bitcoins.

Ransomware

Canon victime du groupe d’attaquant Maze : un vol de 10TB de données [9a] [9b] [9c]

Canon aurait été victime d’une attaque de type ransomware, mettant à mal plusieurs de ses services. S’ajoute à cela un vol de 10TB de données incluant des bases de données privées. La firme japonaise n’a pas pour l’instant communiqué sur cet incident survenu le 30 juillet dernier, mais a tout de même signalé qu’une enquête interne est en cours.

RGPD

La société Spartoo condamnée à 250 000 euros d’amende pour non-conformité envers le RGPD [10]

La société Spartoo, spécialisée dans la vente de chaussures, a été condamnée par la CNIL à une sanction de 250 000 euros, ainsi qu’une injonction à se conformer au RGPD. En effet, plusieurs manquements ont été observés lors du contrôle de la société par la CNIL en mai 2018. Par exemple, les données clients n’étaient jamais supprimées.

Cybercriminalité

Un pirate qui distribuait le ransomware GandCrab arrêté en Biélorussie [11]

Les forces de l’ordre de Biélorussie ont annoncé l’arrestation d’un homme de 31 ans ayant supposément fait plus de 1000 victimes du rançongiciel GandCrab en 2017 et 2018. Il se serait fait payer entre 400 $ et 1500 $ par victime et d’après le Ministère des Affaires internes de Biélorussie, les ordinateurs infectés provenaient de plus d’une centaine de pays différents.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.

Références portail XMCO

[1] CXA-2020-4039
[2] CXA-2020-3988
[3] CXN-2020-4017
[4] CXN-2020-4002
[5] CXN-2020-3965
[6] CXN-2020-3981
[7] CXN-2020-3979
[8] CXN-2020-3978
[9] CXN-2020-4035
[10] CXN-2020-4042
[11] CXN-2020-4016