Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Firefox [1], Rancher [2] [3a] [3b], Apache Cassandra [4], Thunderbird [5a] [5b], Kubernetes [6], Cisco WebEX [7], Oracle VM [8a] [8b], Google Chrome [9a] [9b] et Django [10]. Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, aucun code d’exploitation n’a été publié.

Informations

Piratage

Des vulnérabilités entraînant des fuites de mémoire DVMRP du logiciel Cisco IOS XR sont actuellement exploitées sur Internet [11]

Plusieurs vulnérabilités dans le DVMRP (Distance Vector Multicast Routing Protocol) (une fonctionnalité des logiciels Cisco IOS XR) permettent à un attaquant non authentifié d’envoyer des paquets IGMP trafiqués. Ces vulnérabilités permettent notamment de faire planter le processus IGMP (Internet Group Management Protocol).

Vulnérabilité

Une vulnérabilité critique sur Slack permet l’accès aux conversations privées [12]

C’est un chercheur en sécurité, connu sous le nom de oskarsv, qui a remonté la vulnérabilité à Slack via la plateforme HackerOne (empochant par la même occasion 1 500 $ de bug bounty). Elle a été découverte en février, mais publiée seulement maintenant au regard de la politique de divulgation de la plateforme. Elle permet à un attaquant distant d’exécuter du code arbitraire en injectant du code JavaScript et de l’HTML au sein de l’application. L’attaquant aurait alors accès aux canaux privés, conversations, mots de passe, jetons et clés privées ainsi qu’à une grande variété de fonctionnalités de l’application.

Juridique

Le programme de surveillance de masse exposé par Edward Snowden jugé illégal par la justice des États-Unis [13]

Dans un jugement rendu ce mercredi, une cour d’appel américaine a déclaré que le programme de surveillance de masse de la NSA était bien illégal. Celui-ci, révélé par l’ex-employé et sous-traitant de la NSA Edward Snowden, récoltait des informations sur les appels de plusieurs millions d’Américains. La cour d’appel a déclaré qu’il violerait le Foreign Intelligence Surveillance Act, voire, peut-être, la Constitution américaine.

Annonce

La durée de validité maximale des certificats SSL/TLS réduite à 398 jours [14]

Depuis hier, les navigateurs des éditeurs Apple, Google et Mozilla rejettent les certificats ayant une validité de plus de 398 jours. Cette mesure n’est pas rétroactive et ne concerne que les certificats émis après le 1er septembre 2020.

Entreprise

La gendarmerie arrête l’ex-employé d’un sous-traitant qui s’est introduit dans le SI d’une société client [15a] [15b]

La Gendarmerie nationale a procédé à l’arrestation d’un hacker, ex-employé d’un sous-traitant qui s’était introduit dans le système informatique d’une société cliente. L’intrusion aurait pu coûter jusqu’à 500 000 euros de dégâts à la société.

Elon Musk confirme que la récente tentative d’attaque russe visait une usine Tesla [16]

La semaine dernière, Egor Igorevich Kriuchkov, un ressortissant russe accusé d’avoir essayé de convaincre un employé de Tesla d’installer un ransomware sur le réseau de l’entreprise, a été arrêté à Los Angeles.

Cybercriminalité

Le cheval de Troie Qbot reçoit une mise à jour pour une vaste nouvelle campagne d’attaque [17a] [17b]

Des chercheurs de la société Checkpoint ont récemment publié un nouveau rapport sur le cheval de Troie Qbot. Celui-ci est actif depuis 2008 et n’a cessé d’évoluer depuis. Cheval de Troie bancaire à l’origine, il a peu à peu évolué pour devenir un véritable couteau suisse utilisé dans de nombreuses campagnes. Il embarque des fonctionnalités de découverte de mot de passe, de carte bleue, de connexion à des interfaces de gestion bancaire, de récupération des frappes clavier et de prise de contrôle à distance.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.

Références portail XMCO

[1] CXA-2020-4481
[2] CXA-2020-4468
[3] CXA-2020-4424
[4] CXA-2020-4443
[5] CXA-2020-4421
[6] CXA-2020-4417
[7] CXA-2020-4479
[8] CXA-2020-4469
[9] CXA-2020-4451
[10] CXA-2020-4446
[11] CXN-2020-4484
[12] CXN-2020-4445
[13] CXN-2020-4488
[14] CXN-2020-4452
[15] CXN-2020-4426
[16] CXN-2020-4416
[17] CXN-2020-4428