Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’installation des correctifs publiés par Microsoft pour Windows Server 2008 [1a][1b] et Windows 7 [2], par SAP [3], par VMWare [4] et par MariaDB [5].

Ces correctifs adressent des dommages allant du déni de service à la prise de contrôle du système à distance.

Code d’exploitation

Cette semaine, 6 codes d’exploitation ont été publiés.

Le premier concerne NTPd [6]. Le code d’exploitation permet à un attaquant de provoquer un dépassement de mémoire tampon et de voler des informations sensibles. Un correctif est disponible.

Le second concerne Atlassian Jira [7]. Le code d’exploitation permet à un attaquant de prendre le contrôle du système, grâce à l’envoi d’une archive JAR. Aucun correctif n’est disponible pour le moment.

Le troisième concerne Cisco Immunet et Cisco AMP [8]. Le code d’exploitation permet à un attaquant de provoquer un déni de service, à l’aide d’un fichier malveillant. Un correctif est disponible.

Le quatrième concerne CentOS Web Panel [9]. Le code d’exploitation permet à un attaquant de prendre le contrôle du système, en incitant l’utilisateur à cliquer sur un lien malveillant (ce qui permettait à l’attaquant de modifier le mot de passe administrateur). Un correctif est en cours de développement.

Le cinquième concerne l’application Secure Track de TufinOS [10]. Le code d’exploitation permet à un attaquant de lire un fichier sur un serveur distant. Aucun correctif n’est disponible pour le moment.

Le dernier code d’exploitation concerne DLink Central WifiManager [11]. Celui-ci permet à un attaquant d’initier un scan de port sur une machine distante, via l’utilisation d’une URL.

Informations

Cybercriminalité

Des chercheurs appartenant à la société Kaspersky ont identifié une vague d’attaques, qui se déroule actuellement au Moyen-Orient [12]. Ces attaques exploitent une vulnérabilité au sein de produits Microsoft, qui a été corrigée lors du Patch Tuesday de novembre.

Depuis 2016, le groupe de pirate Lazarus (soupçonné d’être à l’origine du ransomware WannaCry) aurait mené des attaques sur les distributeurs automatiques de billets, pour un total de plusieurs millions de dollars [13]. Ces attaques passeraient par la compromission des réseaux des banques, puis par l’interception des demandes de retraits, afin d’en falsifier les réponses.

Un module WordPress, servant à vérifier la conformité avec les règles RGDP, aurait été victime d’une faille de sécurité de type 0-day [14]. L’exploitation de la vulnérabilité permettait à un attaquant d’élever ses privilèges. Le module impacté a été retiré du marché officiel WordPress.

Une attaque massive visant des serveurs Adobe ColdFusion est en cours [15a][15b]. Courant septembre, une faille de vulnérabilité permettant une exécution de code arbitraire sur les serveurs Adobe ColdFusion a été corrigée par Adobe. Suite à cela, des attaquants (potentiellement un groupe étatique) ont lancé des recherches à grande envergure pour trouver des serveurs vulnérables et y installer des portes dérobées.

Publication

Une équipe de chercheurs académiciens ont publié les détails de 7 nouvelles attaques utilisant les vulnérabilités Spectre et Meltdown [16a][16b]. Ces nouvelles variantes affectent les processeurs AMD, ARM et Intel, à des degrés différents.

International

« L’appel de Paris pour la confiance et la sécurité dans le cyberespace » : voilà ce qu’a annoncé le président français lors du discours d’ouverture d’une conférence à l’UNESCO [17]. Cet appel vise à éviter la fracture d’Internet dans des plaques nationales ou continentales, à cause de mauvaises régulations des « pathologies du Net ». 370 états, organisations de la société civile et entreprises ont déjà annoncé adhérer à cet appel. Cependant, les États-Unis, la Russie et la Chine manquent à la liste.

Le 12 novembre, les utilisateurs américains d’applications hébergées par Google Cloud se sont retrouvés dans l’impossibilité de s’y connecter [18a][18b][18c][18d]. Cela est dû à un détournement du trafic BGP à destination de Google Cloud vers la Chine et la Russie. Les gouvernements russes et chinois pourraient être impliqués.

Fuites d’informations

Le directeur de l’Agence Fédérale d’Investigation du Pakistan a annoncé une fuite de données ayant touché la quasi-totalité des banques pakistanaises [19]. Les données en question seraient en ventes sur le dark web, et auraient déjà rapporté 2,6 millions de dollars aux pirates.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.

Références portail XMCO

[1] CXA-2018-4618
[2] CXA-2018-4632
[3] CXA-2018-4668
[4] CXA-2018-4582
[5] CXA-2018-4613
[6] CXA-2018-4664
[7] CXA-2018-4661
[8] CXA-2018-4659
[9] CXA-2018-4626
[10] CXA-2018-4604
[11] CXA-2018-4603
[12] CXN-2018-4633
[13] CXN-2018-4627
[14] CXN-2018-4584
[15] CXN-2018-4583
[16] CXN-2018-4669
[17] CXN-2018-4647
[18] CXN-2018-4623
[19] CXN-2018-4601