Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Magento [1], Joomla! [2a] [2b] [2c], Jenkins [3] ainsi que pour FortiSIEM [4]. L’exploitation des vulnérabilités associées permettait à un attaquant de provoquer des dommages allant jusqu’à la prise de contrôle du système.
Codes d’exploitations
Cette semaine, 6 codes d’exploitation ont été publiés.
Prise de contrôle du système via 3 vulnérabilités affectant PHP [5]
Ces codes d’exploitation se présentent sous la forme de programmes écrits en PHP. Ils permettent de contourner la directive disable_function, entraînant la possibilité d’exécuter du code arbitraire.
Prise de contrôle du système via une vulnérabilité au sein d’OpenBSD (OpenSMTPD) [6]
Ce code d’exploitation permet d’envoyer un mail spécialement conçu. Un attaquant est alors en mesure d’exécuter du code sur le système avec les privilèges root.
Prise de contrôle du système et manipulation de données via une vulnérabilité au sein de Windows [7]
Ce code d’exploitation permet de générer des fichiers .theme spécialement conçu. Pour exploiter la vulnérabilité, l’attaquant devra inciter sa victime à ouvrir ce fichier. Un correctif de sécurité est disponible.
Déni de service via 2 vulnérabilités au sein de Microsoft Remote Desktop Gateway [8]
Ce programme ouvre une connexion UDP vers un serveur RDG (Remote Desktop Gateway – UDP/3391) et envoie un paquet disposant d’un « fragment » très grand, faisant planter le service RDG. Un correctif de sécurité est disponible.
Élévation de privilèges via une vulnérabilité au sein de Trend Micro Maximum Security [9]
En créant une clé de registre contenant des informations spécifiques, un attaquant est en mesure de faire s’exécuter un binaire avec des privilèges System. Un correctif de sécurité est disponible.
Prise de contrôle du système et divulgation d’information via 4 vulnérabilités au sein de Centreon [10a] [10b] [10c] [10d]
Ces codes d’exploitations prennent la forme de procédures détaillées permettant d’exécuter des commandes système ou de récupérer le mot de passe administrateur.
Informations
Publications
FireEye et Citrix publient un outil de détection de compromission par la vulnérabilité CVE-2019-19781 [11]
Citrix et FireEye ont travaillé de concert pour proposer un outil de détection de compromission suite à la publication de la vulnérabilité CVE-2019-19781 et des codes d’exploitation touchant les produits Citrix ADC, Citrix Gateway et Citrix SD-WAN WANOP.
Une mise à jour d’Active Directory qui sera publiée en mars 2020 risque d’entrainer des incompatibilités [12]
Microsoft a annoncé que des changements significatifs seraient apportés à Active Directory via une mise à jour de sécurité qui sera publiée au cours du mois de mars 2020. Ces changements sont motivés par la découverte d’une vulnérabilité provenant de la configuration par défaut d’Active Directory.
Vulnérabilité
CacheOut/L1DES & VRS : deux nouvelles vulnérabilités identifiées au sein des processeurs Intel, dans la lignée de Spectre et Meltdown [13]
Après la publication des vulnérabilités Spectre, Meltdown, Foreshadow, Plundervolt, TAA et MDS, deux nouvelles variantes de ces attaques ont été publiées aujourd’hui.
Fuite d’informations
Une fuite de données de 30 millions de cartes de paiement affecte la chaîne de stations-service Wawa [14]
Le 12 décembre 2019, la chaîne de station-service américaine Wawa a annoncé que ses systèmes de paiement par carte avaient été piratés. L’analyse des systèmes compromis semble indiquer que les systèmes avaient été infectés autour du 4 mars.
La fonctionnalité de prévention du tracking du navigateur Safari provoque des fuites de données [15]
Le navigateur Safari, édité par Apple, propose depuis 2017 une fonctionnalité permettant de limiter le pistage de ses utilisateurs. Des chercheurs de l’Information Security Engineering team de Google ont récemment découvert une vulnérabilité permettant à un attaquant de vérifier si un domaine est considéré comme un traqueur par Safari. Les chercheurs ont publié la description de cinq attaques basées sur cette vulnérabilité. Toutes compromettent la confidentialité des habitudes de navigation des utilisateurs du navigateur.
Threat Intelligence
Intensification des attaques visant les produits Citrix vulnérables à la CVE-2019-19781 [16]
Depuis la publication d’un code d’exploitation tirant parti de la vulnérabilité CVE-2019-19781 touchant les produits Citrix ADC, Citrix Gateway et Citrix SD-WAN WANOP, le nombre d’attaques visant ces systèmes est en nette augmentation.
Des pirates chinois exploitent une vulnérabilité affectant l’antivirus Trend Micro pour compromettre des systèmes de Mitsubishi Electric [17]
La société Mitsubishi Electric a annoncé avoir été victime d’un piratage. Plusieurs dizaines de serveurs et de postes de travail auraient été compromis. L’attaque a été détectée le 28 juin 2019 et a donné lieu à une enquête, qui a débuté en septembre 2019.
Cybercriminalité
Les Nations Unies ont été victime d’une attaque informatique [18]
Cette semaine, dans un rapport interne ayant fuité, il apparait que les Nations Unies ont été victime d’une attaque informatique. Près d’une douzaine de serveurs dont des serveurs appartenant aux bureaux des droits de l’Homme ainsi qu’aux départements des ressources humaines ont été compromis. Les attaquants ont réussi à obtenir des identifiants d’administrateurs de domaine et à exfiltrer des informations.
3 membres du groupe cyber-criminel Magecart arrêtés en Indonésie [19]
La police nationale indonésienne, accompagnée d’Interpol et du groupe expert en cybersécurité Group-IB, a annoncé samedi avoir arrêté 3 pirates indonésiens du groupe Magecart, qui a compromis des centaines de sites Internet d’e-commerce, et volé les informations bancaires de leurs acheteurs.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXN-2020-0550
[2] CXN-2020-0541
[3] CXN-2020-0579
[4] CXN-2020-0453
[5] CXA-2020-0609
[6] CXN-2020-0573
[7] CXN-2020-0581
[8] CXN-2020-0440
[9] CXN-2020-0456
[10] CXN-2020-0591
[11] CXN-2020-0443
[12] CXN-2020-0559
[13] CXN-2020-0470
[14] CXN-2020-0583
[15] CXN-2020-0437
[16] CXN-2020-0543
[17] CXN-2020-0455
[18] CXN-2020-0606
[19] CXN-2020-0468
