Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Google pour le navigateur Google Chrome [1] ainsi que par Adobe pour le CMS Magento [2]. L’une des vulnérabilités impactant Google Chrome permettait notamment à un attaquant d’exécuter du code arbitraire via une page web spécifiquement conçue et des traces d’exploitation ont été détectées sur Internet. La vulnérabilité impactant Magento permettait à un attaquant de contourner le mécanisme de paiement.
Codes d’exploitations
Cette semaine, 9 codes d’exploitation ont été publiés.
Windows 8, Windows 8.1 et Windows 10 [3]
Ces 6 codes d’exploitation impactent OneDrive, qui est installé par défaut sur Windows 8, Windows 8.1 et Windows 10. Présentés sous la forme d’un fichier de commande MS-DOS et d’un exécutable, ces codes d’exploitation permettent à un attaquant les utilisant de provoquer un plantage du système nécessitant une réinstallation du système. Aucun correctif n’est actuellement disponible.
Cacti [4]
Ce code d’exploitation permet à un attaquant d’exécuter des commandes bash sur le serveur sous-jacent. Un correctif est disponible.
Microsoft Windows (7, 8, 8.1, 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, Windows Server 1803, Windows Server 1903 et Windows Server 1909) [5]
Ce code d’exploitation se présente sous la forme de plusieurs scripts PowerShell. Un attaquant est en mesure de supprimer un fichier avec les privilèges NT AUTHORITY/SYSTEM. Un correctif est disponible.
Android [6]
Ce code d’exploitation est un programme écrit en C. Un attaquant est en mesure de réécrire les droits alloués sur le processus courant.
Informations
Vulnérabilités
Annonce d’un correctif pour une vulnérabilité impactant Django [7]
Un bulletin d’information, fourni par les équipes de développement du framework Django, informe de la correction d’une vulnérabilité de niveau élevé au sein des versions 3.0.4, 2.2.11 et 1.11.29. Le correctif de sécurité sera disponible le 4 mars 2020 à partir de 11h (heure française). Aucun détail sur la vulnérabilité n’est pour l’heure disponible, si ce n’est qu’elle impacte le coeur de Django.
Une vulnérabilité 0day affecte plusieurs appareils de stockage de la marque Zyxel [8a] [8b]
La société Zyxel a publié un correctif pour une vulnérabilité 0day, référencée CVE-2020-9054, affectant plusieurs modèles d’appareils de stockage accessible via le réseau (NAS). L’exploitation de la vulnérabilité permettait à un attaquant distant non authentifié de prendre le contrôle du système vulnérable. Un groupe d’attaquants chercheraient activement à exploiter la vulnérabilité pour déployer le malware Emotet sur les systèmes vulnérables.
Recherche
Publication d’une analyse de la vulnérabilité référencée CVE-2020-0688 [9]
Une analyse de la vulnérabilité référencée CVE-2020-0688 a été publiée sur le blog de Zero Day Initiative. Son exploitation permettait à un attaquant d’exécuter du code arbitraire sur un serveur Microsoft Exchange vulnérable sur lequel il dispose d’un compte. Cette vulnérabilité a été corrigée par Microsoft durant le dernier Patch Tuesday.
Kr00k, une nouvelle attaque contre les protocoles WIFI WPA2-Personal et WPA2-Enterprise [10]
Des chercheurs de la société ESET ont récemment publié des informations sur la vulnérabilité WIFI ‘Kr00k’ référencée CVE-2019-15126. La vulnérabilité vient d’une mauvaise implémentation de protocoles WIFI par des puces fabriquées par Broadcom et Cypress, impactant potentiellement plus d’un milliard d’appareils. Cette vulnérabilité impacte des appareils utilisant les protocoles WPA2-Personal et WPA2-Enterprise, avec le chiffrement AES-CCMP. Kr00k permet à l’attaquant de récupérer des paquets réseau et de les déchiffrer, accédant ainsi potentiellement à des données sensibles.
Des chercheurs découvrent plusieurs vulnérabilités permettant d’usurper l’identité d’un utilisateur du réseau 4G [11]
Des chercheurs de la Ruhr University Bochum et de la New York University Abu Dhabi, qui avaient déjà découvert l’attaque aLTEr, ont poursuivi leurs travaux sur la sécurité des réseaux 4G. Leurs travaux ont révélé l’existence de plusieurs vulnérabilités, regroupées sous le nom IMP4GT (pour IMPersonation Attacks in 4G NeTworks), permettant d’usurper l’identité d’un utilisateur ou d’un réseau 4G.
Attaques
Bretagne Télécom échappe aux conséquences d’un ransomware à l’aide des bonnes pratiques de sécurité [12]
L’opérateur et hébergeur Bretagne Télécom a été victime d’une intrusion courant janvier, via l’exploitation de la vulnérabilité CVE-2019-19781 sur un système Citrix. Les attaquants ont déployé le ransomware DoppelPaymer sur les systèmes d’une trentaine de clients “petites entreprises” et les données associées ont été chiffrées pendant la nuit. Grâce à une détection rapide de l’incident par les systèmes de supervision utilisés et grâce à la fonctionnalité de sauvegarde d’instantanés (snapshots) des baies Pure Storage, la restauration a été rapide.
Les données des entreprises n’ayant pas payé la rançon du ransomware DoppelPaymer sont exposées sur Internet [13]
Des groupes de pirates opérant des ransomwares ont commencé à voler des données à leurs victimes afin de les menacer de publier ces données en cas de non-paiement de la rançon. La semaine dernière, les auteurs de DoppelPaymer ont mis en ligne un site visant à publier les données dérobées sur les systèmes d’information des victimes ayant refusé de payer la rançon. Les pirates ne prétendent pour le moment n’avoir volé un grand nombre de fichiers qu’à une seule entreprise, PEMEX, la compagnie pétrolière de l’état mexicain à qui ils réclament presque 5 millions de dollars de rançon en bitcoins.
De multiples vols reportés à cause de l’exploitation d’une vulnérabilité au sein de PayPal [14]
Des chercheurs ont trouvé une vulnérabilité critique au sein du module de paiement sans contact de PayPal. Un attaquant à proximité du smartphone pourrait obtenir les informations d’une carte virtuelle débitant un compte PayPal. Le vecteur d’attaque reporté n’est pas limité en montant. Il semblerait que cela ne serait possible que si Google Pay est activé sur un compte utilisateur PayPal.
Éditeur
Apple va bloquer les certificats SSL de plus d’un an sur son navigateur Safari [15]
Apple a annoncé qu’à partir du 1er septembre 2020, le navigateur du fabricant à la pomme n’acceptera plus les certificats SSL ayant une date d’expiration supérieure à 13 mois à leur date de création. La firme de Cupertino a choisi d’encourager les administrateurs des sites Internet à renforcer la sécurité en les obligeant à vérifier la validité des certificats plus régulièrement. La moyenne des certificats payants a une durée de validité de 2 ans.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2020-1029
[2] CXA-2020-1046
[3] CXA-2020-1039
[4] CXA-2020-1038
[5] CXA-2020-1036
[6] CXA-2020-1011
[7] CXA-2020-1072
[8] CXN-2020-1042
[9] CXN-2020-1062
[10] CXN-2020-1073
[11] CXN-2020-1080
[12] CXN-2020-1063
[13] CXN-2020-1045
[14] CXN-2020-1044
[15] CXN-2020-1058
