Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.

Correctifs

Cette semaine, le CERT-XMCO recommande l’application des correctifs publiés pour les produits Cisco [1] et phpMyAdmin [6]. Plusieurs des vulnérabilités corrigées permettaient la prise de contrôle d’un système à distance par un attaquant non authentifié.

Codes d’exploitation

Aucun code d’exploitation n’a été publié.

Informations

Fuite d’informations

Suite au mécontentement d’un employé au sein de l’entreprise Tesla, celui-ci aurait saboté et divulgué des informations hautement sensibles. Le code du système d’exploitation Tesla Manufacturing Operating System aurait ainsi été modifié et des données Tesla hautement sensibles auraient été divulguées à des tiers. [8]

La société développant la célèbre application de suivi de vol aérien, Flightradar24.com a découvert une fuite de données dans un de ses serveurs. Elle a notifié tous les utilisateurs qui auraient pu être impactés et leur a demandé de changer leurs mots de passe. La société étant Suédoise, elle a immédiatement reporté l’incident à la commission de la protection des données suédoise, obligatoire depuis la mise en place de la loi européenne, le RGPD. [16]

Cybercriminalité

Le 12 juin au matin, un des forums français les plus importants du dark web a été démantelé par la Direction Nationale du Renseignement et des Enquêtes Douanières (DNRED). Le forum « Black Hand » servait notamment de plateforme de vente de produits illégaux comme de la drogue, des armes, des faux papiers, des données bancaires volées, etc. [9]

En 2015, nous vous informions que des attaquants dans le sud-est de la Virginie avaient pu dérober les informations personnelles de 4 millions d’employés fédéraux états-uniens. Cette valeur a été revue à la hausse depuis et le nombre de victimes est désormais estimé à près de 22 millions d’employés fédéraux. Deux individus, Kariva Cross et Marlon McKnight, ont reconnu devant le tribunal fédéral, avoir utilisé les informations dans le but de contracter des prêts. Ces prêts pour automobiles ou bien personnels étaient souscrits auprès de Langley Federal Credit Union au nom des victimes. [14]

Vulnérabilités

En octobre 2017, le chercheur en sécurité Nick Bloor a découvert 2 vulnérabilités affectant Adobe ColdFusion, référencées CVE-2017-11283 et CVE-2017-11284, dont l’exploitation permettait d’exécuter du code arbitraire sur un système affecté. Nick Bloor a publié les détails techniques de ses recherches concernant la vulnérabilité référencée CVE-2018-4939 à l’adresse suivante : https://nickbloor.co.uk/2018/06/18/another-coldfusion-rce-cve-2018-4939. [10]

La semaine dernière, au cours de la conférence Bsides, des chercheurs de l’entreprise INSINIA ont présenté le risque engendré par l’exposition d’un système SCADA.
Ils ont montré qu’il était possible de lister les réseaux, déclencher l’arrêt des lignes de production ou des processus en cours. Bien qu’il soit d’usage d’accompagner une présentation Bsides du code de la preuve de concept, INSINIA a préféré ne pas la dévoiler puisque certaines vulnérabilités risquent de prendre du temps à être corrigées. [11]

Des chercheurs en sécurité ont scanné 2,7 millions d’applications et ont pu identifier 2 446 applications Android et 600 applications iOS exposant leurs bases de données via Firebase sans protection. Les chercheurs indiquent que le problème provient du service Google Firebase qui ne sécurise pas les données par défaut, requérant ainsi des développeurs d’implémenter une authentification explicite pour l’accès aux lignes et tables des bases de données. [13]

Plusieurs vulnérabilités ont été découvertes dans presque 400 modèles de caméra connectée du constructeur Axis Communications. Des chercheurs de la société VDOO ont découvert qu’un attaquant pouvait prendre le contrôle de ces caméras seulement à l’aide de son adresse IP. Ce sont au total 7 vulnérabilités qui ont été trouvées, 3 d’entre elles permettent un accès à distance aux caméras afin d’exécuter des commandes Shell avec les privilèges administrateur. Cela inclut donc la possibilité de contrôler la caméra et d’accéder à la vidéo et à l’audio.  Le constructeur a d’ores et déjà mis à jour le firmware des modèles impactés. [17]

Attaques

Un groupe de pirates s’en prend aux entreprises américaines et asiatiques qui développent des satellites de communications, des systèmes d’imageries géospatiales et aux entreprises de défense. D’après Symantec, c’est une attaque de type APT provenant de Chine. [12]

Malware

Les chercheurs de l’ESET ont découvert un nouveau malware, baptisé HeroRat, utilisant le Telegram. La première trace d’HeroRat remonte à aout 2017. Il s’agit d’une variante d’un outil d’administration à distance malveillant dont le code source a été diffusé gratuitement en mars 2018 sur les canaux Telegram. La meilleure façon de vérifier si un mobile a été compromis est de le scanner avec une solution de sécurité mobile fiable.[15]

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

Références portail XMCO

[1] CXA-2018-2619
[2] CXA-2018-2613
[3] CXA-2018-2607
[4] CXA-2018-2601
[6] CXA-2018-2618
[8] CXN-2018-2572
[9] CXN-2018-2563
[10] CXN-2018-2558
[11] CXN-2018-2577
[12] CXN-2018-2576
[13] CXN-2018-2633
[14] CXN-2018-2612
[15] CXN-2018-2606
[16] CXN-2018-2604
[17] CXN-2018-2583