Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’installation des correctifs publiés par Drupal [1] et par Cisco [2]. Les failles concernant Drupal permettaient de prendre le contrôle du système et de réaliser des contournements de sécurité. La faille concernant Cisco est la répercussion de la faille impactant libssh [3], et permettait de réaliser un contournement de sécurité.

Codes d’exploitation

Durant cette semaine, 4 codes d’exploitation et une preuve de concept exploitant une vulnérabilité critique ont été publiés.

La preuve de concept porte sur une vulnérabilité affectant le plug-in jQuery File Upload. Elle exploite notamment une faille au sein d’ImageMagick afin d’exécuter du code arbitraire sur un serveur distant à travers l’upload d’un fichier image malveillant [4].

Le premier des quatre codes d’exploitation concerne Oracle WebLogic. L’attaquant est en mesure d’exécuter du code arbitraire et de prendre le contrôle du système. Un correctif est disponible [5].

Le deuxième affecte libssh. L’attaquant est en mesure de contourner des restrictions de sécurité et de s’authentifier sans fournir d’identifiants. Un correctif est disponible [6].

Le troisième affecte le composant « Microsoft COM for Windows » de Microsoft Windows. Un attaquant est en mesure d’exécuter du code arbitraire à l’aide d’un fichier malveillant, élevant ses privilèges et pouvant prendre le contrôle du système. Un correctif est disponible [7a][7b].

Le quatrième affecte Cisco Webex. Un attaquant authentifié est en mesure d’exécuter du code arbitraire avec les privilèges SYSTEM et de prendre le contrôle du système. Un correctif est disponible [8a][8b][9].

Informations

Vie privée

Des chercheurs en sécurité ont retrouvé 20 Go de données en ligne, appartenant à la start-up allemande Wolf Intelligence, spécialisée dans la vente de logiciel-espion [10]. Les chercheurs ont découvert un serveur de Commande et de Contrôle (C2) non protégé, ainsi qu’un dépôt Google Drive public, contenant notamment des enregistrements de réunions, des données de surveillances et des communications internes.

Une fraude à grande échelle, touchant des applications Android, a été révélée par une enquête de Buzzfeed News [11a][11b][11c]. Cette fraude consistait à racheter des applications légitimes à des développeurs, d’espionner le comportement des utilisateurs sur celles-ci, puis de le faire reproduire par des robots, afin de générer de l’argent grâce aux publicités. Le montant volé estimé serait de 750 millions de dollars.

La compagnie aérienne Cathay Pacific a été victime d’une fuite de données, qui aurait impacté 9,4 millions de passagers [12]. Ceux-ci auraient vu leurs informations personnelles (nom, prénom, adresse, mais aussi numéro de passeport) dérobées directement sur le site Web de l’entreprise. Cathay Pacific a annoncé avoir contacté les passagers touchés, et leur avoir proposé des solutions, afin qu’ils puissent se protéger.

Publication

Une chercheuse en sécurité a publié sur Twitter, pour la deuxième fois en deux mois, une faille 0-day permettant une élévation de privilèges sur les systèmes Windows [13]. Cette faille impacte seulement les versions les plus récentes de Windows, même si celles-ci sont à jour. Un code d’exploitation a également été publié avec ce tweet.

Twitter a publié des données concernant des campagnes de propagandes russes et iraniennes [14a][14b]. Parmi les campagnes concernées par les données publiées, l’une d’entre elles concerne les élections américaines de 2016, qui ont amené Donald Trump au pouvoir. La publication concerne 10 millions de tweets et 2 millions de fichiers multimédias.

Le MIT a publié une nouvelle manière de corriger la désormais célèbre vulnérabilité Spectre [15]. La solution proposée par les constructeurs avait eu des impacts très négatifs sur les performances des processeurs. La solution proposée par le MIT protègerait plus efficacement que les correctifs des entreprises, tout en offrant des performances comparables.

Un rapport de l’université de Buffalo présente un moyen d’utiliser les « empreintes » des imprimantes 3D afin de relier un objet à sa source [16]. Cette méthode permettrait aux autorités de relier des objets illicites à l’imprimante les ayant imprimés et de pouvoir en limiter la prolifération.

Attaques

Un chercheur en sécurité a été en mesure d’identifier des extensions Magento contenant des malwares visant à voler les informations de paiement [17]. Dans toutes les extensions identifiées, les failles étaient pratiquement similaires et seul leur emplacement différait. Toutes sont exploitées en abusant de la fonction PHP « unserialize() ».

Un second chercheur a réalisé, en live-streaming, une attaque des 51 % sur la cryptomonnaie « Bitcoin Private » [18]. Ce genre d’attaque consiste a récupérer une puissance de calcul supérieure à celle disponible sur le réseau, afin de pouvoir réécrire la blockchain à sa guise. Le chercheur n’a pas pu terminer sa démonstration, son compte sur la plateforme de diffusion ayant été suspendue.

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

Références portail XMCO

[1] CXA-2018-4342
[2] CXA-2018-4316
[3] CXN-2018-4254
[4] CXN-2018-4376
[5] CXA-2018-4341
[6] CXN-2018-4319
[7] CXA-2018-4400
[8] CXA-2018-4397
[9] CXA-2018-4398
[10] CXN-2018-4371
[11] CXN-2018-4372
[12] CXN-2018-4385
[13] CXN-2018-4344
[14] CXN-2018-4323
[15] CXN-2018-4307
[16] CXN-2018-4329
[17] CXN-2018-4349
[18] CXN-2018-4337