Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine, le writeup (EN) du challenge présenté par Wavestone à la Nuit du Hack 2017.
Veille cybercriminalité
La vulnérabilité vieille de sept ans SambaCry utilisée pour déployer un malware sur des systèmes NAS
La vulnérabilité SambaCry (CVE-2017-7494) corrigée récemment, et permettant l’exécution de code à distance sur les logiciels Samba depuis la version 3.5.0 vieille de sept ans, a été utilisée par le malware SHELLBIND qui vise les équipements NAS. Le malware exploite SambaCry afin d’écrire une bibliothèque malveillante sur un partage, causant ainsi son exécution. Le payload injecté par le malware permettrait le minage de cryptomonnaies.
Une nouvelle vulnérabilité dans Ethereum a permis le vol de 30 millions de dollars
Une vulnérabilité dans les portefeuilles Web d’Ethereum a permis le vol de 30 millions de dollars sous la forme de trois transactions représentant un total de 150 milles Ether. Suite à l’annonce par la société Parity de la vulnérabilité, demandant aux utilisateurs de déplacer leurs Ether, près de 380 milles autres Ether à risques ont été déplacés par des White Hat vers des portefeuilles sécurisés en utilisant cette même vulnérabilité, empêchant ainsi leur potentiel vol.
Le Segway miniPRO peut être compromise en moins de 20 secondes
Le chercheur en sécurité Thomas Kilbride de la compagnie IOActive a découvert de multiples vulnérabilités sur le modèle d’hoverboard Segway Ninebot miniPRO, pouvant aboutir à sa prise de contrôle totale. En analysant l’application mobile permettant le contrôle du Segway, le chercheur a en effet découvert différentes vulnérabilités exploitables au travers d’une connexion Wi-FI, parmi lesquelles :
- L’absence de nécessité de code PIN pour se connecter à l’équipement ;
- L’absence de chiffrement des communications ;
- L’absence de vérification d’intégrité du firmware ;
- La possibilité de récupérer des informations sur la localisation de Segway proches.
Veille Vulnérabilité
Une vulnérabilité permettant l’exécution de code à distance découverte sur un serveur Paypal
Le chercheur Vikas Anil Sharma a découvert, dans le cadre du BugBounty proposé par Paypal, une vulnérabilité permettant l’exécution de code à distance. Pour découvrir cette vulnérabilité, le chercheur a commencé par chercher les différents sous domaines associés à l’adresse « https://*.paypalcorp.com» présente dans le Content-Security-Policy des réponses renvoyées par le serveur de BugBounty. Cette recherche lui a permis de découvrir le sous-domaine brandpermission.paypalcorp.com qui pointe vers un site exposant une fonctionnalité d’upload de documents. Cette fonctionnalité n’effectuant aucun contrôle sur les fichiers téléchargés, il a ainsi pu déposer un webshell lui permettant d’exécuter du code directement sur le serveur hébergeant l’application.
Sources :
- http://blog.pentestbegins.com/2017/07/21/hacking-into-paypal-server-remote-code-execution-2017/
- http://securityaffairs.co/wordpress/61289/hacking/paypal-server-hack.html
La vulnérabilité BroadPwn corrigée dans la version 10.3.3 d’iOS
La vulnérabilité CVE-2017-9417 affectant les puces Wi-Fi Broadcom BCM43xx et corrigée plus tôt ce mois sur les appareils Android a été patchée sur les équipements iOS avec la version 10.3.3. Cette vulnérabilité, découverte par Exodus Intelligence, permet l’exécution de code arbitraire sur les équipements disposant de telles puces vulnérables.
Sources :
Indicateurs de la semaine
Le leak de la semaine - Des millions de données de l’agence de transport Suédoise rendues publiques
L’histoire rendue publique récemment date en fait de 2015 quand l’agence nationale de transport Suédoise a contractualisé avec IBM le déplacement de ses données dans le cloud. Les données de l’ensemble des véhicules du pays, incluant les véhicules de police et militaires, ont alors été transmises en clair par mail aux commerçants en relation avec l’agence. Une fois l’erreur découverte, l’agence a simplement envoyé une nouvelle version de la base de données ne contenant pas les informations illégitimes, sans même demander la suppression des données précédemment envoyées.
Sources :
- http://securityaffairs.co/wordpress/61280/data-breach/swedish-transport-agency-leak.html
- https://www.theregister.co.uk/2017/07/23/sweden_leaked_every_car_owners_details_last_year_then_tried_to_hush_it_up/
L'exploit de la semaine – CVE-2107-8464
Microsoft a corrigé une vulnérabilité affectant ses derniers systèmes d’exploitation et permettant l’exécution de code arbitraire utilisant un fichier .LNK malveillant qui est incorrectement manipulée par les applications qui traitent l’icône du lien. Des chercheurs ont rapidement publié un POC, et un module metasploit a été soumis pour exploiter cette vulnérabilité.
Source :
Source :
- http://www.cvedetails.com/cve/cve-2017-8464
- https://portal.msrc.microsoft.com/fr-fr/security-guidance
- https://twitter.com/yorickkoster/status/890081382793400320
- https://github.com/rapid7/metasploit-framework/pull/8767
Suivi des versions
Produits | Version actuelle |
Flash Player | |
Adobe Reader | |
Java | |
Mozilla Firefox | |
Google chrome | |
Virtual Box |
Nicolas DAUBRESSE