Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Retrouvez également le focus de la semaine, le compte-rendu par Alexandrine TORRENTS de la conférence BruCon 2017.
Veille cybercriminalité
Des données secrètes de la NSA fuitent à cause de l'antivirus Kaspersky
Selon le Wall Street Journal, en 2015 des fichiers auraient été volés à la NSA par des agents d'origine russe. En effet, à cette période le service de télémétrie de l'antivirus utilisée une version vulnérable du protocole SSL. Les espions Russe ont alors ciblé un prestataire de la NSA qui aurait récupérer des données confidentielles sur son poste. L'antivirus du poste personnel a alors envoyé des données sur les serveurs utilisant Kaspersky qui ont été possible d'intercepter.
Sources :
- https://www.theverge.com/2017/10/5/16431564/kaspersky-russian-hackers-nsa-document-breach
- https://bugs.chromium.org/p/project-zero/issues/detail?id=978
Clouflare interdit l'accès aux sites utilisant des mineurs de cryptomonnaie
Des sites, tels que ThePirateBay ou Showtime, injectent du code JavaScript sur leur site pour miner de la cryptomonnaie (dont Coinhive). Ce phénomène incite d'autres sites à mettre en place le même procédé pour ajouter une source de revenu complémentaire à l'insu des utilisateurs.
L'entreprise américaine, Cloudflare, a décidé de ne plus héberger ce type de sites. De plus, elle souhaite que les utilisateurs soient prévenus et puissent désactiver le code.
L'entreprise américaine, Cloudflare, a décidé de ne plus héberger ce type de sites. De plus, elle souhaite que les utilisateurs soient prévenus et puissent désactiver le code.
Analyse de la porte dérobée de Ccleaner
Comme évoqué précédemment, une des version de l'outil Ccleaner (5.33.6162) présente une porte dérobée. Crowdstrike présente une analyse complète de celle-ci sur son blog : le code responsable du chargement en mémoire de la charge malveillante ainsi que la charge malveillante elle-même. Il apparait que des vérifications sont réalisées sur le poste de l'utilisateur avant de collecter des données puis de les transmettre à un serveur de commande et contrôle (C2). Si celui-ci ne répond pas, l'outil est capable de générer d'autres URL pour exfiltrer les données vers un autre serveur C2.
Sources :
Veille vulnérabilité
Multiples vulnérabilités sur la plateforme IMC de Hewlett Packard
7 vulnérabilités ont été corrigées sur la plateforme logicielle Intelligent Management Center (IMC) dont certaines critiques. Elles ont été mises en avant par Steven Seeley (Offensive Security) et permettraient à un attaquant d'exécuter du code à distance sur la plateforme (CVE-2017-12558, CVE-2017-12557, CVE-2017-12556 et CVE-2017-12554). En outre, d'autres vulnérabilités permettaient d'exécuter du code à distance (CVE-2017-12561) et de contourner le mécanisme d'authentification (CVE-2017-12559 et CVE-2017-12560).
Sources :
- http://www.securityweek.com/critical-remote-code-execution-flaws-found-hpe-imc
- http://www.zerodayinitiative.com/advisories/ZDI-17-836/
- http://www.zerodayinitiative.com/advisories/ZDI-17-836/
Plusieurs vulnérabilités découvertes sur Apache Tomcat
Des vulnérabilités, permettant de charger sur le serveur un fichier JSP de son choix, ont été découvertes et corrigées sur le produit Apache Tomcat (CVE-2017-12617). Un attaquant est alors en mesure de charger un fichier de type "Webshell" lui permettant d'exécuter des commandes sur le système à distance.
Sources :
- http://mail-archives.apache.org/mod_mbox/www-announce/201710.mbox/%3Cf7229e11-5e8d-aa00-ff22-f0a795669010@apache.org%3E
- http://www.securityweek.com/code-execution-flaws-patched-apache-tomcat
- http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.82
Une vulnérabilité critique découverte dans trois plugins WordPress
Trois plugins WordPress, Appointments (< 2.2.2), Flickr Gallery (< 1.5.3) et RegistrationMagic-Custom Registration Forms (< 3.7.9.3), présentent une même vulnérabilité qui permet à un attaquant de charger sur le serveur une porte dérobée.
Ces trois plugins regroupent plus de 21 000 utilisateurs WordPress et sont aujourd'hui corrigés.
Ces trois plugins regroupent plus de 21 000 utilisateurs WordPress et sont aujourd'hui corrigés.
Plusieurs vulnérabilités corrigées sur Android
Un bulletin de sécurité Android indique que quatorze vulnérabilités, dont cinq critiques, affectent les versions 4.4.4 à 8.0 d'Android. La mise à jour est divisé en deux correctifs :
- Le premier correctif, référencé 2017-10-01, corrige huit vulnérabilités dont trois jugées critiques permettant l'exécution de code à distance, l'élévation de privilèges et la divulgation de l'information
- Le deuxième correctif, référencé 2017-10-05, corrige six vulnérabilités dont deux jugées critiques, trois impactant des composants Qualcomm, une impactant le noyau du système d'exploitation et une impactant un composant MediaTek.
Enfin, Google a publié un autre bulletin de sécurité détaillant la correction de 38 vulnérabilités affectant ses terminaux Nexus et Pixel.
- Le premier correctif, référencé 2017-10-01, corrige huit vulnérabilités dont trois jugées critiques permettant l'exécution de code à distance, l'élévation de privilèges et la divulgation de l'information
- Le deuxième correctif, référencé 2017-10-05, corrige six vulnérabilités dont deux jugées critiques, trois impactant des composants Qualcomm, une impactant le noyau du système d'exploitation et une impactant un composant MediaTek.
Enfin, Google a publié un autre bulletin de sécurité détaillant la correction de 38 vulnérabilités affectant ses terminaux Nexus et Pixel.
Sources :
- https://source.android.com/security/bulletin/2017-10-01
- https://source.android.com/security/bulletin/pixel/2017-10-01
Indicateurs de la semaine
Le leak de la semaine - Des données personnelles trouvées sur un serveur mal configuré de la ligue de football américain
La société Kromtech Security Center a trouvé sur Internet un serveur ElasticSearch mal configuré contenant des données personnelles de joueurs de la NFL. Ainsi, 387MB d'informations sur 1133 joueurs, des adresses mails et postales et des numéros de téléphones ont été exposés. Une rançon de 0.1 bitcoin a été demandée afin de ne pas divulguer ces informations.
L'exploit de la semaine - Exploitation des vulnérabilités dnsmasq
Comme évoqué dans la news de la semaine dernière, des vulnérabilités ont été découvertes dans le produit dnsmasq. Rapidement des exploits ont été mis en ligne sur la plateforme exploit-db.
Sources :
- http://www.securityinsider-wavestone.com/2017/10/cert-w-retours-sur-lactualite-25-septembre-1er-octobre-2017.html
- https://www.exploit-db.com/exploits/42942/
- https://www.exploit-db.com/exploits/42943/
- https://www.exploit-db.com/exploits/42944/
L'attaque de la semaine - Des attaquants sont soupçonnés d'utiliser des moniteurs pour bébé pour espionner les parents
En Australie, des attaquants ont utilisé une caméra connectée destinée à surveiller les bébés pour espionner des familles. L'un des parents s'est aperçu que la caméra du moniteur le suivait et zoomait sur lui lors de ses déplacement dans la chambre. L'expert en sécurité informatique, Bill Caelli, a déclaré qu'il était possible que les attaquants aient exploité une faille de logiciel du moniteur ou du modem Wi-Fi pour pouvoir y accéder. Le constructeur, Uniden, indique qu'il s'agit d'un bug du logiciel.
Suivi des versions
Produits | Version actuelle |
Adobe Flash Player | |
Adobe Acrobat Reader DC | |
Java | |
Mozilla Firefox | |
Google Chrome | |
VirtualBox | |
CCleaner |
Vincent DEPERIERS