Sélection de l’actualité de la semaine

 

Une nouvelle variante de Mirai cible des routeurs et des objets connectés

Vous souvenez-vous de Mirai ? Ce botnet apparu en 2016, ciblant les objets connectés et exploitant les authentifiants non-modifiés de ces derniers, qui avait permis de générer une attaque DDoS culminant à 620 Gbps contre le site web de Krebs on Security. Une énième nouvelle variante est apparu en début d’année ; cette dernière exploite des anciennes vulnérabilités connues : une vulnérabilité sonicWall SSL-VPN ; une vulnérabilité de pare-feu D-Link DNS-320 (CVE-2020-25506); une vulnérabilité de type exécution de code à distance sur les Yealink Device Management (RCE) (CVE-2021-27561 et CVE-2021-27562); une vulnérabilité Netgear ProSAFE Plus RCE (CVE-2020-26919); une vulnérabilité RCE dans Micro Focus Operation Bridge Reporter (CVE-2021-22502); ou encore une vulnérabilité du routeur sans fil Netis WF2419 (CVE-2019-19356). Cette nouvelle version exploite également des nouvelles vulnérabilités de type attaques RCE – y compris un exploit ciblant une vulnérabilité d’injection de commande dans certains composants et un exploit ciblant le script de connexion CGI (Common Gateway Interface) provenant d’un paramètre clé qui n’est pas correctement sécurisé. Le troisième exploit cible le paramètre op_type, qui n’est pas correctement sécurisé, ce qui conduit à une injection de commande, ont déclaré les chercheurs de Palo Alto. Ce type d’attaque est déjà apparu dans des variations précédentes de Mirai, qui en compte déjà plus de 60 différentes ; les chercheurs à l’origine de la découverte rappellent que ces variantes sont possibles parce que les matériels ciblés ne sont que trop rarement patchés et/ou mis à jour.

 

Une partie des code source de Mimecast affectée par les attaques SolarWinds

SolarWinds n’a pas fini d’apporter son lot de révélations : trois mois après l’annonce de la découverte des attaques par FireEye, c’est au tour de Mimecast d’annoncer que les attaquants derrière SolarWinds ont eu accès à une partie de leurs codes sources. Mimecast est une entreprise spécialisée dans la gestion des e-mails stockés dans le cloud pour Microsoft Exchange et Microsoft Office 365, et notamment dans la gestion de la sécurité, de l’archivage et de la continuité de service des messageries professionnelles. Elle aussi victime du piratage massif lié à SolarWinds, l’entreprise britannique a donc annoncé que les attaquants ont accédé à une partie de ses codes sources et les ont exportés – litote signifiant qu’ils ont été volé par les attaquants. Après avoir été informés par Microsoft sur le fait que les attaquants avaient exploité un certificat de Mimecast, les équipes ont procédé aux recherches techniques internes, en lien avec Mandiant (filiale de FireEye), pour identifier le périmètre de l’attaque et les conséquences pour les clients de Mimecast. C’est alors qu’ils ont découvert que les attaquants avaient également réussi à pénétrer le système d’information interne de Mimecast, et, surtout, à voler une partie des codes sources de l’entreprise. Le communiqué de Mimecast se veut toutefois rassurant, affirmant que « nous [Mimecast] pensons que le code source téléchargé par les attaquants était incomplet et serait insuffisant pour créer et exécuter n’importe quel aspect du service Mimecast« , avant d’ajouter « nous n’avons trouvé aucune preuve que les attaquants aient apporté des modifications à notre code source et nous ne croyons pas qu’il y ait eu d’impact sur nos produits« . Des vérifications approfondies sont toutefois toujours en cours.

 

Google Security Blog publie un PoC Spectre pour des sites censés être immunisés…à Spectre

Vous avez bien lu. Les équipes de Google Security Blog ont publié un code de preuve de concept (PoC) pour démontrer le caractère pratique des attaques par canal latéral Spectre contre le moteur JavaScript d’un navigateur pour faire fuir des informations de sa mémoire. En 2018, Google avait présenté deux variantes de Spectre, dont l’une – baptisée variante 1 (CVE-2017-5753) – concernait l’exploitation Javascript contre les navigateurs. Spectre a ciblé le processus dans les processeurs modernes appelé « exécution spéculative » pour divulguer des secrets tels que des mots de passe d’un site à un autre site malveillant. L’attaque, réalisée sur un certain type de système (moteur JavaScript V8 de Chrome 88 sur un processeur Intel Core i7-6500U ‘Skylake’ sous Linux) peut toutefois être reproduite sur d’autres systèmes, affirment les équipes. Les principaux composants du PoC sont un « gadget » ou code issu de Spectre version 1 qui déclenche une exécution transitoire contrôlée par l’attaquant, ainsi qu’ « un canal secondaire ou moyen d’observer les effets secondaires de l’exécution transitoire« . Si les navigateurs ont déployé des mesures efficaces pour empêcher les fuites explicites de données d’une origine à une autre, des attaques comme Spectre montrent qu’il y a encore du travail à faire pour atténuer les fuites de données implicites. « Les canaux secondaires exploités à travers ces attaques prouvent que les attaquants peuvent lire toutes les données qui entrent dans un processus hébergeant le code des attaquants. Ces attaques sont aujourd’hui assez pratiques et présentent un risque réel pour les utilisateurs« , précisent les chercheurs ; toutefois, ils ont aussi présenté des moyens de sécurisation pour réduire les risques associés.

 

Une vulnérabilité associée au dépôt Git Clone

GitLab était affecté par la CVE-2021-21300 : une vulnérabilité de sécurité dans le mécanisme de retrait différé utilisé par Git LFS lors des opérations de clonage git affectant les versions 2.15 et plus récentes. L’attaque ciblait un référentiel spécialement conçu, qui contient des liens symboliques ainsi que des fichiers utilisant un filtre propre / smudge, tel que Git LFS ; elle pouvait entraîner l’exécution d’un script juste extrait lors du clonage sur un système de fichiers insensible à la casse tel que NTFS, HFS + ou APFS ( c’est-à-dire les systèmes de fichiers par défaut sur Windows et macOS). Des mises à jour résolvent le problème.

 

Y’a plus, je laisse ?

ACCEIS a le plaisir d’annoncer que l’ANSSI nous a délivré un agrément CESTI. Cet agrément nous permet de réaliser des évaluations de sécurité de produits en vue d’obtenir une Certification de Sécurité de Premier Niveau auprès de l’ANSSI. Il atteste de notre haut niveau d’expertise technique, du professionnalisme de notre méthodes de travail et du respect du schéma de certification CSPN. Un grand merci (et bravo) à toute l’équipe ACCEIS pour cette reconnaissance !