Apache 2.4.49: From path traversal to remote code execution
Cette semaine, l’Apache Software Foundation a corrigé une vulnérabilité 0-day activement exploitée à l’encontre de son serveur web. Identifiée en tant que CVE-2021-41773, elle a d’abord été qualifiée de vulnérabilité de type path-traversal permettant de divulguer des fichiers en dehors de la racine du document attendu.
Toutefois, au fur et à mesure que des exploits ont fait surface sur Internet, il s’est avéré que la criticité initiale a été sous-évaluée. La vulnérabilité ne se résume pas à un path-traversal mais permet également aux attaquants d’exécuter du code à distance (RCE), lorsque CGI est pris en charge.
Seules les versions d’Apache 2.4.49 pour lesquelles le paramètre de contrôle d’accès require all denied est absent (ce qui semble le cas par défaut) et/ou mod_cgi est activé sont vulnérables à ces failles.
Facebook was down! Un malencontreux changement de configuration
Vous n’êtes sûrement pas passé à côté de la panne qui a affecté, lundi, le mythique réseau social. Pendant près de 6 heures, Facebook et les autres applications appartenant au groupe (Messenger, Instagram, WhatsApp) étaient indisponibles. Alors, que s’est-il passé ?
Suite à la résolution du problème, Facebook a indiqué que la panne était le résultat d’un changement de configuration défectueux sur ces principaux routeurs. Selon CloudFlare, c’est plus particulièrement une mise à jour des enregistrements BGP (Border Gateway Protocol) qui se serait mal passée. L’échec des requêtes DNS constaté ne serait alors qu’un symptôme de cette cause.
Pour faire simple, DNS vous indique où vous allez, et BGP vous indique comment vous y rendre. Le DNS est la façon dont les ordinateurs savent à quelle adresse IP se trouve un site Web ou une autre ressource, mais cette connaissance en elle-même est insuffisante. BGP est, ainsi, un mécanisme qui permet aux gros routeurs qui font fonctionner Internet de maintenir d’énormes listes des routes possibles qui peuvent être utilisées pour amener le trafic là où il doit aller, un peu comme une carte.
CloudFlare rapporte avoir constaté énormément de mises à jour BGP de Facebook dont la plupart étaient des retraits d’itinéraire. Il n’y avait, en conséquence, plus de routes fonctionnelles vers les sites de Facebook.
Piratage de Twitch : Une fuite de données massive
Un utilisateur anonyme de 4chan a publié, mercredi, le code source de Twitch ainsi que les informations sensibles de nombreux streamers, dont des données de paiement remontant à 2019. En tout, cela représente 128 Go de données.
Cyberespionnage : Le malware Agent Tesla C2C subit une fuite de données
Observé pour la première fois en 2014, Agent Tesla est RAT (Remote Access Trojan) distribué sous forme de "malware as a service". Il permet d’exfiltrer des données recueillies sur les appareils des victimes telles que les informations d’identification, les frappes, les données du presse-papiers, etc. Il est notamment utilisé dans des opérations d’espionnage.
Une collaboration entre les chercheurs de Resecurity, les forces de l’ordre et plusieurs FAI de l’Union européenne, du Moyen-Orient et d’Amérique du Nord a permis d’extraire plus de 950 Go de journaux des serveurs Agent Tesla C2 (Command & Control).
Identification des victimes, chronologie des campagnes menées, mise en évidence d’instances actives du malware ou caractérisation des acteurs de la menace ont pu être effectuées à partir des données récupérées par les chercheurs.
Des attaquants contournent l’authentification 2FA pour voler 6000 utilisateurs de Coinbase
En mars et mai 2021, des pirates ont volé des fonds sur les comptes d’utilisateurs de la plateforme de cryptomonnaies Coinbase.
Les voleurs ont profité d’une faille dans le processus de récupération de compte par SMS de Coinbase pour recevoir un jeton d’authentification à deux facteurs par SMS et accéder aux comptes des utilisateurs. Les protocoles de récupération de compte ont depuis été mis à jour pour empêcher un tel contournement.
Coinbase a déclaré que les attaquants ne pouvaient exploiter ce bogue que s’ils connaissaient le nom d’utilisateur, le mot de passe ainsi que le numéro de téléphone de la victime, informations potentiellement obtenues à travers des campagnes de phishing ou via des techniques d’ingénierie sociale.
L’entreprise a indiqué un remboursement des fonds pour chacun des utilisateurs lésés.
Google Chrome : Des vulnérabilités critiques exploitées activement
Vendredi dernier, Google a publié une mise à jour d’urgence pour son navigateur Chrome corrigeant trois vulnérabilités 0-day. Deux d’entre elles, les CVE-2021-37975 et CVE-2021-37976 affectant respectivement le moteur JavaScript V8 et le cœur de Chrome, sont exploitées par des cybercriminels a indiqué Google.
En particulier, via la création d’une page web malveillante, des attaquants peuvent exécuter du code arbitraire sur l’ordinateur d’un utilisateur Chrome accédant à la page et ainsi compromettre son système.
Ces vulnérabilités impactent également le navigateur Microsoft Edge, basé sur le moteur Chromium.
Ya plus, je laisse ?
Vous ne savez pas quoi lire ce weekend ? Pourquoi pas, le dernier numéro de Phrack ou encore le Windows 11 Security Book.