| Newsletter CERT-OPMD

L’équipe CERT-OPMD vous propose de réagir sur l’actualité à travers sa newsletter hebdomadaire.

Vulnérabilité Cisco Switch smart install : Des attaques observées en Russie et en Iran

Plusieurs attaques contres des switches Cisco ont été observées la semaine dernière par des chercheurs. Les switchs visés, localisés en Iran et en Russie, affichent tous le même message faisant référence aux élections américaines.
D’après Cisco et Qihoo, ces attaques n’ont pas exploité la nouvelle vulnérabilité CVE-2018-0171 publiée récemment, mais plutôt une erreur de configuration CVE-2016-1349. Cette dernière engendre un manque d’authentification sur le port 4786 du service Smart Install, permettant ainsi à un attaquant distant d’extraire le fichier de configuration, de le modifier ou de mettre à jour le système.
En se basant sur le moteur Shodan, près de 170000 switch Cisco exposent leur port 4786 (Smart Install) sur internet. Cisco recommande une mise à jour d’urgence des équipements vulnérables.

https://thehackernews.com/2018/04/hacking-cisco-smart-install.html [EN]
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170214-smi [FR]
https://github.com/Sab0tag3d/SIET [EN]
https://simple.shodan.io/#query=port%3A4786%20cisco%20smart%20install%20active [EN]

Cyberattaque USA : Plusieurs opérateurs dans le secteur de l’énergie touchés

Le système d’échange de données électroniques (EDI) de la société Latitude Technologies, principal fournisseur de services informatiques aux entreprises spécialisées dans l’énergie, a été la cible d’une attaque informatique.
Au moins 4 entreprises américaines, Energy Transfer Partners, Boardwalk Pipeline Partners, Eastern Shore Natural Gas et ONEOK spécialisées dans le gaz naturel, ont été impactées.
Le système EDI de Latitude est utilisé par plus de 100 entreprises dans le secteur de l’énergie. Il sert à l’échange des documents sensibles ainsi que des bons de factures et de commandes. Ces documents sensibles, une fois entre les mains de pirates, peuvent être revendus dans le dark web ou utilisés comme moyen de chantage.
Le department of Homeland Security (DHS) mène des investigations afin de trouver l’origine de l’attaque et les impacts de cette dernière. Latitude de son côté affirme qu’aucune données de ses clients n’a été compromise.
Cette attaque survient quelques jours après la découverte par le FBI et le DHS d’une vaste opération d’espionnage TA17-293A attribuée à la Russie.

https://www.bloomberg.com/news/articles/2018-04-03/day-after-cyber-attack-a-third-gas-pipeline-data-system-shuts [EN]

Panera Bread : Des données sensibles de près d’1 million de clients exposés

Le site web panarabread.com, appartenant à la chaîne de restaurant Panera bread, a exposé des données personnelles et sensibles de près d’un million de ses clients. La compagnie compte près de 2100 boutiques réparties entre les Etat-Unis et le Canada.
L’erreur de configuration aurait été signalée depuis le 02 Août 2017 par le chercheur Dylan Houlihan, mais celle-ci a été négligée. Dylan Houlihan a ainsi pris contact avec Brian Krebs qui a divulgué l’information sur son blog. Le site a finalement été mis en maintenance par Panera Bread afin de corriger le problème.

 

https://krebsonsecurity.com/2018/04/panerabread-com-leaks-millions-of-customer-records/ [EN]

Moteur d’analyse de malware en ligne : Un chercheur lance l’alerte sur les risques de fuite d’informations

Markus Neis, chercheur de l’entreprise Swisscom AG, a présenté lors de la conférence SAS2018 organisée par Kaspersky, les risques liés à l’usage des moteurs d’analyse de malware en ligne. Neis explique avoir trouvé, grâce à des règles Yara, des milliers de mails confidentiels, des documents internes d’entreprises et des mails gouvernementaux. Il a aussi pu récupérer des documents provenant du DHS et du FBI marqué TLP Green ou TLP Amber. Neis affirme aussi avoir récupéré des clés PGP, des mots de passe VPN ou encore des clés SSH privées sur le service Virustotal.
Dans une démarche plus active, le chercheur a placé un fichier Word piégé et ce dernier a semble-t-il été téléchargé et exécuté depuis plusieurs pays comme les U.S.A, l’Allemagne, la Russie ou la Pologne.
Cette présentation de Neis, démontre une fois de plus l’intérêt de vérifier la nature des documents avant de les envoyer sur les plateformes de scan en ligne. Les entreprise devrait songer à l’usage de sandbox internes destinées à l’analyse des documents internes.

https://threatpost.com/malware-scanning-services-containers-for-sensitive-business-information/124802/ [EN]

Magento CMS : Plusieurs sites e-commerce délivrent des malwares

Des chercheurs de Flashpoint ont découvert récemment que plusieurs sites de e-commerce utilisant le CMS opensource Magento, délivrent des malwares de minage de monnaies virtuelles. Ces derniers ont été compromis par des attaques brute-force qui ont permis aux attaquants d’accéder au panel d’administration. Ils ont ainsi exploité la faiblesse des mots de passe afin de placer du code JavaScript chargé de récupérer les codes des cartes de crédit et déposer des malwares pour miner de la monnaie virtuelle. En plus de cela, les attaquants ont déposé sur les sites compromis des fausses mise à jour d’Adobe Flash, qui une fois exécutées par les victimes, télécharge le malware AZORult, qui à son tour installe un malware de minage de monnaies virtuelles nommé Rarog.
Selon Flashpoint, la plupart des sites compromis, localisés en Europe et aux USA oeuvrent dans le secteur de l’éducation ou de la santé.

https://threatpost.com/malware-scanning-services-containers-for-sensitive-business-information/124802/ [EN]

Microsoft MMPE : Une mise à jour urgente pour corriger une faille critique

Ce mardi 03 Avril 2018, Microsoft a fourni un correctif en urgence afin de corriger une faille critique impactant le moteur antiviral Microsoft Malware Protection Engine (MMPE). La vulnérabilité, identifiée par la CVE-2018-0986 et découverte par un chercheur de Google Project Zero, permet à un attaquant distant d’exécuter du code sur la machine vulnérable avec les privilèges élevés “System”. Pour exploiter cette vulnérabilité, l’attaquant doit envoyer un fichier spécialement conçu au MMPE. Le scan de ce fichier par le MMPE entraînera une corruption de mémoire qui permettra à l’attaquant d’exécuter son code malveillant.
Plusieurs scénarios d’attaques sont possibles. L’attaquant peut envoyer son fichier par mail à la victime, le déposer sur un site que la victime visitera ou encore l’envoyer via des services de messagerie instantanée. L’exploitation ne nécessite aucune interaction de la part de la victime car le scan par MMPE est automatique pour des services comme Microsoft Exchange ou sur les systèmes où Windows Defender est activé par défaut.
Microsoft a fourni la version 1.1.14700.5 de MMPE qui permet de corriger cette vulnérabilité.

 

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0986 [EN]
https://bugs.chromium.org/p/project-zero/issues/detail?id=1543&desc=2 [EN]
https://www.bleepingcomputer.com/news/security/microsoft-out-of-band-security-update-patches-malware-protection-engine-flaw/ [EN]