| Newsletter CERT-OPMD

L’équipe CERT-OPMD vous propose de réagir sur l’actualité à travers sa newsletter hebdomadaire.

Red Hat Linux : une faille critique impacte le client DHCP

Felix Wilhelm, un chercheur de l’équipe Google Security, a découvert une vulnérabilité critique qui impacte le client DHCP. Identifiée par la CVE-2018-1111, la faille de type injection de commandes permet à un attaquant distant d’exécuter des commandes arbitraires sur la machine de la victime avec les privilèges de l’utilisateur root. Afin d’exploiter cette vulnérabilité, l’attaquant doit envoyer une réponse DHCP spécialement formée au client DHCP de la victime.
Une preuve de concept a été mise à disposition. Red Hat confirme de son côté que la vulnérabilité impacte Red Hat Enterprise Linux 6 et 7. La distribution Fedora est elle aussi impactée. Les distributions comme OpenSUSE, Ubuntu et Debian ne sont en revanche pas impactées.

https://thehackernews.com/2018/05/linux-dhcp-hacking.html  [EN]
https://twitter.com/_fel1x/status/996388421273882626 [EN]
https://twitter.com/Barknkilic/status/996470756283486209 [EN]

Malware TeleGrab : le grizzly s’attaque à la messagerie sécurisée

Depuis près d’un mois et demi, les chercheurs de Talos ont observé l’émergence d’un nouveau malware nommé TeleGrab. Ce dernier cible la version desktop de l’application Telegram, une messagerie sécurisée, afin d’en récupérer le cache et les fichiers clés. Il s’attaque également aux informations de connexion du service de jeu vidéo Steam. Les données ainsi collectées sont envoyées vers des comptes pcloud.com où elles sont stockées en clair et accessibles par toute personne ayant accès aux dits comptes. Ces informations permettent le détournement de la session Telegram de la victime.
Selon les informations fournies par Talos, le malware cible principalement les utilisateurs russophones et semble éviter toute IP en lien avec des services d’anonymisation.

https://blog.talosintelligence.com/2018/05/telegrab.html [EN]

Roaming Mantis : le malware qui infecte les smartphones via les routeurs Wi-Fi

Un mois après la découverte du malware Roaming Mantis, les chercheurs de Kaspersky apportent de nouvelles informations. On note une augmentation du nombre de pays visés avec l’ajout du support pour une vingtaine de langues dont l’arabe, l’allemand et le russe. Afin d’infecter les terminaux mobiles, le malware se sert de routeurs Wi-Fi vulnérables sur lesquels il utilise la technique du DNS hijacking. Le DNS hijacking permet de rediriger les utilisateurs Android vers une application malveillante nommée chrome.apk ou facebook.apk. Le malware s’attaque désormais aussi au système iOS d’Apple en usant du DNS Hijacking afin de rediriger la victime vers un faux site lui demandant de rentrer ses identifiants Apple Store puis ses données bancaires. Enfin, le ou les auteurs du malware lui ont ajouté un module qui cible les utilisateurs d’ ordinateurs fixes ou portables. Ledit module permet l’injection de code JavaScripts dans les pages web visitées par la victime afin de miner de la cryptomonnaie.

https://securelist.com/roaming-mantis-dabbles-in-mining-and-phishing-multilingually/85607/ [EN]
https://www.kaspersky.com/blog/roaming-mantis-malware/22427/ [EN]

Drupalgeddon : étude de l’étendue des dégâts

Drupal est un des CMS (Content Management System) les plus utilisés dans le monde. Il a récemment été en proie à plusieurs vulnérabilités critiques permettant d’exécuter du code arbitraire à distance, et dont certains exploits sont publiquement accessibles. Les chercheurs de malwarebytes dressent une étude des menaces propagées par les attaquants via les sites compromis. Sur près de 80000 sites Drupal collectés par Shodan et PublicWWW, 900 ont rapidement montré des signes d’infection. Ces infections véhiculent principalement trois types de menaces : des mineurs web de cryptomonnaies, des fausses mises à jours ainsi que des campagnes de scam.

https://blog.malwarebytes.com/threat-analysis/2018/05/look-drupalgeddon-client-side-attacks/ [EN]

Serveur CalAmp : une mauvaise configuration permet de prendre le contrôle de plusieurs véhicules

Lors d’une recherche de vulnérabilités sur le système Viper SmartStart, les chercheurs Vangelis Stykas et George Lavdanis ont fait une grande découverte sur des serveurs gérés par l’entreprise CalAmp. Ces derniers, mal configurés, permettent à tout le monde d’avoir accès aux données des comptes clients et donc de prendre le contrôle à distance des voitures associées. Viper SmartStart est un équipement permettant aux utilisateurs de démarrer, verrouiller, déverrouiller et localiser leur véhicule depuis une application mobile.

https://medium.com/@evstykas/remote-smart-car-hacking-with-just-a-phone-2fe7ca682162 [EN]

Adobe Acrobat Reader : deux exploits de zero-day découverts dans la nature

Vers la fin du mois de mars, les chercheurs de l’entreprise ESET ont découvert un fichier pdf très intéressant permettant d’exécuter du code avec des privilèges élevés. Le fichier en question contenait deux exploits. Le premier (CVE-2018-4990) permet d’exécuter du code dans le lecteur d’Adobe, et le second (CVE-2018-8120) permet une élévation de privilèges sur Windows. Ce type de fichier est typiquement celui utilisé dans les attaques de type APT.
Les chercheurs d’ESET ont fait cette découverte sur un site d’analyse en ligne comme VirusTotal. Le fichier en lui-même ne dépose pas de payload sur la machine, ce qui laisse penser qu’il s’agit d’une attaque en cours de développement. Reste à savoir comment les attaquants ont pu commettre l’erreur d’envoyer le fichier sur internet.

https://www.welivesecurity.com/2018/05/15/tale-two-zero-days/  [EN]