30 avril Toulouse : Thales Roadshow 2024 : « Unlock your Cyber ! »

Abonnez-vous gratuitement à notre NEWSLETTER

Vulnérabilités

CERT-XMCO : Avis d’expert, semaine du 2 au 8 avril 2012

avril 2012 par CERT-XMCO

- Date : 11 Avril 2012

- Criticité : Moyenne

- Description :
Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d’expert :
Le CERT-XMCO recommande l’installation des nombreux correctifs Oracle publiés cette semaine pour le système d’exploitation Solaris [1], ainsi que du dernier correctif Java proposé par Apple [2]. L’une des failles corrigées est actuellement exploitée par le malware FlashBack afin de prendre le contrôle des systèmes Apple. Le botnet serait actuellement constitué de plusieurs centaines de milliers de systèmes compromis.

* Résumé des évènements majeurs :

– Vulnérabilités :
Une vulnérabilité a été rendue publique cette semaine. Celle-ci concerne le logiciel EMC Data Protection [3] et peut être exploitée afin de provoquer un déni de service à distance.

– Correctifs :
Oracle a publié un grand nombre de correctifs pour son système d’exploitation Solaris [1]. Parmi les logiciels concernés figurent Tomcat, OpenSSL, les librairies Libc, LibTiff, PNG et FreeType, Wireshark, Ghoscript, Perl, X11, ZIP, DHCP, Quagga, Thunderbird et enfin Firefox.

Plusieurs autres correctifs ont été publiés. Ceux-ci concernent HP Business Availability Center [4], HP-UX [5], HP Onboard Administrator [6], IBM Tivoli Event Pump [7], IBM Cognos TM1 [8], IBM Tivoli Directory Server [9], Juniper IVE OS NEtwork Connect/Pulse [10], Cisco WebEx Player [11], Java pour Mac OS X [12] et HP-UX [13], Joomla ! [14], Google Chrome [15], Novell iManager [16] et enfin les produits Check Point [17].

Enfin, Microsoft [18] et Adobe [19] ont respectivement annoncé la publication, le 10 avril, de six et d’un correctif pour leurs différents logiciels.

– Conférence / Recherche :
Le numéro de carte bancaire [20] enregistré sur une Xbox 360 peut être dérobé, et ce, même si celle-ci a été réinitialisée. En effet, les données ne seraient pas effacées de manière sécurisée. Ces dernières peuvent donc être récupérées par un pirate en utilisant simplement certains outils gratuits et disponibles sur internet.

Verizon a publié la version 2012 de son rapport intitulé "Data Breach Investigations Report" [21]. Selon le rapport, la majorité des infractions proviendrait d’attaques externes. Celles d’origine interne seraient moins détectées ou davantage censurées par les victimes. Concernant les petites structures, Verizon estime que la plupart des attaques sont conduites de manière opportuniste et non basées sur un réel choix préalable des cibles. En revanche, les organisations importantes seraient davantage concernées par des attaques ciblées. Parmi les évolutions par rapport aux années précédentes, Verizon évoque une hausse de l’hacktivisme, directement lié aux nombreux évènements de l’année 2011 attribués notamment aux groupes Anonymous et Lulzsec.

– Cybercriminalité / Attaques :
Sophos [22] a fermé temporairement son portail "Partenaire" après avoir découvert la compromission de ses serveurs. Selon l’éditeur, la compromission serait considérée comme relativement peu critique compte tenu de la quantité de données présentes sur le serveur.

Les Mac sont désormais clairement visés par les pirates. FlashBack [23], un malware connu depuis septembre dernier continue d’évoluer. Il aurait permis à ses auteurs de constituer un botnet de plus de 600 000 postes compromis. La dernière faille exploitée par le virus serait la faille Java corrigée par Oracle il y a quelque semaine. De nombreux spécialistes dénoncent le comportement d’Apple qui empêcherait Oracle de mettre en place un mécanisme de mises à jour automatique au sein de Java, laissant ainsi les utilisateurs à la merci des pirates durant le (long) laps de temps durant lequel la faille est connue des pirates, sans pour autant que le correctif d’Apple soit publié.

La société Trusteer a découvert l’ajout d’une nouvelle fonctionnalité "Web Inject" au botnet ICE IX [24]. Celui-ci pourrait maintenant afficher une page de phishing à tous les utilisateurs de Facebook infecté. Les chercheurs ont découvert cela en trouvant une vidéo de démonstration de la fonctionnalité. Cet exemple met clairement en avant le côté "marketing" aussi présent dans les activités des professionnels du monde "underground".

– Entreprise :
Le processeur de paiement Global Payments [25] a communiqué sur les conséquences de l’attaque dont il a été victime. Le bilan est revu drastiquement à la baisse, même si la fuite de données personnelles reste très importante : le chiffre astronomique avancé de 10 millions de cartes est ainsi réduit à 1,5 million. Les analystes du cabinet estiment cependant avoir les moyens d’absorber les coûts de l’incident.

XMCO a récemment publié un nouvel article sur son blog :
* Les terminaux de paiement QIWI arrivent aux États-Unis
http://blog.xmco.fr/index.php?post/2012/04/05/Les-terminaux-de-paiement-QIWI-arrivent-aux-États-Unis
* Les cybercriminels, des blanchisseurs comme les autres ?
http://blog.xmco.fr/index.php?post/2012/04/04/Les-cybercriminels%2C-des-blanchisseurs-comme-les-autres

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

- Référence :