L’actualité cyber sécurité de la semaine dernière (du 18 au 24 septembre 2017)

de | 24 septembre 2017

Voici ce que j’ai retenu de l’actualité cyber sécurité de la semaine dernière : L’infection du logiciel CCleaner par un back door et un malware a touché plus de 2 millions de machines mais aussi Cisco, Intel, Sony Samsung et Microsoft. L’agence fédérale américaine de réglementation et de contrôle des marchés financiers SEC ébranlée par une nouvelle intrusion dans leurs systèmes. Le botnet Linux.ProxyM évolue pour maintenant envoyer des spams. L’actu récurrente : la divulgation d’information depuis une bucket AWS S3 mal configurée qui permet d’accéder à des informations de suivi GPS de 540 000 véhicules de location. Vulnérabilité critique sur VMware à corriger rapidement pour éviter des VM escapes.

Sur la partie outil : automatisation de la sécurité des serveurs Linux, Simulateur d’attaques pour tester ses IDS, SSH honeypot

Le système d’information de la société Piriform, qui édite le logiciel CCleaner d’optimisation et de nettoyage des systèmes d’exploitation Microsoft Windows, a été corrompu : un malware et un back door ont été intégré à l’édition 32-bits de la version 5.33.6162 de CCleaner ainsi que la version 1.07.3191 de CCleaner Cloud. Le malware avait pour objectif la collecte d’informations techniques du PC infectés. Le back door quant à lui permettrait de télécharger d’autres malwares et de les exécuter, cette fonction ne semblait pas avoir été utilisée. Les versions infectées étaient disponibles entre le 15 août et le 12 septembre dernier. La société Avast, qui avait racheté en juillet dernier la société Piriform, estime que 2,27 millions nombre de PCs infectés. Le 18 septembre, Piriform publie ses excuses et invite les utilisateurs de CCleaner à passer à la dernière version du logiciel qui éradiquée le malware et le back door.

L’affaire aurait pu s’arrêter là… mais non. Le 20 septembre, la société de recherche en cybersécurité Talos, racheté par Cisco, publie une analyse complète du malware qui avait infecté CCleaner : elle a détecté que le malware ciblé des entreprises spécifiques telles que Intel, Sony Samsung, Microsoft, Akamai, VMware, Google,… ainsi que Cisco. Talos a identifié qu’une vingtaine de PC ont été ciblées par une seconde charge utilisant le backdoor. La société de recherche en cyber sécurité a contacté les entreprises victimes de cette charge. L’analyse de la charge montre qu’il s’agit d’une réutilisation de malwares utilisés par un groupe de pirates désigné par Group 72, spécialisé dans le cyber espionnage des grandes organisations.


La SEC – US. Securities and Exchange Commission, agence fédérale américaine de réglementation et de contrôle des marchés financiers a révélé, au milieu d’un long communiqué, qu’une intrusion dans ses systèmes a eu lieu en 2016. Cet incident semble avoir permis l’exécution de transactions à partir de données confidentielles collectées dans ces systèmes, permettant ainsi de faire des “profits illicites”. Le système EDGAR a été la cible de l’attaque : il est utilisé par les entreprises américaines afin de déposer leurs comptes annuels, mais aussi des informations plus sensibles liés, par exemples, à leurs fusions et acquisitions qui doivent être préalablement validées par la SEC. Il s’agit de la seconde utilisation frauduleuse du système EDGAR en 2016. En effet, une personne malveillante avait réussi à se faire créer un compte dans le système afin d’influer sur le cours de la société Fitbit… pour gagner 3 100 €.


Découvert au mois de février 2017, le botnet Linux.ProxyM ciblait les objets connectés basés sur le système d’exploitation Linux (Mirai n’est pas le seul). Le botnet était utilisé comme relais de trafic malicieux vers des cibles : plus de 10 000 attaques ont été détectées en juin 2017 et qui transitaient par des objets connectés infectés, le nombre de ces derniers est évalué à 4 500. Depuis le mois de juillet, une évolution du botnet permet d’envoyer des spams depuis les objets connectés infectés. Un objet connecté est capable de transmettre 400 spams par jour. Pour le moment, le contenu renvoie vers des sites pour adultes.


Et c’est partie pour une nouvelle Bucket S3 mal configurée et qui cette fois rend accessibles les informations de suivi GPS de près de 540 000 véhicules de location circulant sur le territoire américain. Ces données sont utilisées par le service “SVR”, pour Stolen Vehicle Records, qui permet à une personne de géolocaliser son véhicule si celui-ci a été volé. Les données publiées : identifiants et hash des mots de passe des loueurs, numéro IMEI de l’accès GPRS pour la transmission de la localisation GPS, ainsi que les coordonnés GPS des déplacements du véhicule sur les 120 derniers jours. Par ailleurs, le service permet de disposer de la location géographique en temps réel des véhicules associé au compte d’accès.


Une vulnérabilité CVE-2017-4924 qui permet une VM escape (exploitation d’une faille qui permet à une machine virtuelle d’interagir directement avec le système de virtualisation hôte), été découverte dans les produits VMware suivants : ESXi version 6.5, Workstation 12.x, et Fusion 8.x sur OSX. La vulnérabilité a été jugée critique du fait de l’impact. Néanmoins, son exploitation est complexe et nécessite un accès à la machine virtuel >> à corriger rapidement.

Le bulletin de sécurité VMware présente également d’autres vulnérabilités avec un niveau de sévérité modéré.


Outils :

  • DefenseMatrix : est un outil qui simplifie et automatise la configuration des fonctions de sécurité sur un serveur Linux : iptables et arptables, détection de rootkit, vérification de la complexité des mots de passe, etc. : https://github.com/K4YT3X/DefenseMatrix  
  • RHAPIS – Network Intrusion Detection Systems Simulator : est un outil qui permet de simuler des attaques réseaux spécifiques afin de tester le bon fonctionnement et la configuration de sondes de détection d’intrusion : https://github.com/fsiamp/rhapis
  • Ssh-honeypot : est un programme qui créé un faux serveur SSH. Il permet de collecter les IP sources de accédants ainsi que les identifiants et les mots de passe utilisés : https://github.com/droberson/ssh-honeypot

Une réflexion au sujet de « L’actualité cyber sécurité de la semaine dernière (du 18 au 24 septembre 2017) »

  1. Ping : Bilan des dernières cyber attaques contre le secteur de l’énergie – Cyber sécurité, confiance numérique, sécurité des nouveaux usages, objets connectés, blockchain, etc.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *