une vulnérabilité dans le plug-in WebAdmin d'OpenDreamBox 2.0.0 permet à des pirates d'exécuter des commandes à distance
En juillet 2019, une nouvelle vulnérabilité a été découverte dans le plug-in WebAdmin d'OpenDreamBox 2.0.0, qui a touché 32% des entreprises dans le monde au cours du mois dernier.
Classée au 8e rang des vulnérabilités les plus exploitées, elle permet à des pirates d’exécuter des commandes à distance sur les machines ciblées. L’attaque a été déclenché parallèlement à d'autres attaques ciblant des objets connectés, notamment avec l'exécution de code à distance MVPower DVR - la troisième vulnérabilité la plus exploitée en juillet 2009 -, également associée au botnet Mirai. Le fait que tant d'entreprises aient été touchées par une faille de sécurité récemment découverte montre à quel point il est important pour les entreprises de se protéger elles-mêmes en appliquant des cycles de correctifs réguliers.
En juillet 2019, l’activité de Cryptoloot a connu une baisse importante, passant du troisième rang en juin 2019 au dixième rang des principaux logiciels malveillants. Il figure en tête de la liste des principaux logiciels malveillants depuis un an et demi et s'est classé au second rang des variantes de logiciels malveillants les plus répandues au premier semestre 2019, touchant 7,2 % des entreprises dans le monde. Nous pensons que cette baisse est liée à son principal concurrent, Coinhive, qui a cessé ses activités plus tôt en 2019. Les pirates se tournent simplement vers d'autres logiciels malveillants d’extraction de cryptomonnaie tels que XMRig et Jsecoin.
Top 10 des logiciels malveillants "les plus recherchés" en juillet 2019 :
* Les flèches indiquent le changement de position par rapport au mois précédent.
XMRig est en tête du classement des principaux logiciels malveillants, touchant 7 % des entreprises dans le monde. Jsecoin et Dorkbot ont eu un impact global de 6 % respectivement.
1.↔ XMRig – Un logiciel open source utilisant les ressources du processeur pour extraire de la cryptomonnaie Monero. Il a été découvert pour la première fois en mai 2017.
2.↔ Jsecoin – Un extracteur de cryptomonnaie en java-script qui peut être intégré dans des sites web. Avec JSEcoin, il est possible d’exécuter directement l’extracteur dans un navigateur en échange d'une navigation sans publicité, de la monnaie dans des jeux et d'autres avantages.
3.↑ Dorkbot – Un ver IRC conçu pour exécuter du code à distance et télécharger des logiciels malveillants supplémentaires sur les systèmes infectés.
4.↑ Emotet – Un cheval de Troie avancé, autonome et modulaire. Auparavant un cheval de Troie bancaire, il est actuellement utilisé pour diffuser d’autres logiciels malveillants ou mener d’autres campagnes malveillantes. Il utilise plusieurs techniques de persistance et d'évasion pour échapper à toute détection, et peut être transmis via des emails de spam et de phishing contenant des pièces jointes ou des liens malveillants.
5.↑ Nanocore – Un cheval de Troie d'accès à distance, qui propose des plug-ins de base et des fonctionnalités de capture d'écran, d'extraction de crypto-monnaie, de contrôle à distance du bureau et de détournement de session de webcam.
6.↑ Agentesla – Un outil avancé d’accès à distance servant à enregistrer les frappes au clavier et dérober des mots de passe. Il est en mesure de surveiller et collecter les frappes au clavier, le contenu du presse-papiers, d’effectuer des captures d'écran et d'exfiltrer les identifiants de différents logiciels installés sur la machine de la victime (y compris Google Chrome, Mozilla Firefox et le client de messagerie Microsoft Outlook).
7.↑ Trickbot – Un cheval de Troie bancaire très répandu, constamment mis à jour et doté de nouveaux moyens, de nouvelles fonctionnalités et de vecteurs de diffusion différents. Ce logiciel malveillant flexible et personnalisable peut être diffusé via des campagnes à objectifs multiples.
8. ↓ Ramnit – Un cheval de Troie bancaire dérobant les informations d'identification de sites bancaires, mots de passe FTP, cookies de session et données personnelles.
9. ↔ Formbook – Un logiciel malveillant de vol d’informations qui collecte des identifiants dans différents navigateurs web, effectue des captures d'écran, surveille et enregistre les frappes au clavier, et télécharge et exécute des fichiers en fonction des ordres reçus depuis un serveur de commande et de contrôle.
10.↓ Cryptoloot – Un extracteur de cryptomonnaie utilisant le processeur central ou le processeur graphique, et les ressources existantes de la victime, ajoutant des transactions à la blockchain et émettant de nouvelles unités de monnaie. Il s'agissait d'un concurrent de Coinhive, qui tentait de le devancer en demandant un pourcentage moins élevé des revenus générés à partir des sites web.
Top 3 des logiciels malveillants mobiles "les plus recherchés" en juillet 2019 :
En juillet, Lotoor était le logiciel malveillant mobile le plus répandu, suivi d'AndroidBauts et de Piom, deux nouvelles familles figurant dans la liste des logiciels malveillants mobiles pour la première fois.
1.Lotoor – Un outil de piratage ciblant des vulnérabilités des systèmes d'exploitation Android afin d'obtenir des privilèges root sur les appareils mobiles compromis.
2. AndroidBauts – Un logiciel publicitaire malveillant ciblant les utilisateurs Android. Il exfiltre les numéros IMEI et IMSI, la localisation GPS et d’autres informations depuis les appareils, et permet l'installation d'applications et de raccourcis tiers sur les appareils mobiles.
3.Piom – Un logiciel publicitaire malveillant qui surveille les habitudes de navigation des utilisateurs et diffuse des publicités indésirables en fonction des activités.
Vulnérabilités les plus exploitées en juin 2019 :
Les techniques d'injection SQL continuent de figurer en tête de liste des principales vulnérabilités exploitées, touchant 46 % des entreprises dans le monde. En seconde position, la vulnérabilité de récupération d’informations OpenSSL TLS DTLS Heartbeat avec un impact global de 41 %, suivie de près par l'exécution de code à distance MVPower DVR, qui a touché 40 % des entreprises dans le monde.
1.↔ Injection SQL (plusieurs techniques) – Injection de requêtes SQL dans les données fournies par les utilisateurs à des applications, tout en exploitant une faille de sécurité dans ces applications.
2.↔ Récupération d'informations OpenSSL TLS DTLS heartbeat (CVE-2014-0160, CVE-2014-0346) – Il existe une vulnérabilité de récupération d'informations dans OpenSSL. Cette vulnérabilité est due à une erreur de gestion des paquets dans la fonction TLS/DTLS heartbeat. Un pirate peut exploiter cette vulnérabilité pour récupérer le contenu de la mémoire d'un client ou d'un serveur connecté.
3.↑ Exécution de code à distance MVPower DVR – Une vulnérabilité d'exécution de code à distance existe dans les appareils MVPower DVR. Un pirate peut exploiter cette vulnérabilité à distance pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.
4.↑ Récupération d'informations sur le référentiel Git d’un serveur web exposé – Une vulnérabilité de récupération d'informations a été signalée dans le référentiel Git. Une exploitation réussie de cette vulnérabilité permettrait la publication non intentionnelle d'informations de compte.
5.↓ Exécution de commandes à distance par injection d’objets dans Joomla! (CVE-2015-8562) – Une vulnérabilité d'exécution de commandes à distance a été signalée sur les plates-formes Joomla. Cette vulnérabilité est due à un défaut de validation des objets fournis en entrée, pouvant conduire à l'exécution de code à distance. Un pirate distant pourrait exploiter cette vulnérabilité en envoyant une requête HTTP malveillante à une victime. Une exploitation réussie de cette vulnérabilité peut entraîner l'exécution de code arbitraire dans le contexte de l'utilisateur ciblé.
6. ↓ Récupération d'informations PHP DIESCAN – Une vulnérabilité de récupération d’informations a été signalée dans des pages en PHP. Une exploitation réussie de cette vulnérabilité pourrait entraîner la récupération d’informations sensibles sur le serveur.
7. ↓ Contournement de l'authentification du plug-in phpMyAdmin portable dans WordPress – Il existe une vulnérabilité de contournement de l’authentification du plug-in phpMyAdmin portable dans WordPress. Une exploitation réussie de cette vulnérabilité permettrait à des pirates distants d’obtenir des informations sensibles et un accès non autorisé au système affecté.
8. ↑ Exécution de code à distance dans le plug-in WebAdmin d’OpenDreamBox – Une vulnérabilité d'exécution de code à distance existe dans le plug-in WebAdmin d’OpenDreamBox. Une exploitation réussie de cette vulnérabilité permettrait à un pirate d'exécuter du code arbitraire sur la machine ciblée.
9. ↓ Exécution de commandes à distance sur D-Link DSL-2750B – Une vulnérabilité d'exécution de code à distance a été signalée dans les routeurs D-Link DSL-2750B. Une exploitation réussie de cette vulnérabilité pourrait conduire à l'exécution de code sur les appareils affectés.
10.↑ Débordement de la mémoire tampon dans Microsoft IIS WebDAV ScStoragePathFromUrl (CVE-2017-7269) – L’envoi d’une requête spécialement conçue à Microsoft Windows Server 2003 R2, via Microsoft Internet Information Services 6.0 sur un réseau, permettrait à un pirate d’exécuter à distance du code arbitraire ou provoquer un déni de service sur le serveur ciblé. Cela est principalement dû à une vulnérabilité de débordement de mémoire tampon résultant d'une validation incorrecte d'un en-tête long dans une requête HTTP.
Des ressources publiées par Check Point sur la prévention des menaces sont disponibles sur : http://www.checkpoint.com/threat-prevention-resources/index.html
Focus sur Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. www.checkpoint.com est l’un des principaux fournisseurs de solutions de cybersécurité pour les gouvernements et les entreprises dans le monde. Les solutions de Check Point protègent les clients des cyberattaques de 5e génération grâce à un taux de blocage inégalé des logiciels malveillants, des logiciels rançonneurs et autres menaces ciblées avancées. Check Point propose "Infinity Total Protection avec prévention avancée des menaces de 5e génération", une architecture de sécurité à plusieurs niveaux, qui défend les Clouds, les réseaux et les appareils mobiles des entreprises. Check Point fournit le système d’administration unifiée de la sécurité le plus complet et le plus intuitif. Check Point protège plus de 100 000 entreprises de toute taille.
Le 8 août 2019