Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Chrome, PHP, RDP… des vulnérabilités comme s’il en pleuvait…

05 nov. 2019 - 10:18,
Tribune - Charles Blanc-Rolin
Il n’y a pas que le temps qui est maussade ces derniers jours, dans le « cyberespace », les vulnérabilités, elles aussi pleuvent à seaux. Si de nombreuses régions sont actuellement touchées par les inondations, il en est de même pour nos systèmes d’informations, l’eau s’infiltre un peu partout, et la « to-do list » du RSSI finit par déborder.

 

Quand les vulnérabilités ne sont pas exploitées à grande échelle avant même la sortie des correctifs de sécurité, des vulnérabilités de type « 0 day », des « POCs » sont publiés dans la foulée. La durée acceptable d’attente avant l’application des patchs est de plus en plus réduite et la course au collage de rustines n’en finit pas. Bienvenue dans le joyeux monde du tonneau des Danaïdes qu’est la cybersécurité.

La semaine dernière, le CERT-FR de l’ANSSI ouvrait une alerte [1] relative à la mise à disposition publique d’un POC permettant d’exploiter une vulnérabilité corrigée quelques jours auparavant dans PHP, le langage dynamique le plus utilisé du Web. Depuis, un fork du premier POC pour les amateurs de Python a été publié également, autant dire que le rafiot va prendre l’eau si vous ne bouchez pas les trous rapidement. Une configuration très courante du serveur Web Nginx et php-fpm permettrait avec une version vulnérable de PHP, d’exécuter du code arbitraire à distance. Un correctif a été publié le 24 octobre pour les branches 7.1.X, 7.2.X et 7.3.X de PHP, mais les versions 5.X, pas directement exploitables à l’aide du POC dont il est question dans cet alerte, seraient elles aussi vulnérables, comme le souligne l’auteur du POC et le confirme également l’ANSSI. Le problème est que les versions 5.X de PHP ne sont plus maintenues et que si vous avez des serveurs dans ce type de configuration, il serait intéressant de se pencher rapidement sur le plan de migration… En attendant, le CERT-FR vous donne une solution de contournement provisoire.

Google semble s’être fait peur lors de la soirée de Halloween et a publié en urgence un correctif de sécurité pour Chrome [2], afin que le navigateur le plus utilisé au monde ne reste pas à l’état de citrouille maléfique. En effet la vulnérabilité CVE-2019-13720, reportée par les chercheurs de Kaspersky serait déjà activement exploitée via du code JavaScript malveillant implémenté sur des sites Web légitimes, mais corrompues. Elle permettrait l’installation d’un logiciel malveillant, comme l’indique l’ANSSI [3].

Ce qui doit arriver, fini toujours par arriver… Après un correctifs publié par Microsoft, aussi pour XP et 2003 en mai, un scanner mis à disposition en juin par le chercheur Robert Graham, un exploit non publique, puis une implémentation dans Metasploit et de nombreuses alertes, ça y est, c’est fait, le premier vers exploitant la vulnérabilité BlueKeep a été découvert ! Pour rappel, la CVE-2019-0708 impacte l’implémentation du protocole RDP dans les systèmes Windows.
Après un crash des serveurs RDP du honeypot de Kevin Beaumont et son partage d’informations avec le chercheur Marcus Hutchins alias « Malware Tech » (mais si, rappelez-vous ce jeune héro qui a découvert le moyen d’arrêter la propagation du rançongiciel Wannacry en 2017 en achetant un nom de domaine), la nouvelle est tombée, un vers servant à propager un cryptominner pour Monero utilise la vulnérabilité BlueKeep pour se répandre [4]. Vous sentez le raz de marrée arriver ? Si ce n’est pas encore fait, patchez et activez l’authentification NLA sur vos serveurs RDS…

Si vous n’avez pas envie de passer du temps à éponger, préparez vos barricades pour les inondations à venir. L’eau monte très vite...


[1] https://www.forum-sih.fr/viewtopic.php?f=78&t=1334&p=5310#p5300

[2] https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_31.html

[3] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-015/

[4] https://doublepulsar.com/bluekeep-exploitation-activity-seen-in-the-wild-bd6ee6e599a6 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Traçabilité des DMI : votre établissement de santé n’est pas encore en conformité ?

Traçabilité des DMI : votre établissement de santé n’est pas encore en conformité ?

20 oct. 2025 - 14:04,

Communiqué

- Computer Engineering

Pas de panique ! Vous êtes encore nombreux à chercher des solutions dématérialisées pour répondre à l’évolution de la réglementation européenne concernant le suivi renforcé des Dispositifs Médicaux Implantables (DMI).

Illustration L’ARS Pays de la Loire dévoile sa feuille de route du numérique en santé 2025-2026 en Mayenne

L’ARS Pays de la Loire dévoile sa feuille de route du numérique en santé 2025-2026 en Mayenne

17 oct. 2025 - 10:18,

Actualité

- Rédaction, DSIH

L’Agence régionale de santé (ARS) Pays de la Loire, en partenariat avec la Caisse primaire d’assurance maladie (CPAM) de la Mayenne et le groupement e-santé régional, a présenté la feuille de route du numérique en santé 2025-2026.

Illustration Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients

Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients

13 oct. 2025 - 19:56,

Communiqué

- CHU de Reims

Le Centre hospitalier universitaire de Reims franchit une étape majeure dans sa stratégie de sécurisation des données de santé en obtenant la double certification ISO 27001 :2022 et Hébergeur de données en santé (HDS) V2. Ces certifications attestent de la conformité du CHU aux normes les plus exige...

Illustration Accès au DPI et secret médical : un professionnel de santé ne peut tout voir, même en équipe

Accès au DPI et secret médical : un professionnel de santé ne peut tout voir, même en équipe

13 oct. 2025 - 11:17,

Tribune

-
Alexandre FIEVEÉ &
Alice ROBERT

L’accès aux dossiers patients informatisés (« DPI ») dans le respect du secret médical est une question épineuse à laquelle sont confrontés, au quotidien, les professionnels de santé. Dans une récente affaire, le Conseil d’Etat s’est prononcé sur le cas de l’accès aux DPI d’un service médical hospit...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.