Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Chrome, PHP, RDP… des vulnérabilités comme s’il en pleuvait…

05 nov. 2019 - 10:18,
Tribune - Charles Blanc-Rolin
Il n’y a pas que le temps qui est maussade ces derniers jours, dans le « cyberespace », les vulnérabilités, elles aussi pleuvent à seaux. Si de nombreuses régions sont actuellement touchées par les inondations, il en est de même pour nos systèmes d’informations, l’eau s’infiltre un peu partout, et la « to-do list » du RSSI finit par déborder.

 

Quand les vulnérabilités ne sont pas exploitées à grande échelle avant même la sortie des correctifs de sécurité, des vulnérabilités de type « 0 day », des « POCs » sont publiés dans la foulée. La durée acceptable d’attente avant l’application des patchs est de plus en plus réduite et la course au collage de rustines n’en finit pas. Bienvenue dans le joyeux monde du tonneau des Danaïdes qu’est la cybersécurité.

La semaine dernière, le CERT-FR de l’ANSSI ouvrait une alerte [1] relative à la mise à disposition publique d’un POC permettant d’exploiter une vulnérabilité corrigée quelques jours auparavant dans PHP, le langage dynamique le plus utilisé du Web. Depuis, un fork du premier POC pour les amateurs de Python a été publié également, autant dire que le rafiot va prendre l’eau si vous ne bouchez pas les trous rapidement. Une configuration très courante du serveur Web Nginx et php-fpm permettrait avec une version vulnérable de PHP, d’exécuter du code arbitraire à distance. Un correctif a été publié le 24 octobre pour les branches 7.1.X, 7.2.X et 7.3.X de PHP, mais les versions 5.X, pas directement exploitables à l’aide du POC dont il est question dans cet alerte, seraient elles aussi vulnérables, comme le souligne l’auteur du POC et le confirme également l’ANSSI. Le problème est que les versions 5.X de PHP ne sont plus maintenues et que si vous avez des serveurs dans ce type de configuration, il serait intéressant de se pencher rapidement sur le plan de migration… En attendant, le CERT-FR vous donne une solution de contournement provisoire.

Google semble s’être fait peur lors de la soirée de Halloween et a publié en urgence un correctif de sécurité pour Chrome [2], afin que le navigateur le plus utilisé au monde ne reste pas à l’état de citrouille maléfique. En effet la vulnérabilité CVE-2019-13720, reportée par les chercheurs de Kaspersky serait déjà activement exploitée via du code JavaScript malveillant implémenté sur des sites Web légitimes, mais corrompues. Elle permettrait l’installation d’un logiciel malveillant, comme l’indique l’ANSSI [3].

Ce qui doit arriver, fini toujours par arriver… Après un correctifs publié par Microsoft, aussi pour XP et 2003 en mai, un scanner mis à disposition en juin par le chercheur Robert Graham, un exploit non publique, puis une implémentation dans Metasploit et de nombreuses alertes, ça y est, c’est fait, le premier vers exploitant la vulnérabilité BlueKeep a été découvert ! Pour rappel, la CVE-2019-0708 impacte l’implémentation du protocole RDP dans les systèmes Windows.
Après un crash des serveurs RDP du honeypot de Kevin Beaumont et son partage d’informations avec le chercheur Marcus Hutchins alias « Malware Tech » (mais si, rappelez-vous ce jeune héro qui a découvert le moyen d’arrêter la propagation du rançongiciel Wannacry en 2017 en achetant un nom de domaine), la nouvelle est tombée, un vers servant à propager un cryptominner pour Monero utilise la vulnérabilité BlueKeep pour se répandre [4]. Vous sentez le raz de marrée arriver ? Si ce n’est pas encore fait, patchez et activez l’authentification NLA sur vos serveurs RDS…

Si vous n’avez pas envie de passer du temps à éponger, préparez vos barricades pour les inondations à venir. L’eau monte très vite...


[1] https://www.forum-sih.fr/viewtopic.php?f=78&t=1334&p=5310#p5300

[2] https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_31.html

[3] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-015/

[4] https://doublepulsar.com/bluekeep-exploitation-activity-seen-in-the-wild-bd6ee6e599a6 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

Horizon Santé 360 : Innovons ensemble pour notre souveraineté en santé

02 oct. 2025 - 10:31,

Communiqué

- La Poste Santé & Autonomie

Rendez-vous le 9 octobre 2025 à Paris pour la 3ᵉ édition d’Horizon Santé 360, l'événement annuel de La Poste Santé & Autonomie.

Illustration Le Data Act : une nouvelle ère pour la gouvernance des données de santé

Le Data Act : une nouvelle ère pour la gouvernance des données de santé

30 sept. 2025 - 07:15,

Tribune

-
Marguerite Brac de La Perrière

Le 12 septembre 2025 a marqué une étape décisive dans la stratégie européenne de la donnée avec l’entrée en application du Data Act (Règlement UE 2023/2854). Ce texte, pilier du marché unique de la donnée, vise à encadrer l’accès, le partage et la portabilité des données générées par les produits ...

Illustration « Intelligence artificielle au service de la santé » : quelle stratégie nationale règlementaire ?

« Intelligence artificielle au service de la santé » : quelle stratégie nationale règlementaire ?

29 sept. 2025 - 20:33,

Tribune

-
Alexandre FIEVEÉ &
Alice ROBERT

Partant du constat que l’IA est un « levier de transformation majeur » pour le système de santé français et qu’il est nécessaire d’organiser son développement en tenant compte de paramètres clés tels que la confiance et la clarté du paysage règlementaire et éthique, une stratégie interministérielle ...

Illustration Domaine 2 du programme CaRE : une matinée pour se faire accompagner

Domaine 2 du programme CaRE : une matinée pour se faire accompagner

29 sept. 2025 - 11:30,

Actualité

- Valentine Bellanger, DSIH

Dans le cadre de son Tour de France, Orange Cyberdefense propose des matinales de rencontres et d’échanges autour d’une thématique très attendue : le Domaine 2 du programme CaRE (1). L’objectif : maîtriser les prérequis du programme CaRE et se faire accompagner pour bénéficier des soutiens financier...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.