Publicité en cours de chargement...
Chrome, PHP, RDP… des vulnérabilités comme s’il en pleuvait…
Quand les vulnérabilités ne sont pas exploitées à grande échelle avant même la sortie des correctifs de sécurité, des vulnérabilités de type « 0 day », des « POCs » sont publiés dans la foulée. La durée acceptable d’attente avant l’application des patchs est de plus en plus réduite et la course au collage de rustines n’en finit pas. Bienvenue dans le joyeux monde du tonneau des Danaïdes qu’est la cybersécurité.
La semaine dernière, le CERT-FR de l’ANSSI ouvrait une alerte [1] relative à la mise à disposition publique d’un POC permettant d’exploiter une vulnérabilité corrigée quelques jours auparavant dans PHP, le langage dynamique le plus utilisé du Web. Depuis, un fork du premier POC pour les amateurs de Python a été publié également, autant dire que le rafiot va prendre l’eau si vous ne bouchez pas les trous rapidement. Une configuration très courante du serveur Web Nginx et php-fpm permettrait avec une version vulnérable de PHP, d’exécuter du code arbitraire à distance. Un correctif a été publié le 24 octobre pour les branches 7.1.X, 7.2.X et 7.3.X de PHP, mais les versions 5.X, pas directement exploitables à l’aide du POC dont il est question dans cet alerte, seraient elles aussi vulnérables, comme le souligne l’auteur du POC et le confirme également l’ANSSI. Le problème est que les versions 5.X de PHP ne sont plus maintenues et que si vous avez des serveurs dans ce type de configuration, il serait intéressant de se pencher rapidement sur le plan de migration… En attendant, le CERT-FR vous donne une solution de contournement provisoire.
Google semble s’être fait peur lors de la soirée de Halloween et a publié en urgence un correctif de sécurité pour Chrome [2], afin que le navigateur le plus utilisé au monde ne reste pas à l’état de citrouille maléfique. En effet la vulnérabilité CVE-2019-13720, reportée par les chercheurs de Kaspersky serait déjà activement exploitée via du code JavaScript malveillant implémenté sur des sites Web légitimes, mais corrompues. Elle permettrait l’installation d’un logiciel malveillant, comme l’indique l’ANSSI [3].
Ce qui doit arriver, fini toujours par arriver… Après un correctifs publié par Microsoft, aussi pour XP et 2003 en mai, un scanner mis à disposition en juin par le chercheur Robert Graham, un exploit non publique, puis une implémentation dans Metasploit et de nombreuses alertes, ça y est, c’est fait, le premier vers exploitant la vulnérabilité BlueKeep a été découvert ! Pour rappel, la CVE-2019-0708 impacte l’implémentation du protocole RDP dans les systèmes Windows.
Après un crash des serveurs RDP du honeypot de Kevin Beaumont et son partage d’informations avec le chercheur Marcus Hutchins alias « Malware Tech » (mais si, rappelez-vous ce jeune héro qui a découvert le moyen d’arrêter la propagation du rançongiciel Wannacry en 2017 en achetant un nom de domaine), la nouvelle est tombée, un vers servant à propager un cryptominner pour Monero utilise la vulnérabilité BlueKeep pour se répandre [4]. Vous sentez le raz de marrée arriver ? Si ce n’est pas encore fait, patchez et activez l’authentification NLA sur vos serveurs RDS…
Si vous n’avez pas envie de passer du temps à éponger, préparez vos barricades pour les inondations à venir. L’eau monte très vite...
[1] https://www.forum-sih.fr/viewtopic.php?f=78&t=1334&p=5310#p5300
[2] https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_31.html
[3] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2019-ALE-015/
[4] https://doublepulsar.com/bluekeep-exploitation-activity-seen-in-the-wild-bd6ee6e599a6
Avez-vous apprécié ce contenu ?
A lire également.

La cyber et les probabilités paresseuses
26 mai 2025 - 21:29,
Tribune
-Récemment, j’ai assisté à la conférence d’un entrepreneur qui propose des prestations de service relatives à des « calculs d’impact ». Oui, dit comme cela, c’est étrange, mais en fait pas autant qu’il y paraît : dans l’idée, si vous disposez d’un budget fixe, entre deux choix de projets cyber (par e...

Cybersécurité, simuler pour protéger : la force des formations immersives
19 mai 2025 - 23:41,
Tribune
-Dans un secteur aussi sensible que celui de la santé, la cybersécurité et la cyber résilience sont prioritaires. Les séquences immersives intégrées dans les formations à la cybersécurité jouent un rôle essentiel pour préparer les professionnels à faire face aux menaces. Ces approches pédagogiques re...

La cyber, les rillettes et les puces en 5 minutes
19 mai 2025 - 23:24,
Tribune
-C’est ce que je trouve bien dans la cyber : la discipline est au carrefour des possibles, et il ne faut pas bien longtemps pour tordre une nouvelle ou un article glanés çà ou là avant de les cyber-retourner, souvent avec la mauvaise foi qui me caractérise, j’en conviens. Exercice en live.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...