Bulletin du 25 Octobre

18 - 24 octobre 2016
RAPPORT THREAT INTELLIGENCE
PRINCIPALES FAILLES ET ATTAQUES

Une attaque DDoS massive ciblant la société d'hébergement Dyn a perturbé l'accès à de nombreux sites
web populaires, y compris Netflix, Twitter, Spotify, Amazon et PayPal. Les agresseurs ont utilisé un vaste
botnet d'objets connectés (tels que des enregistreurs vidéo numériques et des caméras de sécurité),
appelé Mirai. La société chinoise Xiongmai Technology, accusée d'être le fabricant de la plupart des
appareils compromis dans le botnet, a depuis lancé le rappel de millions de ses produits vendus aux
États-Unis.
Les blades Check Point IPS et Anti-Bot offrent une protection contre cette menace (Tentative de connexion sur Telnet par
mot de passe faible ; Tentative de connexion à un DVR générique avec ses identifiants par défaut ; Botnet.Win32.Mirai ;
Operator.Mirai).

Le développeur de sites web gratuits Weebly a été attaqué. Les informations personnelles de plus de
43 millions d'utilisateurs compromis ont été publiées. Les données comprennent les noms d'utilisateur,
les adresses email, les adresses IP, et les mots de passe hachés des utilisateurs qui se sont inscrits avant
le 1er mars 2016.

Après une période d'inactivité relative, la diffusion du logiciel rançonneur Locky via des campagnes de
spam a repris. Les développeurs de Locky ont pris des mesures pour éviter toute détection, notamment
en modifiant l'extension des fichiers malveillants joints aux emails de spam.
Les blades Check Point IPS, Anti-Virus et Anti-Bot offrent une protection contre cette menace (Accès aux dossiers partagés ;
Trojan-ransom.Win32.Locky ; Operator.Locky ; Locky).

Des banques en Inde ont demandé à leurs clients de remplacer les codes PIN de leurs cartes bancaires,
ou dans certains cas ont bloqué l'accès aux cartes, suite à la publication probable de données sur plus de
3 millions de cartes résultant d'une faille de sécurité.

Le site web de recherche IP Domain Tools a conseillé à ses utilisateurs de changer leurs mots de passe,
après avoir subi des tentatives de corrélation de données personnelles avec de précédentes attaques
© 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non -confidentiels
1
18 - 24 octobre 2016
contre d'autres services (telles que Yahoo ou Dropbox). Domain Tools soutient que son infrastructure
n'a pas subi de faille, mais concède que certaines tentatives de corrélation pourraient avoir été
couronnées de succès.
VULNÉRABILITÉS ET CORRECTIFS

Oracle a publié une mise à jour de sécurité couvrant plus de 250 vulnérabilités dans la plupart des
produits de la société. Ces vulnérabilités sont critiques car elles pourraient conduire à l'exécution de
code à distance.
La blade Check Point IPS offre une protection contre l'exploitation de ces vulnérabilités (Exemples : Exécution de code à
distance racine MySQL ; Exécution de code à distance Apache Commons Collections dans la plate-forme JBoss et WebSphere Server).

Apple a publié une mise à jour de sécurité pour iOS, watchOS, tvOS, Safari et macOS Sierra. Certaines
des vulnérabilités corrigées pourraient provoquer l'exécution de code à distance sur les appareils
concernés.

Une exploitation de vulnérabilité existant sous Linux depuis plus de 9 ans a été révélée. Elle octroie des
privilèges d'écriture dans la mémoire du noyau Linux à un agresseur possédant des privilèges d'accès en
lecture seule, et se nomme Dirty COW (Copy-on-write). Un correctif a depuis été publié.

Cisco a publié 5 mises à jour de sécurité pour des produits différents, dont certains pourraient conduire
à l'exécution de code à distance.
RAPPORTS ET MENACES

Un rapport détaillant les propriétés techniques du botnet TheMoon, qui utilise des communications P2P
pour cibler des routeurs personnels Linksys et ASUS, a été publié. Bien que les vulnérabilités exploitées
par ce logiciel malveillant ont été découvertes et corrigées depuis plus de 2 ans, le botnet est toujours
actif.
La blade Check Point IPS offrira une protection contre l'exploitation de cette vulnérabilité (CVE-2014-9583) dans sa
prochaine version.

Des chercheurs ont publié un rapport démontrant une attaque capable de rooter un appareil Android
via une attaque physique contre la mémoire, sans recourir à des vulnérabilités logicielles. Ils ont
également montré que plusieurs smartphones courants sont vulnérables à une telle attaque.

Un billet détaillant la chaîne d'intrusion du kit d'exploitation de vulnérabilités RIG a été publié,
présentant les détails techniques et les interactions avec les différents produits antivirus.
© 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non -confidentiels
|2
18 - 24 octobre 2016

Des chercheurs ont découvert une vulnérabilité dans les puces Intel qui permet le contournement ISLR,
à l'aide d'une attaque à canal latéral sur le buffer de branchement ciblé.
La blade Check Point IPS offre une protection contre cette menace (Page d'atterrissage du kit d'exploitation de vulnérabilités
RIG ; Redirection du kit d'exploitation de vulnérabilités RIG).
Commentaires ou questions : [email protected]
© 2016 Check Point Software Technologies Ltd. Tous droits réservés. [Protégé] Contenus non -confidentiels
|3