lundi 3 août 2015

Partir en Juillet ?

Un an déjà que je me demande s'il est préférable de partir en juillet et le temps passe et s'écoule mais rien ne change vraiment ici. Les mois d'été se ressemblent et s'enchainent mais de moins en moins calmes aussi. Les problèmes se compliquent (<3) et ce mois de juillet 2015 s'illumine dans un bingo d'artifice permanent d'incidents et de vulnérabilités à qualifier, corriger/contrôler et documenter et ce même si les informations qui nous sont transmises par ceux qui "devraient savoir" (au moins pour ceux que nous engageons pour ce faire) sont tronquées, imparfaites, incorrectes, en retard. Bref, si l'épice doit couler, alors le dormeur doit se réveiller.

TL;DR


Vous l'aurez compris, le mois de juillet 2015 est un mois bingo nous démontrant combien les Internet que nous connaissons sont fragiles. Mais ceci n'est pas l'essentiel (qui est invisible pour les yeux). L'essentiel  pour moi a été ce 14 juillet pendant lequel, avec un sourire emerveillé et les yeux clairs d'étoiles, le majestueux spectacle de la mission New Horizons vers Pluton a permis de concrétiser tant de rêves en ouvrant ainsi la voie à ce que tant d'autres soient désormais tissés.

TL;DR : Mon focus PCIDSS


Pour ceux d'entre vous qui êtes familiers avec le standard PCIDSS (merci à mes deux QSA pour la relecture <3), vous reconnaitrez sans-doute que le présent article est une base de travail bien utile pour couvrir le mois de juillet sur l'obligation de veille sur les menaces et vulnérabilités mentionnées dans le 7ème item de l'exigence 11.3 : "Includes review and consideration of threats and vulnerabilities experienced in the last 12 months". Bon courage à vous si vous en passez par là :-)

Une première semaine de juillet au calme


Mercredi 1er juillet. Il fait chaud. La canicule (.. ou vague de chaleur, est un phénomène météorologique de températures de l'air anormalement fortes, diurnes et nocturnes, se prolongeant de quelques jours à quelques semaines, dans une zone relativement étendue. [..] dont la définition est relative au climat de la région habitée). Merci Wikipedia et étrange comme cette définition semble correspondre exactement à l'histoire de ce mois-ci.

Mercredi 1er juillet donc. La semaine commence bien avec la publication par Apple de 6 bulletins le 30 juin 2015 : iOS, OS X 10.10 et la Security Update 2015-005, un bulletin MAC EFI, des corrections pour iTunes et QuickTime et une mise à jour Safari 6/7/8 (et comme diraient certains - coucou John - les correctifs Apple ne sont pas un problème, on s'assure que les sauvegardes passent régulièrement et on applique au bon moment dès que vous nous dites "go") accompagnés d'un bulletin Joomla le 30 juin 2015 informant de la correction de deux vulnérabilités CSRF mineures et de 6 bulletins TYPO3 type CORE-SA concernant des vulnérabilités mineures également.

Jeudi voit paraître treize bulletins Mozilla impactant Firefox (dont 4 MFSA critiques) et Thunderbird mais également une nouvelle version mineure Joomla qui n'est pas marquée comme publication sécurité mais qu'il convient de qualifier à nouveau en raison du faible délai depuis la mise à jour précédente :-(

Vendredi s'enclenche par la publication d'un patch Squid pour la version 3.5.6 (bulletin éditeur émis quelques jours plus tard) et d'un avertissement Twitter de la part de @nodejs informant qu'une mise à jour sécurité importante pour l'une de ses branches sera publiée sous peu.

Et le premier week-end de repos dominical de juillet débute avec la publication dudit bulletin NodeJS pour un déni de service en version 0.12 et se termine avec l'affaire (?), l'histoire (?), le problème (?) Hacking Team.

Une seconde semaine en prélude de notre 14 juillet


Lundi 6 juillet. Notre seconde semaine débute (en fanfare) avec un briefing hebdomadaire concentré sur l'adéquation de nos processus de qualification aux processus de mise en production afin de préparer en toute sérénité la publication du 14 juillet (Patch Tuesday Microsoft, CPU Oracle et probablement Adobe) et totalement déconcentré par les discussions autour de l'histoire Hacking Team.

Mardi débute mal avec les problèmes Hacking Team et l'information qu'une vulnérabilité dans Flash (CVE-2015-5119) est présente dans les données volées .. puis qu'elle est immédiatement intégrée dans les exploit kits (bref partout .. merci en passant au remarquable http://malware.dontneedcoffee.com) .. puis que ceux-ci délivrent du Cryptolocker.. No comment.

Côté Google, une mise à jour est publiée pour Chrome semblant corriger la vulnérabilité Flash mais  le bulletin correspondant est mystérieusement silencieux à ce sujet (comparez donc les bulletins du 7 juillet et du 14 juillet à ce propos) ce qui n'aide pas à interpréter le bulletin prévisionnel APSA15-03 de Adobe précisant qu'une mise à jour pour Flash sera disponible le 8 juillet.

Ne passons pas à côté du bulletin AA-01267 pour Bind9 (CVE-2015-4620) (Debian, Ubuntu, FreeBSD) ou de la mise à jour du bulletin PowerDNS du 23 avril (CVE-2015-1868).

Mercredi démarre sur les chapeaux de roues avec la publication attendue du bulletin Adobe APSB15-16 Flash (CVE-2015-5119 et coup de chapeau à N. Silvanovich du Google Project Zero créditée de 14 CVE) et de la mise à jour du Security Advisory Microsoft 2755801 sur Flash pour IE10/IE11. C'est ensuite au tour de Django dans le monde du Web x.0 de publier des bulletins de sécurité pour ses versions 1.4/1.7/1.8 et de Juniper de publier 11 bulletins. N'oublions pas la nouvelle version de LibreSSL qui précise "#SSLv3 not removed yet but should happen soon" (nous sommes donc prévenus) ou la pré-notification Adobe qui nous informe que des mises à jour sécurité critiques pour le 14 juillet concerneront Adobe Reader.

Jeudi démarre laborieusement avec le bulletin OpenSSL secadv_20150709 (CVE-2015-1793) : NodeJS publie une nouvelle version, FreeBSD confirme aussi qu'une version précise est corrigée et GitLab publie de nouveaux packages. Mais on semble loin du big one de l'année passée car la majeure partie des éditeurs semblent confirmer que leurs produits ne sont pas concernés (OpenSSL 0.9.8, LibreSSL Debian, Ubuntu, RedHat, Chef, Vmware). Et.. Et le cycle des nouveaux bulletins à analyser continue encore et encore avec la publication d'un bulletin Vmware.

Ce jeudi nous sert également de témoin pratique permettant de vérifier en étape complémentaire que les bulletins éditeurs de la semaine précédente sont publiés par les distributions finales : Ubuntu publie ainsi son bulletin Firefox pour le bulletin Mozilla du 2 juillet ou que d'autres bulletins font l'inverse (exemple : RedHat RHSA-2015-1218/1219).

Et le jeudi 9 juillet c'est aussi le lancement prometteur du Census Project par la Core Infrastructure Initiative.

Vendredi finit la semaine avec les analyses OpenSSL du 9 juillet de produits non vulnérables (BlueCoat, Cisco, F5) et se termine par une note twitter CentOS informant qu'aucune version Centos 5/6/7 n'est vulnérables au CVE-2015-1793 OpenSSL (multi-canal donc :-p). Et.. Et le cycle des nouveaux bulletins à analyser continue d'accord d'accord avec la publication de nouvelles versions de PHP entre le 9 et le 10 juillet (5.4/5.5/5.6).

Et sur un autre ton, ce vendredi 10 juillet fête aussi les 25 ans de l'Electronic Frontier Foundation et la démission de K. Archuleta, Directrice de l'Office of Personnel Management suite au communiqué du 9 juillet concernant une seconde data breach impactant 21,5 milion de personnes (SSN, biometrics, 1,1m fingerprints, ..) (les mots de passe ont donc encore de beaux jours devant eux .. ou pas).

Le second week-end de juillet s'ouvre avec les avertissements Pre-Release du 14 juillet pour Oracle qui nous informent par exemple que le CPU fixera à minima 25 vulnérabilités critiques dans JAVA (remote without authentication, CVSS v2 avec une note de 10) et l'histoire Hacking Team semble sans fin avec l'information que deux nouvelles vulnérabilités Adobe Flash sont présentes dans les données publiées (CVE-2015-5122 et CVE-2015-5123, mises à jour prévues semaine suivante?).

Et à contre-courant, Trend Micro publie un article concernant l'exploitation d'un 0day Java dans le cadre de la campagne dénommée PawnStorm (724 jours depuis le dernier 0day Java selon http://java-0day.com).

Le week-end se termine avec, jamais deux sans trois, une nouvelle information Adobe (APSA15-04 : CVE-2015-5123) précisant qu'une troisième mise à jour pour Flash sera disponible entre le 13 et le 14 juillet (et tels d'habiles félins nous retombons sur nos pattes pour la mobilisation des infortunés collaborateurs d'astreinte pour le 14 juillet !).

Éprouvante semaine. Pour les nerfs comme pour cet état de lassitude qui nous a tous saisis en pensant le dimanche soir à la nouvelle semaine qui s'annonçait.

Troisième semaine et feu d'artifice du 14 juillet


Lundi 13 juillet. Réunion de briefing hebdomadaire et confirmation des astreintes mais le principal sujet de la semaine concerne bien entendu les solutions qui s'offrent à nous concernant l'exposition des SI aux vulnérabilités Flash (et Java) avec l'écho plus ou moins constructif du CSO Facebook appelant à la fin de vie rapide de Flash pour tous les browsers.

Je note de mon côté à titre personnel une mise en perspective prémonitoire de @4Dgifts qui donne quelques éléments de réflexion sur les références ZDI actuellement en cours de ... aucune idée en fait :-) (ZDI-CAN-2619, ZDI-CAN-2693, ZDI-15-165, ZDI-14-102), je vous laisse regarder et vous faire votre avis.

Mardi. Feu d'artifice du patch tuesday. 
#Flash #Java & X jumping on the scene
Flash fell off & broke his head
Mama called the expert and he said
No more Flash jumping on the scene!
A tout seigneur tout honneur, Microsoft publie 14 bulletins dont 4 critiques et 10 importants (incluant la correction du CVE-2015-2425 Hacking Team) avec 29 CVE pour Internet Explorer 6/7/8/9/10/11 et des bulletins pour Office, Netlogon, RDP et Hyper-V.

Oracle publie quand à elle 193 correctifs de sécurité dont 10 correctifs pour les Database Server et 18 fixes pour Mysql, 21 fixes pour les systèmes Sun et 31 pour Solaris, 23 fixes pour Java avec la publication de la version 8u51 (incluant le "JDK-8077109 : Prohibit RC4 cipher suites").

Et Adobe fixe 46 vulnérabilités dans Adobe Reader (ce qui permet à Exodus Intelligence de communiquer sur leurs nouveaux 0day impactant la dernière version - à bon entendeur) mais également les deux CVE-2015-5122 et CVE-2015-5123 Hacking Team avec le bulletin APSB15-18.

Ce mardi 14 juillet c'est également la mise à jour de Chrome pour Flash (cette fois ci annoncée comme telle dans le bulletin) et la publication d'un Security Fix pour TCP par OpenBSD ou bien la fin de vie programmée de Windows 2003 ou encore la publication de l'article "The POODLE has friends" pour les produits F5 ou même la très jolie " NYSE shutdown caused by engineers loading wrong software to system ".

Mercredi. RC4 encore et toujours n'en finit pas de faire parler de lui avec la publication d'un nouvel article sur des attaques RC4NOMORE.

Jeudi. Le Google Project Zero publie un article significatif sur les mécanismes de sécurité intégrés par Adobe à la dernière version de Flash suite à leurs travaux communs. Cela signifie-t-il que le volume de vulnérabilités se réduira avec le temps ou que la complexité d'exploitation fera qu'un nouveau challenger prenne la place de Flash ? Peut-être faudrait-il abandonner simplement l'idée qu'un seul navigateur avec tous les plugins possibles et imaginables est la bonne solution ?

Et est également publiée ce jeudi une très intéressante étude (1.6Tb de données) concernant les "Dark Net Markets (DNM)" que je vous invite à consulter si vous ne l'avez déjà fait.

Troisième week-end de juillet. Un peu de repos mérité nous permettant de calmement enchainer les vérifications de mise en production sans nouvelle publication de fin du monde avec seulement quelques bulletins comme le bulletin Debian pour Mysql5.5 suite au CPU Oracle de la semaine par exemple.

Quatrième semaine calme, sereine, sans mauvaise nouvelle .. ou pas


Lundi 20 juillet : La semaine semble commencer calmement avec les habituels bulletins "retardataires" : Debian pour MariaDB sur les CPU Oracle de avril et de juillet, Java1.7 pour RedHat sur RHEL5 pour le CPU Oracle de juillet, Solaris pour le CVE-2015-1793 OpenSSL du 9 juillet (apparemment en retard sur le CPU Oracle de juillet), RedHat sur RHEL7/Bind pour le CVE-2015-4620 du 7 juillet et.. et.. la publication du patch hors cycle (OOB) MS15-078 de Microsoft (CVE-2015-2426) en amélioration du correctif MS15-077 de la semaine passée .. qui de notre côté et de guerre lasse est plutôt gérée comme un correctif standard qu'avec le son du tocsin nous martelant les sens et nous engourdissant l'esprit.

Mardi. Google publie une nouvelle version stable de Chrome incluant 43 correctifs de sécurité, FreeBSD corrige le CVE-2015-5358 et Trend Micro continue ses analyses sur les données Hacking Team en documentant un malware Android employé depuis 2012 (que de prémonitions ce mois-ci).

Jeudi. Nouvelle version de Wordpress, un bulletin BlueCoat SA100 qui adresse des vulnérabilités Tomcat corrigées en 2014 et 2015, un bulletin Zend et un bulletin Qualys pour les CVE-2015-3245 et CVE-2015-3246 (bulletins RHSA RHEL6/7 le même jour) accompagné d'un excellent fil de discussion à lire sur les notions de coordinated/responsible disclosure sur la ML OSS-SEC.

Et dans un autre monde et comme en écho à la fermeture du programme d'acquisition Netragard du 17 juillet, le fondateur de VUPEN lance un nouveau programme d'acquisition "Zerodium" alors que Google publie un excellent article " Top five security practices: experts vs. non-experts ".

Vendredi. Publication par le CERT-FR d'un avertissement concernant une escalade de privilège root locale pour OSX 10.10 (DYLD_PRINT_TO_FILE) publiée par S. Esser (@i0n1c), rédigée par ses soins le 7 juillet et publiée ouvertement le 21 juillet (coucou John) avec un message supplémentaire le 23 juillet indiquant qu'un correctif publié par Apple un mois avant pour OSX 10.11 n'est pas planifié pour OSX 10.10.

Dernier week-end de Juillet. Rien de magique, pas de fin du monde. Quelques correctifs OpenJDK7 de Debian le 25 juillet pour le CPU Oracle de ce mois, quelques correctifs OpenBSD (Reliability et Security) et une nouvelle version de pfSense le 26 juillet.

Cinquième semaine - la fin justifie les moyens ..


Mardi 28 juillet. Publication d'un nouveau correctif pour Bind9 (AA-01272, CVE-2015-5477 identifié semble-t-il gràce à l'AFL de @lcamtuf) et des bulletins éditeurs dans la foulée avec Debian, Ubuntu, RedHat et FreeBSD (qui en profite pour publier d'autres correctifs) puis .. bon .. Android .. Zimperium .. StageFright .. VU#924951 .. "Block all text messages from unknown senders" .. Pas de commentaire ..

Et, tweet intéressant de la part de @zerodium compte tenu du contexte ambiant "Google paid $1,337 for Android RCE via MMS aka Stagefright, we pay up to $100,000 for such exploits. We pay big bounties, not bug bounties!".

Jeudi. Correctifs Java1.6 pour RedHat sur RHEL5/6/7 pour le CPU Oracle de juillet et nouveau correctif OpenBSD pour finir le mois.

Vendredi. Publication de vulnérabilités multiples sur Symantec Endpoint Protection, confirmation de la part de BitDefender d'une intrusion avec fuite d'information et un post absolument magique compte tenu du climat de ce mois de juillet de la part de D. AITEL intitulé "Remember the Titans" sur la ML DailyDave. A lire absolument tout comme les réponses et commentaires l'accompagnant.

Et maintenant ?


Et maintenant je vous souhaite d'excellentes vacances :-)

PS : Merci @helpacsoout (votre compte twitter est bien silencieux !). Merci @helkhoury et @philoupas pour tous nos échanges ! Merci à ma @nathplanteur qui ne connecte même plus son twitter tellement elle progresse dans sa spécialisation apnée depuis quelques semaines :)

Jess - @JessicaGallante

Aucun commentaire:

Enregistrer un commentaire

Votre avis ?