Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour FortiOS et FortiWeb [1][2], pour Veeam Backup & Replication [3], pour Android [4], pour Apache HTTPd Server [5] et pour Google Chrome [6].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour l’un d’entre eux.
Prise de contrôle du système via une vulnérabilité au sein de Barracuda CloudGen WAN [7]
Ce code d’exploitation se présente sous la forme d’une requête HTTP. Un attaquant qui envoie cette requête peut exploiter la vulnérabilité afin d’exécuter une commande système lui permettant d’obtenir un invité de commande distant (reverse shell).
Manipulation de données et déni de service via une vulnérabilité au sein de NetBSD [8]
Cet outil d’exploitation se présente sous la forme d’un fichier d’image disque. En montant cette image, un attaquant est alors en mesure d’altérer la mémoire du processus gérant les systèmes de fichier HFS.
Attaque
Une campagne d’espionnage cible les PME utilisant les routeurs DrayTek Vigor [9a] [9b] [9c]
Le 6 mars 2023, Black Lotus Labs a publié un rapport sur une campagne d’attaques ciblant les organisations utilisant les routeurs de la marque DrayTek Vigor et baptisée Hiatus. Les routeurs DrayTek Vigor sont des appareils utilisés par les petites et moyennes entreprises pour permettre les connexions VPN distantes sur le réseau.
Phishing
De nouvelles campagnes de phishing distribueraient le RAT Remcos en utilisant des infrastructures cloud publiques [10a] [10b]
Le 6 mars 2023, SentinelOne a publié un rapport concernant de nouvelles campagnes de phishing qui distribueraient le Cheval de Troie d’accès à distance (RAT) Remcos par le loader DBatLoader et cibleraient des organisations d’Europe de l’Est.
Malware
Le logiciel malveillant BlackLotus pourrait contourner le système Secure Boot de Windows 11 [11a] [11b] [11c]
Les développeurs du malware BlackLotus distribueraient une version mise à jour permettant de contourner Secure Boot de Windows 11, le rendant particulièrement difficile à détecter.
Botnet
Une nouvelle campagne d’Emotet a été observée [12a] [12b] [12c] [12d]
Les analystes de Cofense, une entreprise spécialisée dans la protection contre le phishing, ont observé une campagne de phishing distribuant le malware Emotet. Même si le volume de la campagne de phishing est relativement faible, les acteurs malveillants pourraient être en train de compiler une liste d’emails en vue d’une future campagne.
Threat Intelligence
Trend Micro formule des scénarios quant à l’évolution du marché du Ransomware-as-a-Service [13]
Le rapport décrit tout d’abord les évolutions de tactiques, techniques et procédures (TTP) des acteurs de la menace spécialisés dans l’extorsion depuis 20 ans. Dans une seconde partie, le rapport revient sur les causes qui ont poussé les attaquants à faire évoluer leurs modes opératoires au cours du temps. Enfin, la troisième partie du rapport propose différents scénarios d’évolutions du marché du RaaS.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-1185
[2] CXA-2023-1228
[3] CXA-2023-1215
[4] CXA-2023-1171
[5] CXA-2023-1175
[6] CXA-2023-1196
[7] CXA-2023-1165
[8] CXA-2023-1204
[9] CXN-2023-1201
[10] CXN-2023-1193
[11] CXN-2023-1151
[12] CXN-2023-1229
[13] CXN-2023-1172
