Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre du Patch Tuesday [1], par Fortinet pour FortiClientEMS [2] et FortiOS [3], par QNAP [4], par Google pour Chrome [5][6], par Apple pour macOS [7][8] et par SAP [9]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.
Contournement de sécurité via une vulnérabilité au sein de VMware Cloud Director Appliance [10]
En exécutant ce programme localement, un attaquant est en mesure de déterminer si un serveur est sujet ou non à la vulnérabilité.
Prise de contrôle du système via une vulnérabilité au sein de Firepower Management Center [11a] [11b]
Ce code d’exploitation permet à un attaquant distant d’identifier les instances FMC vulnérables et d’effectuer les commandes suivantes : afficher la version, afficher la configuration, afficher les interfaces disponibles.
Vulnérabilité
Distribution du loader DarkGate par APT Water Hydra tirant parti de la CVE-2024-21412 dans Microsoft Windows SmartScreen [12a] [12b]
Le 13 mars 2024, les chercheurs de Trend Micro ont publié un rapport sur l’exploitation d’une vulnérabilité dans Microsoft Windows SmartScreen pour distribuer le loader DarkGate. Référencée sous le nom de CVE-2024-21412, cette dernière permet de contourner les contrôles de sécurité et était due à une erreur dans les fichiers de raccourci Internet. Les attaques détectées par Trend Micro pourraient s’inscrire dans la continuité de la campagne du groupe APT Water Hydra, documenté au début du mois de février. Pour rappel, il s’agit de la seconde 0-day exploitée par les acteurs de la menace.
Le mode opératoire Magnet Goblin exploite des vulnérabilités 1-day pour distribuer Nerbian RAT et WARPWIRE [13a] [13b]
Le 8 mars 2024, les chercheurs de CheckPoint ont publié un rapport sur une campagne d’attaques du mode opératoire Magnet Goblin. Motivé par la recherche de gains financiers, cet acteur de la menace a exploité des vulnérabilités récemment découvertes (1-day) afin de distribuer une nouvelle version Linux du malware crossplatform NerbianRAT ainsi que l’infostealer WARPWIRE. L’exploitation de ces vulnérabilités a ensuite entrainé la distribution de NerbianRAT et WARPWIRE. L’analyse des malware a permis d’identifier l’utilisation par les attaquants d’autres outils comme la backdoor MiniNerbian, l’outil de tunnelling open source Ligolo ainsi que des outils de monitoring à distance pour Windows comme ConnectWises ScreenConnect et AnyDesk.
Distribution de la backdoor GO par le groupe BianLian via l’exploitation de vulnérabilités affectant Jetbrains TeamCity [14a] [14b]
Le 8 mars 2024, les chercheurs de GuidePoint ont découvert la distribution de la backdoor Go (alias BianDoor) par le groupe ransomware BianLian via l’utilisation de deux vulnérabilités corrigées affectant Jetbrains TeamCity et déjà massivement exploitées. La première vulnérabilité, référencée CVE-2024-27198, permettait à un attaquant distant de contourner les mécanismes d’authentification et d’obtenir le contrôle administrateur sur les serveurs vulnérables. La seconde, référencée CVE-2023-42793, permettait à un distant d’exécuter du code arbitraire.
Exploitation active de la CVE-2023-46604 affectant Apache ActiveMQ pour distribuer plusieurs malware [15]
Dans un rapport publié le 13 mars 2023, les chercheurs de CyberReason ont mis au jour une campagne d’attaques exploitant la vulnérabilité CVE-2023-46604 affectant le logiciel Apache ActiveMQ. Cette vulnérabilité est due à une désérialisation non sécurisée du protocole OpenWire et permet, si bien réalisée, à un attaquant non authentifié à distance de manipuler les types de classe sérialisée pour exécuter un code arbitraire. Certains attaquants ont donc automatisé cette vulnérabilité afin de déployer plusieurs malware, comme le botnet Mirai, le ransomware HelloKitty, le trojan SparkRAT, ou encore le cryptominer XMRig.
Distribution de webshell en mémoire via l’exploitation de CVE-2023-22527 affectant Confluence [16a] [16b]
Le 8 mars 2024, les chercheurs de VulnCheck ont révélé 3 exploits de preuve de concept (PoC) ainsi que des opportunités de détection pour une vulnérabilité corrigée affectant Confluence. Référencée CVE-2023-22527, la vulnérabilité permettait à un attaquant distant d’exécuter du code arbitraire. Durant leurs investigations, les chercheurs ont découvert 30 exploits disponibles publiquement dont un publié sur GitHub permettant de charger la webshell Godzilla en mémoire via de nouvelles techniques.
France
France Travail et Cap Emploi victime d’une cyberattaque ayant entrainé une fuite d’information massive de demandeurs d’emploi [17a] [17b] [17c] [17d] [17e]
Le 13 mars 2024, l’institution rattachée au ministère du Travail, du Plein emploi et de l’Insertion, France Travail a communiqué sur une cyberattaque ayant entrainé l’exfiltration de données personnelles de 43 millions de demandeurs d’emploi. À l’heure actuelle, aucune information sur l’auteur ainsi que ses motivations n’est connue et aucune revendication n’a été faite. Une enquête a été ouverte par le parquet de Paris et un système de plainte a été mis en place auprès du dispositif cybermalveillance.gouv.fr.
Des groupes hacktivistes prorusses revendiquent une campagne d’attaques DDoS contre la France [18]
Depuis dimanche 10 mars 2024, les services de l’État sont visés par une campagne d’attaques par déni de service distribué (DDoS) revendiquée sur Telegram par le groupe hacktiviste prorusse Anonymous Sudan. La direction interministérielle du Numérique (DINUM) et l’Agence nationale de la sécurité des systèmes d’information (ANSSI) continuent de mettre en œuvre des mesures de filtrage pour endiguer cette campagne d’attaques. Le 20 février 2024, le ministre français des Armées, Sébastien Lecornu, avait déjà alerté sur la nécessité de renforcer les mesures de sécurité face aux menaces de « sabotage et de cyberattaque » russes.
Espionnage
La Chine intensifie ses campagnes de cyberespionnage visant la Lituanie [19a] [19b] [19c]
Le 6 mars 2024, les services de sécurité de Lituanie ont alerté sur l’intensification des campagnes d’espionnage ciblant les agences gouvernementales et opérées par des groupes d’attaquants sponsorisés par la Chine. Leur objectif est de collecter du renseignement stratégique relative à la politique étrangère, la politique de défense, la situation socio-économique ainsi que le développement technologique en Lituanie. Ces campagnes d’espionnage comprennent une composante cyber qui s’est également intensifiée, en particulier depuis l’ouverture d’une représentation diplomatique lituanienne à Taïwan en 2021.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXN-2024-1460
[2] CXA-2024-1464
[3] CXA-2024-1426
[4] CXA-2024-1403
[5] CXA-2024-1483
[6] CXA-2024-1462
[7] CXA-2024-1390
[8] CXA-2024-1368
[9] CXA-2024-1455
[10] CXA-2024-1425
[11] CXA-2024-1493
[12] CXN-2024-1484
[13] CXN-2024-1385
[14] CXN-2024-1404
[15] CXN-2024-1489
[16] CXN-2024-1391
[17] CXN-2024-1491
[18] CXN-2024-1399
[19] CXN-2024-1410
