Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Atlassian pour Bamboo Data Center et Server [1a][1b][1c] et Jira [2], par Ivanti pour Neurons for ITSM [3] et Standalone Sentry [4], par Mozilla pour Firefox [5] et Firefox ESR [6] et par Google pour Chrome [7a][7b].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 3 codes d’exploitation ont été publiés. Un correctif est disponible pour les trois.
Prise de contrôle du système via une vulnérabilité au sein de FortiOS [8a] [8b]
Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme sur une instance de FortiOS vulnérable, un attaquant est alors en mesure d’exécuter du code JavaScript à distance sur la machine concernée.
Manipulation de données et divulgation d’informations via une vulnérabilité au sein de Citrix StoreFront (CTX583759) [9]
Ce code d’exploitation se présente sous la forme d’un template Nuclei. Il permet d’exploiter la XSS sur la page /Citrix/teststoreAuth/SamlTes en déclenchant l’exécution du code JavaScript fourni via le paramètre SAMLResponse. La charge active donnée dans le template n’affiche qu’une simple alerte : alert(1).
Manipulation de données et divulgation d’informations via une vulnérabilité au sein de FortiClientEMS [10]
Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme en ciblant une instance de FortiClientEMS, un attaquant est en mesure de déterminer s’il est possible d’exploiter l’injection SQL associée à la CVE.
Vulnérabilité
Exploitation active de la CVE-2023-48788 dans FortiClientEMS [11a] [11b] [11c] [11d]
Le 21 mars 2024, Fortinet a mis à jour son bulletin de sécurité pour alerter sur l’exploitation active de la CVE-2023-48788 affectant FortiClientEMS. Corrigée par l’éditeur le 12 mars dernier, cette vulnérabilité critique peut être exploitée par un attaquant distant non authentifié en envoyant des requêtes spécifiquement conçues afin d’exécuter des instructions SQL arbitraires et ainsi prendre le contrôle du système.
Exploitation des CVE-2024-27198 et CVE-2024-27199 affectant JetBrains TeamCity pour distribuer de multiples malware [12]
Le 19 mars 2024, les chercheurs de Trend Micro ont révélé l’exploitation de deux vulnérabilités corrigées affectant JetBrains TeamCity afin de distribuer le ransomware Jasmin, le cryptominer XMRig, la backdoor SparkRAT et des balises Cobalt Strike ainsi qu’exécuter des commandes pour persister sur le système. Référencées CVE-2024-27198 et CVE-2024-27199, elles permettent de contourner les mesures d’authentification et d’obtenir un contrôle administrateur sur les serveurs concernés. De multiples preuves de concept (PoCs) sont disponibles publiquement et la CVE-2024-27198 a déjà été massivement exploitée.
Cybercriminel
Campagne d’attaques en Europe utilisant Remcos et AceCryptor [13]
Dans un rapport publié le 20 mars 2024, les chercheurs de ESET ont mis au jour une campagne d’attaques distribuant le Trojan Remcos (aussi appelé Rescom) à l’aide de AceCryptor. Ace Cryptor est l’un des « Cryptors-as-a-Service » (CaaS) les plus populaires et répandus depuis 2016 et a permis de distribuer notamment SmokeLoader, le ransomware STOP, ou encore le stealer Vidar. Cette campagne d’attaques utilise des adresses mails imitant les domaines d’autres entreprises ou directement des mails compromis de l’entreprise ciblée pour inciter la victime à télécharger la pièce jointe. Une fois l’archive décompressée, le fichier récupéré est un exécutable d’AceCryptor qui à son tour va décompresser et lancer Remcos.
Des groupes de RaaS profitent de la saisie des infrastructures LockBit et ALPHV/BlackCat pour recruter de nouveaux affiliés [14]
Le 20 mars 2024, les chercheurs de GuidePoint Security ont publié un rapport sur l’évolution de l’écosystème cybercriminel consécutivement aux opérations policières ayant conduit au démantèlement des groupes LockBit et ALPHV/BlackCat. Les chercheurs ont identifié plusieurs groupes de ransomware, tels que Medusa, Cloak et RansomHub, tentant de recruter de nouveaux affiliés par le biais de messages promotionnels diffusés sur des marketplaces criminelles russophones.
État-nation
Le groupe APT chinois Earth Krahang exploite des vulnérabilités et du spear-phishing pour cibler des organisations gouvernementales [15a] [15b] [15c]
Le 18 mars 2024, les chercheurs de Trend Micro ont publié un rapport sur une campagne d’espionnage du mode opératoire APT Earth Krahang menant à la compromission d’au moins 70 organisations (dont 48 entités gouvernementales) localisées dans 23 pays différents, essentiellement en Asie du Sud, en Europe, en Amérique et en Afrique. Pour obtenir le vecteur de compromission initiale, les opérateurs ont compromis des serveurs exposés sur Internet et vulnérables aux CVE-2023-32315 et CVE-2022-21587 au sein d’OpenFire et d’Oracle Web Applications Desktop Integrator respectivement, puis ont installé le VPN SoftEther afin de collecter des authentifiants de connexion et mener d’autres attaques.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2024-1636
[2] CXA-2024-1642
[3] CXA-2024-1665
[4] CXA-2024-1668
[5] CXA-2024-1628
[6] CXA-2024-1629
[7] CXA-2024-1632
[8] CXA-2024-1604
[9] CXA-2024-1609
[10] CXA-2024-1704
[11] CXN-2024-1695
[12] CXN-2024-1633
[13] CXN-2024-1694
[14] CXN-2024-1660
[15] CXN-2024-1564
