Résumé de la semaine 12 (du 18 au 24 mars)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Google pour Chrome [1], pour Spring Framework [2a][2b], pour Jenkins [3], par Apache pour Tomcat [4a][4b][4c][4d], pour Couchbase [5] et pour OpenSSH [6].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour chacune des vulnérabilités.

Divulgation d’informations via une vulnérabilité au sein de Backup & Replication [7a] [7b]

Ce code d’exploitation se présente sous la forme d’un programme écrit en C#. Celui-ci vérifie la présence du processus vulnérable Veeam.Backup.Service.exe sur le port TCP/9401 puis utilise une route d’API non sécurisée pour récupérer les identifiants chiffrés.

Contournement de sécurité via une vulnérabilité au sein de Joomla! [8]

Ce code d’exploitation se présente sous la forme d’un template nuclei. À l’aide d’une requête spécifiquement conçue sur /api/index.php/v1/config/application?public=true, un attaquant distant et non authentifié pouvait obtenir les identifiants MySQL de sa victime.

Informations

Attaque

Anonymous Sudan annonce de nouvelles attaques DDoS visant des établissements hospitaliers et des aéroports français [9]

Le groupe « Anonymous Sudan » a annoncé le 22 mars sur son canal Telegram la conduite d’attaques DDoS contre les sites internet d’aéroports et d’hôpitaux français suivants.

Ransomware

Une note d’information détaillant le mode opératoire de LockBit 3.0 a été publiée par la CISA [10]

La CISA (Cybersecurity and Infrastructure Security Agency), le FBI et MS-ISAC (Multi-State Information Sharing & Analysis Center) ont publié une note conjointe (« Joint Cybersecurity Advisory ») au sujet du ransomware LockBit 3.0. La note vise à partager les principales TTPs (Tactiques, Techniques et Procédures) et IoC (Indicateurs de Compromission) recensés durant les attaques et impliquant le ransomware LockBit.

Analyse d’un nouveau ransomware en activité : CatB [11]

Les chercheurs de Sentinel One ont publié le 13 mars une analyse d’un ransomware sévissant depuis au moins novembre 2022 : CatB (CatB99 ou Baxtroy).

Le groupe Cl0p accélère sa campagne exploitant la faille zero-day GoAnyway [12a] [12b]

Hitachi a confirmé avoir subi une fuite de données confirmant l’annonce du groupe Cl0p publiée le 16 mars. Le groupe attaque avec son ransomware éponyme en exploitant la vulnérabilité zero-day CVE-2023-0669 baptisée GoAnyway. Cl0p n’en est pas à sa première attaque et son rythme d’annonces s’accélère drastiquement depuis l’annonce du correctif par Fortra.

Malware

Une cadre de Meta victime d’espionnage alors que l’industrie des spywares se développe en Europe [13a] [13b]

Le 20 mars 2023, le New York Times a révélé que le téléphone d’Artemis Seaford, cadre de Meta, avait été infecté par un spyware (logiciel espion) appelé Predator, à la demande du gouvernement grec. Artemis Seaford travaillait dans le département de cybersécurité de Meta et était en contact avec les autorités grecques et de l’Union européenne. Cependant, les motivations et les raisons pour lesquelles Artemis Seaford a été mise sur écoute ne sont pas connues.

YoroTrooper : Cisco Talos aurait identifié un nouveau groupe APT ciblant principalement des entités gouvernementales de la Communauté des États indépendants [14a] [14b]

Cisco Talos a identifié un groupe APT (Advanced Persistent Threat) précédemment inconnu baptisé YoroTrooper. Ce groupe aurait mené des campagnes d’espionnage entre août 2022 et février 2023 en ciblant les gouvernements de la Biélorussie, d’Azerbaïdjan, du Tadjikistan et d’autres gouvernements de la Communauté des États indépendants. Selon le rapport de Cisco Talos, le groupe aurait également ciblé une agence de santé de l’Union européenne et l’Organisation mondiale de la propriété intellectuelle.

Cybercriminalité

Le FBI aurait arrêté Pompompurin, l’administrateur présumé du forum cybercriminel BreachForums [15]

Le mercredi 15 mars 2023, l’administrateur présumé du forum cybercriminel BreachForums Conor Brian Fitzpatrick, également connu sous le nom de Pompompurin, a été arrêté à son domicile dans l’État de New York par le Federal Bureau of Investigation (FBI).

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.

Références portail XMCO

[1] CXA-2023-1476
[2] CXA-2023-1474
[3] CXA-2023-1435
[4] CXA-2023-1497
[5] CXA-2023-1470
[6] CXA-2023-1469
[7] CXA-2023-1528
[8] CXA-2023-1527
[9] CXN-2023-1478
[10] CXN-2023-1416
[11] CXN-2023-1477
[12] CXN-2023-1466
[13] CXN-2023-1501
[14] CXN-2023-1414
[15] CXN-2023-1437

Charles Dagouat

Découvrir d'autres articles

En savoir plus En savoir plus