Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Google pour Chrome [1][2], par Mozilla pour Firefox [3], et Firefox ESR [4], par Gitlab pour Community Edition (CE) et Enterprise Edition (EE) [5], par Okta [6], par Apple pour Safari [7], iOS, iPadOS et macOS [8a][8b][8c][8d], par Apache pour Commons [9a][9b].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 3 codes d’exploitation ont été publiés. Un correctif est disponible pour 2 d’entre eux.
Manipulation de données et divulgation d’informations via une vulnérabilité au sein de Nagios XI [10]
Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme contre une instance de Nagios XI vulnérable, un attaquant peut créer un compte administrateur par l’intermédiaire duquel il pourra exécuter des commandes sur le serveur.
Élévation de privilèges via une vulnérabilité au sein de LimeSurvey Community Edition [11]
Ce code d’exploitation se présente sous la forme d’une liste d’étapes à reproduire afin d’exploiter la vulnérabilité.
Divulgation d’informations via une vulnérabilité dans ColdFusion (APSB24-14) [12]
Ce code d’exploitation se présente sous la forme d’un template nuclei. En exécutant ce template sur une instance ColdFusion distante, un attaquant est en mesure de déterminer si l’instance est vulnérable et de lire des fichiers arbitraires sur le système hôte.
Vulnérabilité
Exploitation de la CVE-2023-46747 dans F5 BIG-IP et de la CVE-2024-1709 affectant ScreenConnect par UNC5174, attribué à la Chine [13]
Le 21 mars 2024, Mandiant a alerté sur l’exploitation active de la CVE-2023-46747 dans F5 BIG-IP et de la CVE-2024-1709 affectant ScreenConnect par l’acteur de la menace UNC5174 (aka Uteus, uetus), attribué à la Chine. Ce dernier serait un ancien membre d’un collectif hacktiviste chinois réunissant les groupes Dawn Calvary, Teng Snake et Genesis Day, et travaillerait désormais pour le compte du ministère de la Sécurité de l’État. Dans le cadre de cette campagne opérée entre octobre 2023 et février 2024, UNC5174 aurait exploité un nombre important de vulnérabilités afin d’obtenir l’accès initial à des instituts de recherche et universités aux États-Unis, des commerces et des ONG à Hong-Kong ainsi qu’à des institutions gouvernementales au Royaume-Uni.
La vulnérabilité GoFetch dans les processeurs Apple permet de voler les clés secrètes cryptographiques [14a] [14b] [14c]
Le 20 mars 2024, des chercheurs ont mis au jour une vulnérabilité affectant les processeurs Apple M1, M2 et M3 et permettant de voler les clés secrètes cryptographiques stockées dans le cache du CPU. Baptisée GoFetch, cette vulnérabilité a été rapportée à Apple en décembre 2023 mais, étant donné qu’elle affecte directement le matériel, il n’est pas certain que l’éditeur puisse l’atténuer via un correctif de sécurité. GoFetch affecte les préchargeurs de données en mémoire (DMP) conçus pour prédire les données dont la machine aura besoin, afin d’améliorer ses performances. Elle permet à un attaquant capable d’exécuter du code sur les machines vulnérables de deviner les clés cryptographiques RSA, OpenSSL Diffie-Hellman, CRYSTALS Kyber et Dilithium à l’aide d’entrées spécifiquement conçues.
Des acteurs de la menace exploitent la CVE-2023-48022 dans le framework IA open source Ray [15a] [15b] [15c]
Le 26 mars 2024, les chercheurs d’Oligo Security ont publié un rapport l’exploitation active d’une vulnérabilité non patchée dans Ray, un framework populaire open source d’intelligence artificielle développé par Anyscale. Référencée sous le nom de CVE-2023-48022 et baptisée ShadowRay par les chercheurs, cette vulnérabilité permet à des attaquants de prendre le contrôle de la puissance de calcul des entreprises et d’exfiltrer des données sensibles. Cette dernière a été exploitée conjointement aux CVE-2023-6019, CVE-2023-6020, CVE-2023-6021 et CVE-2023-48023 corrigées quant à elles en novembre 2023. La CVE-2023-48022 serait activement exploitée depuis 7 mois par des acteurs de la menace ciblant, entre outres, les secteurs de l’éducation, de la biopharmacie et des cryptomonnaies.
Cybercriminel
Une campagne de phishing distribue l’infostealer StrelaStealer en Europe et aux États-Unis [16a] [16b]
Le 22 mars 2024, les chercheurs de l’Unit42 de Palo Alto ont mis au jour une campagne d’attaques menée avec l’infostealer StrelaStealer. Cette dernière a été observée depuis le début de l’année 2024 et serait responsable de la compromission de plus d’une centaine d’organisations en Europe et aux États-Unis. Pour ce faire, les acteurs de la menace ont utilisé des leurres de phishing (au format ZIP) prenant l’apparence de factures de paiement, personnalisées par langue et par localisation en fonction des individus ciblés. Une fois les fichiers ZIP ouverts par les utilisateurs ciblés, un fichier JScript est installé sur les instances vulnérables. Ce dernier est un dropper qui permet d’exécuter un fichier chiffré en Base64 qui distribue à son tour une bibliothèque DLL malveillante.
La police allemande annonce la saisie de la plateforme cybercriminelle Nemesis Market [17a] [17b]
Le 21 mars 2024, la police allemande a annoncé la saisie de la plateforme Nemesis Market. Cette opération de lutte contre la cybercriminalité a été coordonnée par l’Office fédéral de la police criminelle allemande (BKA) et l’unité de lutte contre la cybercriminalité de Francfort (ZIT), menant à la mise hors service du site web et la confiscation de 94 000 dollars en cryptomonnaies. Lancée en 2021, la plateforme Nemesis Market proposait à ses clients différents services : Achat de drogues et de stupéfiants illégaux; Revente de données et de cartes de crédit volées (carding); Services cybercriminels liés à la distribution de code malveillant (phishing, ransomware); Services d’attaques par déni de service distribué (DDoS).
État-nation
Le groupe chinois APT31 est accusé d’avoir ciblé les élections au Royaume-Uni [18a] [18b] [18c] [18d] [18e] [18f] [18g] [18h]
Le 25 mars 2024, le département du Trésor américain a sanctionné une société basée à Wuhan, soupçonnée d’avoir agi comme couverture pour le compte du ministère de la Sécurité de l'État chinois (MSS) dans le cadre de ses activités de cyberespionnage contre des infrastructures critiques américaines. En outre, 2 ressortissants chinois ont été sanctionnés par l’Office of Foreign Assets Control américain (OFAC) pour avoir pris part aux activités du mode opératoire APT31, à travers la société Wuhan Xiaoruizhi Science and Technology Company (Wuhan XRZ).
Le groupe russe APT29 cible des partis politiques allemands avec WINELOADER [19a] [19b] [19c]
Le 22 mars 2024, les chercheurs de Mandiant ont publié un rapport suite à l’identification d’une campagne de phishing opérée en février 2024 par le mode opératoire APT29 (aka Cozy Bear, NOBELIUM et Midnight Blizzard) et menant à la distribution de la backdoor WINELOADER à des partis politiques allemands. Les acteurs de la menace ont distribué des mails de phishing qui redirigeaient les utilisateurs vers un site web compromis hébergeant le dropper ROOTSAW, qui délivrait à son tour la payload WINELOADER. Cette dernière présente des caractéristiques similaires avec d’autres familles de malware associées à APT29, telles que BURNTBATTER et MUSKYBEAT.
Détection de la backdoor FalseFont du groupe APT iranien Curious Serpens ciblant les secteurs de la défense et de l’aérospatiale [20a] [20b]
Le 21 mars 2024, les chercheurs de Palo Alto ont publié un rapport sur la backdoor FalseFont associée au mode opératoire APT Curious Serpens (aka Peach Sandstorm, APT33, Elfin, HOLMIUM, MAGNALIUM et REFINED KITTEN) actif depuis 2013. Cette dernière dispose de fonctionnalités avancées pour contourner les outils de détection et a été utilisée pour cibler les secteurs de l’énergie, de la défense et de l’aérospatiale pour le compte de l’Iran au Moyen-Orient, aux États-Unis et en Europe. Observée pour la première fois en décembre 2023 par les chercheurs de Google, la backdoor FalseFont a été récemment distribuée en imitant un logiciel de ressources humaines légitime et en utilisant des techniques d’ingénierie sociale s’appuyant sur un faux processus de recrutement, usurpant une interface utilisateur graphique (GUI) pour cibler les victimes.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2024-1788
[2] CXA-2024-1727
[3] CXA-2024-1721
[4] CXA-2024-1722
[5] CXA-2024-1817
[6] CXA-2024-1830
[7] CXA-2024-1753
[8] CXA-2024-1757
[9] CXA-2024-1756
[10] CXA-2024-1802
[11] CXA-2024-1779
[12] CXA-2024-1784
[13] CXN-2024-1730
[14] CXN-2024-1732
[15] CXN-2024-1800
[16] CXN-2024-1762
[17] CXN-2024-1728
[18] CXN-2024-1792
[19] CXN-2024-1724
[20] CXN-2024-1699
