Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft lors du Patch Tuesday [1], par Mozilla pour Firefox [2], par SAP [3], par Google pour Google Chrome [4a][4b], par Apple pour iPadOS [5][6], pour macOS [7][8][9], pour Safari [10] et par GLPI [11].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 3 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.
Prise de contrôle du système et manipulation de données via une vulnérabilité au sein de SonicWall SMA 100 Series [12]
Ce code d’exploitation se présente sous la forme d’un template Nuclei. En l’exécutant, un attaquant est alors en mesure de détecter un serveur vulnérable à la faille précédemment évoquée.
Prise de contrôle du système via une vulnérabilité au sein de Cisco HyperFlex HX (cisco-sa-hyperflex-rce-TjjNrkpR) [13]
Ce code d’exploitation se présente sous la forme de requêtes HTTP. Un attaquant distant et non authentifié peut envoyer une de ces requêtes au système afin d’exécuter des commandes arbitraires.
Prise de contrôle du système via une vulnérabilité au sein de Microsoft Excel [14]
Ce code d’exploitation se présente sous la forme d’un programme écrit en VBA. En incitant sa victime à ouvrir un fichier Excel contenant des macros spécifiquement conçues, un attaquant est alors en mesure d’exécuter des commandes arbitraires sur le système sous-jacent.
Attaque
La vulnérabilité CVE-2023-28252 du Patch Tuesday d’avril est déjà exploitée [15a] [15b]
Comme chaque deuxième mardi du mois, Microsoft a publié son Patch Tuesday. Celui-ci contenait la CVE-2023-28252, une vulnérabilité impactant le Common Log File System. Le CLFS est un système offrant une capacité optimisée de collection et de transfert de logs depuis Windows 2003 R2. La vulnérabilité impacte toutes les versions Windows et est aisément exploitée localement afin de monter en privilèges et d’obtenir les droits SYSTEM. Kaspersky a annoncé avoir observé les auteurs du ransomware Nokoyawa exploiter la CVE-2023-28252. Nokoyawa est familier avec le CLFS étant donné que le groupe a exploité 5 failles différentes depuis juin 2022.
Un groupe nord-coréen serait à l’origine de l’attaque par supply chain de 3CX [16a] [16b] [16c] [16d]
Le 11 avril, Pierre Jourdan, le CISO de 3CX, a publié l’analyse d’une attaque du 29 mars ayant visé 3CX. Au stade actuel de l’investigation, Mandiant attribue l’attaque à UNC473 : un cluster d’activités malveillantes ayant des connexions avec la Corée du Nord. Les résultats préliminaires viennent confirmer les analyses précédentes.
La CISA ordonne aux agences fédérales américaines de protéger leurs systèmes contre les attaques exploitant la CVE-2022-27926 [17a] [17b]
La CISA, agence étasunienne de cybersécurité et de sécurité des infrastructures informatiques, a ajouté la vulnérabilité référencée CVE-2022-27926 à la liste KEV (Known Exploited Vulnerabilities, ou vulnérabilités exploitées connues). Cette liste contient toutes les vulnérabilités qui sont activement exploitées par des acteurs malveillants. Dans ce cas, la CVE-2022-27926, qui affecte le système de messagerie Zimbra Collaboration, serait exploitée par des acteurs russes ciblant les pays de l’OTAN pour dérober des emails sensibles.
Cybercriminalité
ALPHV cible 3 vulnérabilités impactant la solution Veritas Backup [18a] [18b]
ALPHV est le groupe à l’origine du ransomware BlackCat. Actif depuis 2021, le groupe propose son malware en tant que Ransomware-as-a-Service (RaaS) et pratique couramment l’extorsion multiple (exfiltration de données ou attaques DDoS en plus du chiffrement). Les affiliés de ALPHV ont jusqu’alors utilisé plusieurs méthodes de compromission, dont l’utilisation d’identifiants volés et l’utilisation du botnet Emotet. Récemment, Mandiant a observé des affiliés, baptisés UNC4466, exploitant 3 vulnérabilités référencées CVE-2021-27876, CVE-2021-27877 et CVE-2021-27878.
Une campagne distribuant Moobot et ShellBot exploite 2 nouvelles vulnérabilités [19a] [19b]
Le 29 mars 2023, Fortinet a publié un rapport faisant état d’une montée soudaine de tentatives d’exploitation des vulnérabilités CVE-2022-46169 et CVE-2021-35394 qui impactent respectivement Cacti et Realtek.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-1861
[2] CXA-2023-1918
[3] CXA-2023-1863
[4] CXA-2023-1815
[5] CXA-2023-1808
[6] CXA-2023-1788
[7] CXA-2023-1803
[8] CXA-2023-1802
[9] CXA-2023-1797
[10] CXA-2023-1787
[11] CXA-2023-1806
[12] CXA-2023-1931
[13] CXA-2023-1894
[14] CXA-2023-1792
[15] CXN-2023-1859
[16] CXN-2023-1904
[17] CXN-2023-1807
[18] CXN-2023-1773
[19] CXN-2023-1800
