Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Oracle pour le Critical Patch Update [1a][1b] et pour Food and Beverage Applications [2a][2b], par Google pour Chrome [3a][3b], par Mozilla pour Firefox [4] et Firefox ESR [5], par Gitlab [6] et par Microsoft pour Edge [7][8a][8b].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Un code d’exploitation a été publié cette semaine. Un correctif est disponible.
Prise de contrôle du système via une vulnérabilité au sein de Palo Alto GlobalProtect [9]
Le code d’exploitation se présente sous la forme d’un template nuclei. En utilisant ce template sur un hôte via la commande nuclei, un attaquant distant non authentifié exploite la vulnérabilité afin d’exécuter une commande cURL depuis l’hôte ciblé vers un serveur en écoute sous son contrôlé.
Vulnérabilité
Exploitation de la vulnérabilité 0-Day CVE-2024-3400 dans Palo Alto Networks par l’APT UTA0218 [10a] [10b] [10c]
Le 12 avril 2024, des chercheurs de Volexity ont révélé l’exploitation d’une vulnérabilité 0-day affectant les firewalls de Palo Alto Networks par un mode opératoire APT nommé UTA0218. Référencée CVE-2024-3400, la vulnérabilité permettait à un attaquant non authentifié d’exécuter du code arbitraire. L’éditeur a publié un correctif pour les versions vulnérables le 15 avril 2024. Les chercheurs ont identifié plusieurs tentatives de compromissions et estiment que cette vulnérabilité serait exploitée depuis le 26 mars 2024.
Exploitation active de vulnérabilités critiques au sein d’OpenMetadata pour compromettre des environnements Kubernetes (CVE-2024-28255, CVE-2024-28847, CVE-2024-28253, CVE-2024-28848 et CVE-2024-28254) [11]
Le 17 avril 2024, Microsoft a alerté sur l’exploitation active de vulnérabilités critiques au sein d’OpenMetadata afin de compromettre des environnements Kubernetes et déployer des malware de type cryptominer. Référencées CVE-2024-28255, CVE-2024-28847, CVE-2024-28253, CVE-2024-28848 et CVE-2024-28254, elles affectent les versions inférieures à la v1.3.1 et permettent à un attaquant de contourner le processus d’authentification et d’exécuter du code à distance sur les instances vulnérables. Dans l’attaque observée par Microsoft, les attaquants ont commencé par identifier les instances Kubernetes d’OpenMetadata exposées sur Internet.
Distribution de code malveillant dans la bibliothèque de compression de données XZ Utils [12a] [12b]
Le 10 avril 2024, les chercheurs de Sentinel One ont publié un rapport sur la vulnérabilité critique CVE-2024-3094 dans la bibliothèque de compression de données XZ Utils (liblzma) utilisée dans de nombreuses distributions Linux. Les investigations de Sentinel One suggèrent que l’acteur responsable de cette campagne cherchait à implanter de nouvelles backdoors dans les commits de code. Dans la première itération 5.6.0, l’acteur de la menace a réussi à ajouter du code malveillant au sein du dépôt xz permettant de distribuer la backdoor sur les instances Debian et Fedora. Dans la deuxième itération (version 5.6.1), l’attaquant a introduit la possibilité d’exécuter des scripts shell supplémentaires, probablement pour rendre les futures mises à jour de la backdoor moins suspectes.
État-nation
Distribution de la backdoor Kapeka par APT Sandworm pour cibler l’Europe de l’Est depuis 2022 [13a] [13b]
Le 17 avril 2024, les chercheurs de WithSecure ont publié un rapport de CTI suite à la détection de la backdoor Kapeka sur des instances situées en Europe de l’Est. Attribuée au service de renseignement militaire russe (GRU), cette backdoor serait exploitée depuis au moins 2022. La victimologie et les tactiques, techniques et procédures (TTPs) observées lors de cette campagne ont permis aux chercheurs d’attribuer la backdoor Kapeka au mode opératoire APT Sandworm. Les chercheurs ont identifié des chevauchements entre les attaques menées avec Kapeka et celles impliquant la distribution du ransomware Prestige par APT Sandworm.
Cybercriminel
Exploitation de la CVE-2023-1389 affectant les routeurs Archer AX21 par de multiples botnets [14a] [14b]
Le 16 avril 2024, les chercheurs de Fortinet ont révélé l’exploitation active d’une vulnérabilité affectant les routeurs Wi-Fi TP-Link Archer AX21 (AX1800) par des acteurs de la menace. Référencée CVE-2023-1389 et corrigée en mars 2023, la vulnérabilité a un score CVSSS de 8.8 et permet à un attaquant adjacent et non authentifié d’injecter des commandes arbitraires sur le système ou l’application vulnérable. Dans les attaques observées, la vulnérabilité a été exploitée pour intégrer les routeurs vulnérables à de multiples botnets afin de réaliser des attaques par déni de service distribué (DDoS).
Distribution du variant Linux du ransomware Cerber via la CVE-2023-22518 dans Atlassian Confluence [15a] [15b]
Dans un rapport publié le 17 avril 2024, les chercheurs de Cado Security ont mis au jour une campagne d’attaques exploitant la vulnérabilité CVE-2023-22518 dans Atlassian Confluence afin de distribuer un variant Linux du ransomware Cerber. Référencée sous le nom de CVE-2023-22518, cette vulnérabilité permet à un attaquant de réinitialiser l’application Confluence et de créer un nouveau compte d’administrateur en utilisant un chemin de restauration de configuration non protégé. Une fois qu’un compte administrateur est créé, l’attaquant peut télécharger et exécuter la payload principale de Cerber.
Hacktiviste
Le groupe hacktiviste pro-ukrainien Blackjack revendique la compromission de Moscollector [16a] [16b] [16c] [16d]
Le 12 avril 2024, les chercheurs de Claroty ont publié un rapport sur une campagne d’attaques menée par le groupe hacktiviste pro-ukrainien Blackjack ayant endommagé les capacités de détection et de réaction aux situations d’urgence à Moscou et au-delà, en utilisant le wiper Fuxnet. Ces attaques ont été revendiquées par les opérateurs sur leur canal Telegram et leur site vitrine le 9 avril dernier, affirmant avoir compromis les infrastructures de Moscollector (en russe : Москоллектор), une entreprise responsable de la construction et de la surveillance des infrastructures souterraines d’approvisionnement en eau, d’évacuation des eaux usées et des communications.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXN-2024-2280
[2] CXA-2024-2257
[3] CXA-2024-2220
[4] CXA-2024-2238
[5] CXA-2024-2277
[6] CXA-2024-2203
[7] CXA-2024-2332
[8] CXA-2024-2177
[9] CXA-2024-2292
[10] CXN-2024-2173
[11] CXN-2024-2316
[12] CXN-2024-2180
[13] CXN-2024-2233
[14] CXN-2024-2245
[15] CXN-2024-2313
[16] CXN-2024-2205
