Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Oracle dans le cadre de son Critical Patch Update trimestriel [1a][1b], par Google pour son navigateur Chrome [2a][2b][2c][2d], et par Jenkins [3a][3b][3c].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 3 codes d’exploitation ont été publiés. Un correctif est disponible pour 3 d’entre eux.
Prise de contrôle du système via une vulnérabilité au sein de SPIP [4]
Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. En exécutant ce programme, un attaquant distant peut exécuter du code arbitraire sur le serveur.
Prise de contrôle du système via une vulnérabilité au sein de Linux [5]
Ce code d’exploitation se présente sous la forme d’un programme écrit en langage C. Il permet de déterminer si le système est impacté par la vulnérabilité CVE-2023-2002 en tentant d’utiliser la fonction bt_power à partir d’un compte non privilégié. Cette fonction permet d’activer le Bluetooth sur l’appareil.
Déni de service via une vulnérabilité au sein de FortiRecorder [6]
Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme, un attaquant est en mesure de provoquer un arrêt inopiné du système.
Attaque
L’outil de Google Comand & Control est utilisé par APT41 [7a] [7b] [7c] [7d]
Dans le Threat Horizon publié en ce mois d’andcontrol »>Command & Control) sans avoir besoin de déployer des mesures annexes telles qu’un VPN ou un domaine spécifique.
Balada Injector frappe un million de sites WordPress depuis 2017 [8]
Depuis 2017, une campagne d’attaque se servant du malware Balada Injector et ayant compromis au moins un million de sites WordPress en utilisant des vulnérabilités présentes dans les thèmes et plugins est en cours . Cette campagne est identifiable par 3 critères : l’utilisation de la fonction String.fromCharCode pour dissimuler la charge malveillante, l’usage de sous-domaines aléatoires sur de nouveaux noms de domaines pour héberger des scripts spécifiquement conçus et la redirection vers des sites frauduleux.
International
Les États-Unis et le Royaume-Uni mettent en garde sur l’exploitation de vulnérabilités sur les équipements Cisco par APT28 [9]
Le mardi 18 avril 2023, le National Cyber Security Center du Royaume-Uni, la NSA, le CISA et le FBI ont publié un communiqué conjoint sur les risques d’exploitation des vulnérabilités des routeurs Cisco non patchés. Ces vulnérabilités seraient exploitées par APT28 et permettraient de déployer des malwares et d’effectuer des opérations de cyber espionnage.
Le communiqué reprend l’activité du groupe APT28 et donne davantage d’information sur les tactiques, techniques et procédures (TTP) associées à l’exploitation d’une ancienne vulnérabilité ciblant les routeurs Cisco de 2021.
Rapport de Microsoft sur le spyware israélien QuaDream [10a] [10b] [10c] [10d] [10e] [10f]
Dans un rapport publié le 11 avril 2023, Microsoft et Citizen Lab ont annoncé la découverte d’un spyware développé par une société de cybersécurité israélienne baptisée « QuaDream ». Ce logiciel espion utiliserait un code d’exploitation de type 0-click nommé « ENDOFDAYS ». La vulnérabilité concernait les technologies iOS (les versions 1.4 jusqu’à 14.4.2) sur une temporalité allant de janvier à novembre 2021. La faille prenait la forme d’invitations iCloud antidatées et non visibles par la cible.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXN-2023-2094
[2] CXA-2023-2092
[2d] CXA-2023-1992
[3] CXA-2023-2028
[4] CXA-2023-2035
[5] CXA-2023-2112
[6] CXA-2023-1978
[7] CXN-2023-2118
[8] CXN-2023-1998
[9] CXN-2023-2117
[10] CXN-2023-2009
