Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Microsoft Edge [1], Firefox [2], Android [3], Gitlab [4], Windows [5] et SAP [6].
Ces correctifs remédient à des dommages allant du déni de service à l’élévation de privilèges.
Codes d’exploitation
Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun des deux codes d’exploitation.
Prise de contrôle du système via une vulnérabilité au sein de ColdFusion [7]
Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. En exécutant ce module contre une instance ColdFusion vulnérable, un attaquant est en mesure de lire arbitrairement le contenu d’un fichier.
Contournement de sécurité via une vulnérabilité au sein de pfSense [8]
Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En ouvrant ce programme, un attaquant est alors en mesure de brute forcer des identifiants pfSense en contournant la protection anti-brute force.
Informations
Vulnérabilité
Les groupes iraniens exploitent la vulnérabilité impactant Papercut NG/MF [9a][9b]
Microsoft Threat Intelligence (MTI) a récemment fait part d’exploitations de la CVE-2023-27350 par les groupes iraniens : PHOSPHORUS (APT35, Charming Kitten, TA453 ; relié au renseignement iranien) et MERCURY (MuddyWater, Static Kitten ; relié au Corp des gardiens de la révolution islamique). La CVE-2023-27350 est une vulnérabilité qui impacte Papercut NG/MF et permet à un attaquant de contourner l’authentification afin d’exécuter du code arbitraire. Des PoC d’exploitation existent d’ores et déjà (cf. CXN-2023-2216).
Conflit Ukraine
Développement d’un protocole alternatif au TCP/IP par la Fédération de Russie [10a][10b][10c]
Le 27 avril 2023, le président de la Fédération de Russie, Vladimir Poutine, a rencontré les dirigeants du complexe militaro-industriel russe lors d’une visite officielle organisée au sein du parc industriel de Roudniovo. Cette rencontre a permis au Kremlin d’officialiser la mise en œuvre de mesures stratégiques pour le développement de l’industrie aéronautique. Lors de cette entrevue, le PDG de Techno Jet, Aleksandre Selioutine, et le porte-parole du Kremlin, Dimitri Peskov, ont annoncé le développement d’un modèle alternatif au protocole TCP/IP, permettant d’améliorer le chiffrement des transmissions des drones russes. Le vice-ministre de l’Industrie et du Commerce (en russe : MinPromTorg), Vassily Osmakov, en a profité pour vanter les performances de la norme russe en cours de développement.
Ransomware
Le groupe de ransomware Royal aurait compromis les systèmes de la ville de Dallas [11a][11b][11c]
Dans un communiqué publié le 3 mai 2023, le Centre de Sécurité Opérationnelle (SOC) de la ville de Dallas a annoncé l’identification d’une attaque menée par le groupe de ransomware Royal, menant à la compromission des systèmes d’information (SI) de la ville et le chiffrement des données.
Annonce
Europol et 9 pays saisissent la marketplace Monopoly Market et arrêtent 288 vendeurs [12]
Europol, en coordination avec 9 pays (Autriche, France, Allemagne, Pays-Bas, Pologne, Brésil, Royaume-Uni, États-Unis et Suisse), a saisi la marketplace Monopoly Market dans le cadre de l’opération SpecTor. Cette dernière aurait permis d’arrêter 288 suspects impliqués dans la vente ou l’achat de drogue sur le Dark web.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références
[1] CXA-2023-2446
[2] CXA-2023-2448
[3] CXA-2023-2395
[4] CXA-2023-2379
[5] CXA-2023-2440
[6] CXA-2023-2438
[7] CXA-2023-2489
[8] CXA-2023-2368
[9] CXN-2023-2444
[10] CXN-2023-2366
[11] CXN-2023-2382
[12] CXN-2023-2381
