Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par BIG-IP [1], pour Chrome par Google [2a][2b][2c][2d], pour vCenter par VMware [3], par Nextcloud Server [4], par FortiNAC [5], pour iPad par Apple [6] et par Synology [7].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 4 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.
Prise de contrôle du système via une vulnérabilité au sein de SPIP [8]
Ce code d’exploitation se présente sous la forme d’un template Nuclei. En utilisant ce template sur une liste d’hôtes via la commande nuclei, un attaquant est en mesure de détecter des instances de SPIP vulnérables à une exécution de code à distance.
Manipulation de données via une vulnérabilité au sein de Cisco AnyConnect Secure Mobility Client Software [9a] [9b]
Ce code d’exploitation se présente sous la forme d’un programme écrit en C++. En exécutant ce programme, un attaquant local est en mesure de supprimer des fichiers arbitraires sur la machine en tant que compte système.
Manipulation de données et divulgation d’informations via une vulnérabilité au sein d’IPSwitch MOVEit [10a] [10b] [10c] [10d]
La vulnérabilité est actuellement activement exploitée par divers acteurs, dont le groupe de ransomware Cl0p (cf. CXN-2023-3045 et CXN-2023-2927).
Contournement de sécurité et divulgation d’informations via une vulnérabilité au sein de SMA1000 (SNWLID-2023-0001) [11]
Ce code d’exploitation se présente sous la forme d’un template nuclei. En utilisant ce template sur une liste d’hôtes via la commande nuclei, un attaquant est en mesure de détecter des instances de SMA1000 vulnérables au parcours de répertoire (path traversal).
International
Évolution des TTPs associées à APT Volt Typhoon [12a] [12b]
Selon les chercheurs de CrowdStrike, APT Volt Typhoon se serait illustré par de nouvelles TTPs lors d’une récente campagne d’attaques. À l’issue d’une phase de reconnaissance approfondie, les opérateurs auraient exploité la CVE-2021-40539 comme vecteur de compromission initiale au sein de la solution intégrée de gestion des mots de passe ManageEngine ADSelfService Plus de Zoho. Tout au long de l’attaque, les opérateurs auraient effacé leurs traces via la suppression des logs.
Rapport de Recorded Future sur la stratégie cyber de la Corée du Nord [13a] [13b] [13c] [13d] [13e]
Une nouvelle étude menée par le groupe de chercheurs en CTI Insikt de Recorded Future examine la stratégie cyber de la Corée du Nord. D’après les 273 cyberattaques associées à Pyongyang par les chercheurs du groupe Insikt, la stratégie cyber de la Corée du Nord serait principalement axée sur la collecte de renseignements stratégiques et le détournement de capitaux financiers, destinés à soutenir le maintien de la dynastie Kim et l’unification de la péninsule coréenne grâce à la mise en oeuvre de son programme nucléaire. Les modes opératoires des attaquants (MOA) nord-coréens auraient la capacité de mener des attaques perturbatrices par DDoS et destructrices par wipers, mais n’auraient que très peu recours à ces types d’attaques.
Conflit Ukraine
Attaque DDoS du groupe Noname057(16) contre les sites de la SMP WAGNER [14]
Une campagne d’attaques DDoS aurait été menée par le groupe Noname057(16) contre plusieurs sites web appartenant à la société militaire privée WAGNER (wagner2022[.]ru et wagnercentr[.]ru) en marge de la rébellion du groupe contre le ministre de la Défense Sergueï Choïgou. Le groupe hacktiviste prorusse n’aurait pas encore publié de revendication de l’attaque sur leur canal Telegram. Ces nouvelles attaques confirment l’alignement du groupe hacktiviste Noname057(16) sur les intentions du Kremlin.
Fuite d’informations
APT Camaro Dragon ciblerait des organismes européens du secteur de la santé avec des clés USB [15a] [15b]
Les chercheurs de Check Point Research auraient observé une recrudescence de nouvelles versions d’un malware associé au mode opératoire APT Camaro Dragon, se propageant par le biais de supports USB et ciblant un organisme du secteur de la santé en Europe, mais aussi d’autres entités au Myanmar, en Corée du Sud, en Inde et en Russie. Une enquête de réponse à incident effectuée par les chercheurs de Check Point Research pour un organisme du secteur de la santé en Europe aurait permis d’identifier une vaste campagne d’espionnage mené par le mode opératoire APT Camaro Dragon.
Malware
Identification d’un toolkit sophistiqué ciblant les systèmes macOS d’Apple [16]
Des chercheurs en cybersécurité de Bitdefender ont découvert un ensemble d’artefacts faisant partie d’un toolkit sophistiqué ciblant les systèmes macOS d’Apple. « À l’heure actuelle, ces échantillons n’ont toujours pas été détectés et très peu d’informations sont disponibles à leur sujet », ont déclaré les chercheurs Andrei Lapusneanu et Bogdan Botezatu dans un rapport publié vendredi. L’analyse est basée sur l’examen de quatre échantillons téléchargés sur VirusTotal par une victime anonyme.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-3397
[2] CXA-2023-3387
[3] CXA-2023-3381
[4] CXA-2023-3380
[5] CXA-2023-3333
[6] CXA-2023-3303
[7] CXA-2023-3419
[8] CXA-2023-3390
[9] CXA-2023-3378
[10] CXA-2023-3366
[11] CXA-2023-3441
[12] CXN-2023-3394
[13] CXN-2023-3426
[14] CXN-2023-3406
[15] CXN-2023-3356
[16] CXN-2023-3290
