Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés dans le cadre du Patch Tuesday par Microsoft [1], par Grafana [2], par Apple pour macOS [3a][3b][3c] et par ServiceNow [4].
Ces correctifs remédient à des dommages allant de la divulgation d’informations sensibles à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.
Prise de contrôle du système via une vulnérabilité au sein de Sophos Web Appliance [5]
Ce code d’exploitation se présente sous la forme d’un programme écrit en Bash. En exécutant ce programme, un attaquant est alors en mesure de scanner une ou plusieurs adresses URL afin de détecter des serveurs vulnérables à une exécution de commande arbitraire (en provoquant une requête vers un serveur DNS sous son contrôle via la commande ping).
Prise de contrôle du système via une vulnérabilité au sein d’Outlook [6]
Ce code d’exploitation se présente sous la forme d’une macro Word. En incitant sa victime à ouvrir un fichier Word contenant cette macro depuis Outlook, un attaquant est alors en mesure d’exécuter du code malveillant sur le poste de travail de l’utilisateur.
Ransomware
Identification d’une nouvelle vulnérabilité critique dans MOVEit [7a] [7b]
Une nouvelle vulnérabilité critique par injection de code SQL a été identifiée et corrigée dans le logiciel MOVEit Transfer de Progress Software. Il s’agit de la quatrième de ce type observée en l’espace d’un mois. Référencée CVE-2023-36934, la vulnérabilité est différente de celle récemment exploitée par le groupe de ransomware Cl0p.
Compromission du port de Nagoya par le groupe de ransomware LockBit 3.0 [8a] [8b] [8c]
Le port de Nagoya (Japon) a été compromis par le groupe de ransomware russophone LockBit 3.0 mardi 4 juillet 2023 à 6h30, entraînant l’arrêt des mouvements de cargaison. L’autorité administrative du port a publié un avis concernant un dysfonctionnement du « Nagoya Port Unified Terminal System » (NUTS), le système contrôlant tous les terminaux à conteneurs. Les médias japonais ont fait état d’importantes perturbations dans le port.
Attaque
APT42 exploiterait la payload NokNok pour cibler des systèmes macOS [9a] [9b]
D’après les investigations menées par Proofpoint, les opérateurs d’APT42 auraient recours à des fichiers LNK malveillants comme nouveau vecteur de compromission initial. Lors d’une campagne d’attaques observée en mai 2023, APT42 aurait ciblé des utilisateurs sous macOS via une payload baptisée NokNok. Selon Proofpoint, les opérateurs d’APT42 se seraient fait passer pour des experts nucléaires américains, proposant à leurs cibles d’examiner des projets de politique étrangère via des techniques d’ingénierie sociale largement documentées par Recorded Future.
Conflit Ukraine
APT29 : Campagne d’attaques ciblant les missions diplomatiques à Kiev [10]
Dans un rapport publié le 12 juillet 2023, les chercheurs d’Unit 42 ont annoncé l’identification d’une campagne d’attaques ciblant les personnels de missions diplomatiques à Kiev (Ukraine). La victimologie et les chevauchements de TTPs observées lors des investigations ont permis aux chercheurs d’Unit 42 d’associer cette campagne d’attaques à APT29, publiquement désigné par les États-Unis et le Royaume-Uni comme rattaché au Service de renseignement extérieur de la Fédération de Russie (SVR).
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-3679
[2] CXA-2023-3576
[3] CXA-2023-3635
[4] CXA-2023-3597
[5] CXA-2023-3618
[6] CXA-2023-3601
[7] CXN-2023-3599
[8] CXN-2023-360
[9] CXN-2023-3602
[10] CXN-2023-3707
