Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Oracle dans le cadre de son Critical Patch Update trimestriel [1a] [1b], pour ColdFusion par Adobe [2], pour ADC (Application Delivery Controller) par Citrix [3], pour Chrome par Google [4] et pour Edge par Microsoft [5].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 6 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.
Contournement de sécurité via l’exploitation d’une vulnérabilité au sein d’Adobe Coldfusion [6]
Ce code d’exploitation se présente sous la forme d’un template Nuclei. En utilisant ce template sur un hôte via la commande nuclei, un attaquant est en mesure de savoir si les endpoints CFM et CFC dans le chemin /CFIDE/ sont accessibles.
Prise de contrôle du système via une vulnérabilité au sein d’Adobe Coldfusion [7]
Ce code d’exploitation se présente sous la forme d’un template nuclei. En utilisant ce template sur un hôte via la commande nuclei, un attaquant est en mesure de savoir si une instance Adobe Coldfusion est vulnérable.
Prise de contrôle du système et élévation de privilèges via une vulnérabilité au sein d’IQ Engine (SA-2023-067) [8a] [8b]
Ce code d’exploitation se présente sous la forme d’un script python. En utilisant ce script sur un serveur vulnérable, un attaquant est en mesure d’obtenir un reverse shell.
Prise de contrôle du système et élévation de privilèges via une vulnérabilité au sein de Microsoft Office 365 [9]
Ce code d’exploitation se présente sous la forme d’un programme écrit en VBA. En incitant sa victime à ouvrir un fichier Word contenant ces macros, un attaquant est alors en mesure d’exécuter des commandes arbitraires sur le système sous-jacent et d’élever ses privilèges.
Divulgation d’informations via une vulnérabilité au sein de Piwigo [10]
Ce code d’exploitation se présente sous la forme d’un template Nuclei. En utilisant ce template via la commande nuclei sur un ensemble d’instances Piwigo, un attaquant disposant de comptes valides sur ces dernières est alors en mesure de détecter des serveurs vulnérables à une injection SQL.
Prise de contrôle du système et élévation de privilège via une vulnérabilité au sein de PfSense [11a] [11b]
Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. En exécutant ce programme contre une application vulnérable, un attaquant peut exécuter du code arbitraire sur le serveur ciblé.
Fuite d’informations
Fuite de données d’une liste de 5600 adresses et noms des clients de VirusTotal [12a] [12b] [12c]
Le 17 juillet 2023, les journaux allemands Der Spiegel et Der Standard ont rapporté que le service en ligne d’analyse de logiciels malveillants VirusTotal a divulgué une liste de 5 600 noms et adresses électroniques. Les informations auraient été exposées après qu’un employé ait téléchargé par inadvertance les données sur VirusTotal. Supprimé de la plateforme une heure après sa publication, le fichier comprenait des données associées aux personnels des services secrets américains (NSA), de l’US Cyber Command (le centre de contrôle des opérations informatiques offensives et défensives) et des services de renseignement allemands enregistrés auprès de la plateforme.
Malware
Divulgation publique du code source de BlackLotus sur Github [13a] [13b] [13c]
Des chercheurs en cybersécurité ont signalé sur Twitter la divulgation du code source du bootkit BlackLotus UEFI sur GitHub le 14 juillet 2023, représentant un risque de prolifération du malware. Selon Alex Matrosov, PDG de la société Binarly, la disponibilité du code source de BlackLotus représente une menace importante parce que ce bootkit peut être combiné avec de nouveaux exploits.
Ransomware
ALPHV/BlackCat et Cl0p ont revendiqué la compromission du groupe de cosmétique Estée Lauder [14a] [14b]
Dans un document déposé auprès de la Security Exchange Commission (SEC) mardi 18 juillet 2023, le groupe Estée Lauder a confirmé la compromission de certains de ses systèmes par un acteur de la menace non déclaré, entrainant une fuite de données. Les groupes de ransomwares ALPHV/BlackCat et Cl0p ont distinctement revendiqué la compromission du groupe de cosmétique.
Conflit Ukraine
Rapport du CERT-UA sur les activités du mode opératoire Gamaredon [15a] [15b] [15c] [15d]
Le 13 juillet 2023, le CERT-UA a publié un rapport sur l’étude des TTPs associées au mode opératoire des attaques (MOA) Gamaredon (aussi référencé sous les noms de Aqua Blizzard, Armageddon, Shuckworm, or UAC-0010) associé à la Fédération de Russie. L’investigation du CERT-UA note la rapidité d’exfiltration des données compromises par le MOA et l’évolution de ses TTPs.
Cybercriminalité
Le malware Triada infecte les appareils Android via une application falsifiée de Telegram [16a] [16b]
Check Point Software Technologies a observé la diffusion du malware Triada via des versions falsifiées de l’application Telegram sur les appareils Android. Les chercheurs ont identifié Triada sur une marketplace tierce peu connue, allant à l’encontre de la tendance générale des acteurs de la menace exploitant la légitimité et la popularité des marketplaces comme Google Play Store ou Apple App Store pour diffuser leurs malwares.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXN-2023-3831
[2] CXA-2023-3843
[3] CXA-2023-3813
[4] CXA-2023-3782
[5] CXA-2023-3747
[6] CXA-2023-3743
[7] CXA-2023-3742
[8] CXA-2023-3735
[9] CXA-2023-3888
[10] CXA-2023-3770
[11] CXA-2023-3763
[12] CXN-2023-3872
[13] CXN-2023-3738
[14] CXN-2023-3869
[15] CXN-2023-3767
[16] CXN-2023-3736
