Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Oracle [1a][1b], par Juniper pour Junos OS [2], par Atlassian pour Confluence [3], par Google pour Chrome [4a][4b], par Microsoft pour Edge [5] et par Citrix pour NetScaler ADC et Gateway [6]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 3 codes d’exploitation ont été publiés. Un correctif est disponible pour 2 d’entre eux (Gitlab et Windows).
Contournement de sécurité via une vulnérabilité au sein de Connect Secure et Policy Secure Gateways [7a] [7b] [7c]
Ce code d’exploitation se présente sous la forme d’un template Nuclei. En exécutant ce template, un attaquant est en mesure d’identifier des instances vulnérables en accédant à des ressources protégées sans authentification.
Élévation de privilèges une vulnérabilité au sein de Gitlab [8]
Ce code d’exploitation se présente sous la forme d’un template Nuclei. En exécutant ce template via une commande nuclei sur un nom d’hôte, un attaquant est alors en mesure de faire en sorte que l’application lui envoie un email de réinitialisation de mot de passe d’un compte arbitraire à une adresse email qu’il contrôle.
Élévation de privilèges via une vulnérabilité au sein de Windows [9]
Ce code d’exploitation se présente sous la forme d’un programme écrit en C++. En exécutant ce programme sur un système d’exploitation Windows, un attaquant est alors en mesure d’ouvrir un terminal permettant d’exécuter des commandes en tant qu’administrateur.
Vulnérabilité
Le groupe Mimo exploite des vulnérabilités pour distribuer un cryptominer et un ransomware [10]
Le 18 janvier 2024, les chercheurs de l’ASEC ont rapporté l’exploitation active de diverses vulnérabilités par l’acteur de la menace Mimo (aka Hezb), afin de distribuer le cryptominer Mimo Miner Bot et le ransomware Mimus.
Le premier cluster d’activités malveillantes associé à Mimo remonte à mars 2022, exploitant la vulnérabilité Log4Shell, aussi référencée sous le nom de CVE-2021-44228, pour distribuer le basé sur XMRig.
Des acteurs de la menace exploitent 3 vulnérabilités pour distribuer le botnet Androxgh0st [11a] [11b] [11c] [11d]
Le 16 janvier 2024, la CISA et le FBI ont publié un avis de sécurité sur les tactiques, techniques et procédures (TTPs) associées à des acteurs de la menace déployant le botnet Androxgh0st. Il a été repéré pour la première fois par Lacework Labs en 2022 et contrôlait plus de 40 000 appareils il y a près d’un an, selon les données de Fortiguard Labs.
L’APT chinois Volt Typhoon exploite deux anciennes vulnérabilités de Cisco pour cibler des entités gouvernementales [12a] [12b]
Le 10 janvier 2024, les chercheurs de SecurityScorecard ont révélé l’exploitation de deux vulnérabilités dans les routeurs Cisco par le mode opératoire de type APT associé à la Chine Volt Typhoon, afin de cibler des entités gouvernementales. Référencées CVE-2019-1653 et CVE-2019-1652, elles affectent les routeurs VPN Cisco RV320/325 qui ne sont plus maintenus et commercialisés par l’éditeur.
Des vulnérabilités affectent la pile de protocole IPv6 de l’implémentation de l’UEFI de TianoCore [13a] [13b] [13c] [13d]
Le 16 janvier 2024, les chercheurs de Quarkslab ont publié un rapport sur PixieFail, nom donné aux neuf nouvelles vulnérabilités affectant la pile de protocole réseau IPv6 de l’implémentation de référence open source de l’UEFI de TianoCore (EDK II). L’UEFI représente une norme de microprogrammation contemporaine essentielle pour initialiser le système d’exploitation sur les ordinateurs modernes et permet de faciliter la communication entre le matériel et le système d’exploitation. Certaines de ces vulnérabilités impactent la partie PXE (Preboot eXecution Environment) de l’UEFI, à savoir ce qui permet aux machines de démarrer sur le réseau.
Etat Nation
Le groupe APT associé à l’Iran Mint Sandstorm cible des organismes de recherche et des universités avec de nouvelles TTPs [14a] [14b]
Le 17 janvier 2024, les chercheurs de xxx ont publié un rapport sur les nouvelles tactiques, techniques et procédures (TTPs) exploitées par le mode opératoire Mint Sandstorm (aka PHOSPHORUS) dans le cadre d’une campagne d’attaques ciblant des organismes de recherche en Belgique, en France, à Gaza, en Israël, au Royaume-Uni et aux États-Unis, ainsi que des universités travaillant sur les questions de sécurité au Moyen-Orient.
Le groupe APT russe COLDRIVER cible les pays de l’OTAN avec la backdoor SPICA [15]
Le 18 janvier 2023, les chercheurs du Threat Analysis Group (TAG) de Google ont publié un bulletin de sécurité suite à l’identification d’une campagne d’attaques associée au mode opératoire APT COLDRIVER (aka UNC4057, Star Blizzard et Callisto) et ciblant par phishing des cadres d’ONG, des anciens responsables des services de renseignement et de la défense ainsi que des gouvernements des pays membres de l’OTAN. Attribuée à la Russie par le NCSC britannique et Microsoft, APT COLDRIVER est spécialisée dans la compromission initiale par phishing via des comptes légitimes compromis à des fins de collecte de renseignements.
Europe de l’Ouest
Le CHU de Nantes victime d’une attaque DDoS [16a] [16b]
Le 16 janvier 2024, le CHU de Nantes a annoncé avoir été victime d’un incident de sécurité ayant interrompu son accès à Internet et entraîné l’indisponibilité de son site Web, impactant les prises de rendez-vous en ligne. Le journal Ouest France a ensuite révélé que le centre hospitalier avait subi une attaque par déni de service distribué (DDoS) dans la nuit du dimanche 14 au lundi 15 janvier.
Le groupe hacktiviste pro-russe NoName057(16) revendique des attaques DDoS contre le secteur de l’énergie en France [17a] [17b] [17c] [17d] [17e] [17f]
Le 15 janvier 2024, le groupe hacktiviste pro-russe NoName057(16) a revendiqué des attaques par déni de service distribué (DDoS) contre les sites Web de plusieurs entités françaises, parmi lesquelles Orano, Enercoop et EDF. Selon les déclarations du groupe, elles ont été réalisées en réaction à la visite récente en Ukraine du ministre des Affaires Etrangères français Stéphane Séjourné.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXN-2024-0323
[2] CXA-2024-0264
[3] CXA-2024-0266
[4] CXA-2024-0342
[5] CXA-2024-0343
[6] CXA-2024-0284
[7] CXA-2024-0354
[8] CXA-2024-0262
[9] CXA-2024-0249
[10] CXN-2024-0350
[11] CXN-2024-0288
[12] CXN-2024-0221
[13] CXN-2024-0287
[14] CXN-2024-0347
[15] CXN-2024-0371
[16] CXN-2024-0290
[17] CXN-2024-0268
