Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Ivanti pour Endpoint Manager (MobileIron) [1], par Apple pour iPad [2a][2b], macOS [3a][3b][4] et Safari [5], par Metabase [6a][6b][6c][6d][6e][6f][6g][6h][6i] et par Microsoft pour Edge [7].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.
Prise de contrôle du système et manipulation de données via une vulnérabilité au sein de Metabase [8]
Ce code d’exploitation se présente sous la forme d’une requête HTTP. En envoyant cette requête à un hôte vulnérable, et après avoir modifié la payload avec son IP et son port, un attaquant est en mesure d’obtenir un reverse shell sur le serveur.
Contournement de sécurité via une vulnérabilité au sein d’Adobe ColdFusion [9]
Ce code d’exploitation se présente sous la forme d’un template Nuclei. En utilisant ce template sur un hôte via la commande nuclei, un attaquant distant peut contourner l’authentification et accéder à la page d’administration de ColdFusion.
Renseignement
Compromission d’Ivanti Endpoint Manager (anciennement MobileIron Core) par des acteurs de la menace ciblant 12 ministères norvégiens [10a] [10b] [10c] [10d] [10e]
Le 24 juillet 2023, les autorités norvégiennes ont annoncé que des acteurs de la menace avaient réussi à exploiter une vulnérabilité de type 0-day (référencée CVE-2023-35078) dans le produit Ivanti Endpoint Manager (EPMM), anciennement connu sous le nom de MobileIron Core, impliquant la compromission des données de 12 ministères norvégiens. L’Organisation norvégienne de sécurité (DSS) a informé l’Autorité Nationale de Sécurité (NSM) dès la découverte de l’attaque et enquête actuellement sur l’incident.
Criminel
2 vulnérabilités critiques identifiées dans MegaRAC [11a] [11b]
Le 20 juillet 2023, les chercheurs d’Eclypsium ont découvert 2 vulnérabilités critiques dans le logiciel MegaRAC Baseboard Management Controller (BMC) de l’entreprise American Megatrends International. Cette solution logicielle est destinée aux administrateurs pour gérer à distance des serveurs via des capacités de type out-of-band et lights-out. MegaRAC est utilisé par plus d’une douzaine de fabricants de serveurs, notamment AMD, Asus, ARM, Dell EMC, Gigabyte, Lenovo, Nvidia, Qualcomm, Hewlett-Packard Enterprise, Huawei, Ampere Computing et ASRock.
Smartphones
Détection de 2 spywares associés à APT41 [12a] [12b] [12c] [12d] [12e]
Dans un rapport publié le 19 juillet 2023, les chercheurs de Lookout reviennent sur l’identification d’une campagne d’espionnage par spyware associé à APT41 (aussi connu sous les noms de Winnti, BARIUM, Double Dragon). Les spywares observés, référencés WyrmSpy et DragonEgg, utiliseraient les mêmes certificats de signature de code Android, laissant supposer qu’ils ont été développés par les mêmes opérateurs. Les premiers échantillons du code source de WyrmSpy comprenaient une adresse de serveur C2 codée en dur, qui se résolvait en sous-domaine vpn2.umisen[.]com. Or, dans son acte d’accusation de 2020, le ministère de la Justice américain avait établi un lien entre vpn2.umisen[.]com et APT41.
Ransomware
Compromission de Yamaha Corporation par les ransomwares Akira et BlackByte [13a] [13b]
Le jeudi 20 juillet 2023, la division musicale canadienne de Yamaha a confirmé avoir été récemment victime d’une cyberattaque, entraînant un accès non autorisé et un vol de données. Cette annonce est intervenue après les revendications de 2 groupes de ransomwares distincts, survenues le 14 juin pour BlackByte et le 21 juillet pour Akira. Yamaha Corporation est considérée comme le plus grand producteur mondial d’équipements musicaux. L’entreprise a ajouté que sa priorité principale restait pour le moment de mitiger les conséquences néfastes découlant de cette attaque.
Fuite d’informations
Divulgations de données sensibles de l’OTAN par le groupe SiegedSec [14a] [14b] [14c] [14d] [14e]
Le 24 juillet 2023, le groupe de la menace SiegedSec a revendiqué la compromission du portail « Communities of Interests » (COI) de l’OTAN entrainant une fuite de centaines de documents sensibles (1GB) destinés aux pays membres de l’organisation atlantique et à ses partenaires. Les données divulguées par SiegedSec contiennent les noms complets, les adresses électroniques, les numéros de téléphone, les adresses professionnelles et les grades d’au moins 70 responsables de l’OTAN.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-3931
[2] CXA-2023-3943
[3] CXA-2023-3941
[4] CXA-2023-3940
[5] CXA-2023-3936
[6] CXA-2023-3918
[7] CXA-2023-3919
[8] CXA-2023-4003
[9] CXA-2023-3904
[10] CXN-2023-3934
[11] CXN-2023-3973
[12] CXN-2023-3917
[13] CXN-2023-3945
[14] CXN-2023-3974
