Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Chrome par Google [1], pour Firefox ESR par Mozilla [2][3], pour Gitlab [4], Thunderbird [5a][5b] et Metabase [6].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 3 codes d’exploitation ont été publiés. Un correctif est disponible pour 2 d’entre eux.
Manipulation de données et divulgation d’informations via une vulnérabilité au sein de ZCS [7]
Ce code d’exploitation se présente sous la forme d’un template Nuclei. En utilisant ce template sur un hôte via la commande nuclei, un attaquant distant peut accéder à des informations sensibles et manipuler des données.
Contournement de sécurité et manipulation de données via une vulnérabilité au sein d’Ivanti Endpoint Manager Mobile [8]
Ce code d’exploitation se présente sous la forme d’un template Nuclei. En utilisant ce template sur une liste d’hôte via la commande nuclei, un attaquant est en mesure de détecter des instances d’Ivanti Endpoint Manager Mobile vulnérable à un manque de contrôle d’accès sur l’API permettant d’obtenir des informations sensibles ou d’effectuer des changements de configuration (dont la possibilité de créer un compte administrateur). Ce programme permet uniquement de tester la présence de la vulnérabilité.
Contournement de sécurité et manipulation de données via une vulnérabilité au sein de MobileIron Core [9]
Ce code d’exploitation se présente sous la forme d’un template Nuclei. En utilisant ce template sur une liste d’hôte via la commande nuclei, un attaquant est en mesure de détecter des instances de MobileIron Core vulnérables à un contournement d’authentification permettant d’accéder à des informations sur les utilisateurs et de modifier des données sur le serveur. L’utilisation de cet outil teste uniquement la présence de la vulnérabilité.
Compromission de chaine d’approvisionnement
Ivanti annnonce l’identification d’une nouvelle vulnérabilité critique de contournement d’authentification dans MobileIron Core [10a] [10b] [10c]
Le mercredi 2 août 2023, l’éditeur de logiciels informatiques Ivanti a détecté une nouvelle vulnérabilité critique (score CVSS 10) dans son logiciel de gestion des appareils mobiles Endpoint Manager Mobile (anciennement connu sous le nom de MobileIron Core). Référencée sous le nom de CVE-2023-35082, cette faille de sécurité permet un accès à distance non authentifié à l’API des versions 11.2 et antérieures de MobileIron Core. Une exploitation réussie permet aux attaquants d’accéder aux informations personnelles (de typePII) des utilisateurs d’appareils mobiles et d’établir des backdoors sur les serveurs compromis.
Smartphones
Détection d’un spyware associé à APT Bahamut par Cyfirma [11]
Dans un rapport publié le 28 juillet 2023, les chercheurs de Cyfirma ont étudié les tactiques, techniques et procédures (TTPs) exploitées par un spyware associé à APT Bahamut et ciblant des individus dans la région d’Asie du Sud. Prenant la forme d’une application Android nommée SafeChat, le spyware est soupçonné d’être distribué aux victimes via WhatsApp pour collecter les journaux d’appels, les messages et les positions GPS des téléphones ciblés.
Ransomware
Diffusion du malware Nitrogen via une technique de malvertising [12a] [12b] [12c] [12d]
Le 26 juillet 2023, les chercheurs de Sophos ont publié un rapport sur le malware Nitrogen, exploitant des annonces de recherche Google et Bing pour promouvoir des sites compromis. Nitrogen fournit aux acteurs de la menace un accès initial aux réseaux d’entreprises, leur permettant de voler des données, d’effectuer une collecte de renseignement et de déployer le ransomware BlackCat/ALPHV. La campagne d’attaques usurpait des logiciels populaires légitimes (malvertising) tels que AnyDesk, Cisco AnyConnect VPN, TreeSize Free et WinSCP. Les utilisateurs ciblés étaient alors redirigés vers des pages d’hébergement WordPress compromises, imitant l’interface graphique des sites légitimes pour diffuser Nitrogen.
Analyse des techniques d’évasion employées par les groupes de ransomware [13]
Le 28 juillet 2023, l’Unit 42 de Palo Alto a publié un rapport sur les tendances observées dans l’écosystème cybercriminel des ransomwares. Outre l’utilisation de versions polymorphes de leurs ransomwares, les acteurs de la menace ont adopté une approche dynamique visant à alterner les noms d’hôtes, les chemins d’accès et les noms de fichiers compromis.
Criminel
Le malware P2Pinfect infecte les instances Redis via la CVE-2022-0543 [14a] [14b]
Selon un rapport de l’Unit 42 de Palo Alto publié le 19 juillet 2023, des acteurs de la menace auraient ciblé à partir du 29 juin 2023 l’application database open-source Redis avec un ver peer-to-peer nommé P2Pinfect. Le malware est écrit en Rust et s’appuie sur une vulnérabilité critique (référencée CVE-2022-0543 avec un score de criticité CVSS de 10) pour l’accès initial. La faille de sécurité permet d’éviter les environnements d’analyse de type sandbox LUA spécifique à Debian. La CVE-2022-0543 a été exploitée en mars 2022 par des acteurs de la menace exploitant le botnet Muhstik et le malware Redigo.
Cryptomonnaie
Le malware CherryBlos utilise la reconnaissance de caractères pour voler des informations d’identification à partir d’images [15a] [15b]
Dans un rapport publié le 28 juillet 2023, les chercheurs de Trend Micro ont annoncé la détection de 2 nouvelles familles de malware Android baptisées CherryBlos et FakeTrade sur le Google Play Store. Trend Micro a observé l’utilisation d’une même infrastructure réseau et des mêmes certificats par les deux malwares, indiquant que les mêmes opérateurs de la menace pourraient les avoir créées.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-4115
[2] CXA-2023-4099
[3] CXA-2023-4088
[4] CXA-2023-4092
[5] CXA-2023-4135
[6] CXA-2023-4025
[7] CXA-2023-4068
[8] CXA-2023-4064
[9] CXA-2023-4142
[10] CXN-2023-4116
[11] CXN-2023-4062
[12] CXN-2023-4013
[13] CXN-2023-4038
[14] CXN-2023-4105
[15] CXN-2023-4037
