Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Aruba Networks [1], par Synacor pour Zimbra [2a][2b][2c], par Google pour Chrome [3a][3b][3c], par Ivanti pour MobileIron Sentry [4a][4b], par Kubernetes [5] et par Microsoft pour Edge [6].
Ces correctifs remédient à des dommages allant de la divulgation d’informations sensibles à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, aucun code d’exploitation n’a été publié.
Compromission de chaîne d’approvisionnement
Ivanti met en garde contre une nouvelle vulnérabilité 0-day activement exploité [7a] [7b]
Le fabricant Ivanti a déclaré le lundi 21 août 2023 qu’une vulnérabilité critique de contournement d’authentification dans MobileIron Sentry avait été exploitée par des acteurs de la menace. Répertoriée sous le nom de CVE-2023-38035, la faille de sécurité possède un score de criticité CVSS de 9,8 sur 10 et se situe dans Ivanti Sentry, anciennement connu sous le nom de MobileIron Sentry. Cette solution sert de passerelle pour chiffrer le trafic entre les appareils mobiles d’une organisation et ses systèmes back-end. L’exploitation de cette vulnérabilité permet à un attaquant de prendre le contrôle de ce composant réseau sensible en contournant l’authentification de l’interface administrative en raison d’une configuration Apache HTTPD insuffisamment restrictive. De là, les attaquants peuvent accéder à certaines API sensibles utilisées pour configurer Sentry via le port 8443.
Asie
Le mode opératoire APT Carderbee cible des organisations en Asie avec le malware PlugX [8a] [8b] [8c]
Un mode opératoire APT référencé sous le nom de Carderbee a été observé lors d’attaques ciblant la supply chain d’organisations en Asie, en utilisant un logiciel légitime comme vecteur de compromission initiale, déployant ensuite le malware PlugX, largement exploité par les APTs parrainées par l’État chinois. L’éditeur de cybersécurité Symantec rapporte que le logiciel utilisé par le mode opératoire était Cobra DocGuard. Sur les 2 000 ordinateurs utilisant Cobra DocGuard, les chercheurs de Symantec n’ont identifié qu’une centaine d’appareils compromis par le mode opératoire en avril 2023.
Cybercriminalité
Rapport d’Accenture sur l’augmentation des attaques ciblant macOS [9a] [9b] [9c]
Le 7 août 2023, les chercheurs d’Accenture ont rapporté que le nombre d’acteurs de la menace ciblant les systèmes d’exploitation macOS avait été multiplié par 10 depuis 2019. Historiquement axés sur les instances Windows et Linux car jugées plus lucratives par l’écosystème cybercriminel, les acteurs ont développé leurs activités malveillantes contre les systèmes macOS, constituant un changement significatif observé en 2023.
Défense
Le malware HiatusRAT cible des réseaux périphériques à Taïwan et aux États-Unis [10a] [10b] [10c] [10d]
Dans un rapport de CTI publié le 17 août 2023, les chercheurs de Black Lotus Labs de LUMEN ont identifié un mode opératoire des attaquants (MOA) menant des activités de reconnaissance contre des organisations basées à Taïwan et un système d’approvisionnement sensible de l’armée américaine. Plus de 100 dispositifs de réseaux périphériques dans le monde auraient été infectés par le malware HiatusRAT pour collecter passivement le trafic.
Renseignement
APT29 exploite des fichiers PDF malveillants pour cibler des instances diplomatiques de membres de l’OTAN [11]
Les chercheurs d’EclecticIQ ont observé 2 fichiers PDF leurres malveillants, usurpant l’identité de l’Ambassade allemande pour cibler les personnels des Ministères des affaires étrangères de pays alignés sur l’OTAN. Sur la base de leurs investigations, les chercheurs d’EclecticIQ ont associé ces 2 fichiers au mode opératoire APT29, officiellement attribué par le gouvernement américain au Service de renseignement extérieur de la Fédération de Russie (SVR) en mai 2021.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-4585
[2] CXA-2023-4528
[3] CXA-2023-4531
[4] CXA-2023-4507
[5] CXA-2023-4548
[6] CXA-2023-4496
[7] CXN-2023-4511
[8] CXN-2023-4563
[9] CXN-2023-4481
[10] CXN-2023-4503
[11] CXN-2023-4428
