Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Mozilla pour Thunderbird [1a][1b] et pour son navigateur Firefox [2a][2b], par Gitlab [3], par Google pour son navigateur Chrome [4a][4b][4c], par Apache pour Tomcat [5] et par McAfee [6].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 4 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.
Prise de contrôle du système et élévation de privilèges via 2 vulnérabilités au sein de SonicWall GMS et SonicWall Analytics (SNWLID-2023-0010) [7a] [7b]
Ce code d’exploitation se présente sous la forme d’un template Nuclei. Un attaquant peut exécuter les requêtes HTTP du template pour contourner la fonctionnalité de connexion et ainsi exécuter des commandes spécifiquement conçues sur le système sous-jacent.
Prise de contrôle du système via une vulnérabilité au sein d’Ivanti MobileIron Sentry [8]
Ce code d’exploitation se présente sous la forme d’un template Nuclei. Il permet à un attaquant d’envoyer des requêtes HTTP spécifiquement conçues afin d’exécuter du code arbitraire.
Prise de contrôle du système et contournement de sécurité via une vulnérabilité au sein d’Ivanti Avalanche [9]
Ce code d’exploitation se présente sous la forme d’un template Nuclei. Un attaquant est en mesure de sauvegarder un fichier .jsp spécifiquement conçu à la racine du serveur web.
Prise de contrôle du système et manipulation de données via 4 vulnérabilités au sein de Juniper Networks Junos OS (JSA72300) [10]
Ce code d’exploitation se présente sous la forme d’un template Nuclei. Il permet à un attaquant de modifier certaines variables d’environnement PHP, conduisant à une perte partielle d’intégrité et permet l’enchaînement d’autres vulnérabilités.
Cybercriminalité
L’ANSSI publie un rapport d’évaluation de la menace pour la Coupe du Monde de Rugby et les JO 2024 [11]
L’ANSSI a publié le 30 janvier 2023 un rapport sur l’état de la menace liée aux grands évènements sportifs à venir en France (Coupe du Monde de Rugby et Jeux Olympiques et Paralympiques). En résumé, l’ANSSI indique que « L’objectif de ce document est de présenter les principales menaces pesant sur les systèmes d’information (SI) mis en œuvre lors de ces événements sportifs et de fournir des exemples concrets d’attaques conduites contre le secteur en France ou à l’étranger. »
Apparition d’un nouvel acteur malveillant : EchoSec [12a] [12b]
Le 17 août 2023, le groupe EchoSec, probablement situé en Europe, a ouvert son canal Telegram dans lequel il a publié un message. Dans ce dernier, le groupe affirme avoir choisi de ne pas communiquer avec la presse malgré les nombreuses demandes. Il ajoute que cette décision est amenée à évoluer et que des mesures de sécurité seront mises en place. Selon un des membres, l’objectif du groupe serait de permettre de promouvoir un Internet non censuré et la liberté d’information. Certains de ses membres seraient actifs depuis 2016 et auraient des liens avec des groupes présumés chinois et russes.
Botnet
Le FBI a annoncé le démantèlement du botnet Qakbot [13a] [13b] [13c]
Le mardi 29 août 2023, le FBI a annoncé le démantèlement du botnet Qakbot lors de l’opération policière multinationale baptisée Duck Hunt. Aussi référencé sous le nom de Pinkslipbot et Qbot, le botnet Qakbot a été associé à au moins 40 attaques par ransomware contre des entreprises, des prestataires de soins de santé et des organismes publics du monde entier, causant des centaines de millions de dollars de dégâts.
Identification d’un nouveau malware associé aux opérateurs du botnet Smoke Loader [14a] [14b]
Dans un rapport publié le 8 août 2023, les chercheurs de Secureworks ont annoncé l’identification d’un nouveau malware associé aux opérateurs de Smoke Loader. Nommé Whiffy Recon, le malware serait utilisé par les opérateurs du botnet pour trianguler l’emplacement des appareils compromis par le biais d’un scan WiFi et de l’API de géolocalisation de Google.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-4692
[2] CXA-2023-4654
[3] CXA-2023-4703
[4] CXA-2023-4655
[5] CXA-2023-4598
[6] CXA-2023-4618
[7] CXA-2023-4676
[8] CXA-2023-4625
[9] CXA-2023-4644
[10] CXA-2023-4648
[11] CXN-2023-4710
[12] CXN-2023-4667
[13] CXN-2023-4664
[14] CXN-2023-4630
