Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour macOS [1] et iPhone par Apple [2], pour Chrome par Google [3a][3b][3c], par Autodesk [4], par Cacti [5], par Ivanti [6] et par SolarWinds [7].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 4 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.
Prise de contrôle du système et élévation de privilèges via une vulnérabilité au sein de Cacti [8]
Ce code d’exploitation se présente sous la forme d’un template nuclei. En utilisant ce template sur un hôte via la commande nuclei, un attaquant distant d’identifier une instance vulnérable.
Prise de contrôle du système et déni de service via une vulnérabilité au sein d’Ivanti Avalanche [9]
Ce code d’exploitation se présente sous la forme d’un programme écrit en python. Un attaquant distant est en mesure de réaliser un dépassement de la mémoire tampon (stack buffer overflow) au sein de WLAvalancheService.exe.
Prise de contrôle du système via une vulnérabilité au sein de Windows et Windows Server [10]
Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. En exécutant ce module, un attaquant est alors en mesure de détecter une machine Windows vulnérable à une exécution de code arbitraire à distance basée sur le composant Microsoft Message Queuing.
Manipulation de données et divulgation d’informations via une vulnérabilité au sein de Zimbra [11]
Ce code d’exploitation se présente sous la forme d’un template Nuclei. En utilisant ce template sur un hôte via la commande nuclei, un attaquant est en mesure de se connecter à une instance Zimbra et d’exécuter un code JavaScript arbitraire.
Smartphones
Apple : 2 vulnérabilités de type « 0-day » ont été exploitées par le spyware Pegasus [12a] [12b] [12c] [12d] [12e] [12f] [12g] [12h]
Le jeudi 7 septembre 2023, Apple a publié des bulletins de sécurité d’urgence pour corriger 2 nouvelles vulnérabilités de type 0-day exploitées dans des attaques sophistiquées visant des utilisateurs des produits d’Apple. Référencées CVE-2023-41064 et CVE-2023-41061, ces 2 vulnérabilités ont été activement exploitées par la société israélienne NSO Group dans le cadre de leurs prestations commerciales de surveillance électronique. Les opérateurs ont eu recours à une chaîne d’exploitation sans clic dans iMessage (référencée BLASTPASS par CitizenLab) permettant de déployer le spyware Pegasus via l’exécution de code arbitraire.
Distribution du spyware BadBazaar par APT GREF via l’usurpation des applications Signal et Telegram [13a] [13b]
Des applications Signal et Telegram trojanisées ont été distribuées sur les marketplaces Google Play et Samsung Galaxy Store par le mode opératoire APT GREF associé à la Chine. D’après la télémétrie d’ESET, les opérateurs d’APT GREF ont utilisé le spyware BadBazaar pour cibler des utilisateurs en Ukraine, en Pologne, aux Pays-Bas, en Espagne, au Portugal, en Allemagne, à Hong Kong et aux États-Unis. Les capacités de BadBazaar comprennent le suivi de localisation, la collecte des journaux d’appels et des SMS, l’enregistrement des appels téléphoniques, les captures d’écran, l’exfiltration des listes de contacts et le vol des fichiers et des bases de données. Les 2 applications utilisées par APT GREF usurpaient l’identité des applications légitimes Signal et Telegram.
Défense
Divulgation de données confidentielles britanniques par LockBit 3.0 [14]
Le groupe de ransomware russophone LockBit a revendiqué le 13 août 2023 la publication de documents confidentiels concernant la base de sous-marins nucléaires HMNB Clyde, le laboratoire d’armes chimiques Porton Down et un poste d’écoute du GCHQ. D’autres informations sur un site spécialisé de la cyberdéfense britannique et sur certaines prisons de haute sécurité (notamment la prison de catégorie A de Long Lartin dans le Worcestershire et la prison de Whitemoor dans le Cambridgeshire) ont également été dérobées par les opérateurs du groupe. La fuite comprend également des informations sur les équipements de sécurité de la Royal Air Force à Waddington, où est basé l’escadron de drones d’attaque MQ-9 Reaper, et de la caserne de Cawdor, qui abrite des régiments spécialisés en guerre électronique. Les données compromises par LockBit auraient été récupérées à l’issue d’une intrusion informatique au sein de Zaun, un fournisseur de clôtures pour les sites de haute sécurité en Grande-Bretagne.
Hacktiviste
Campagne d’attaques DDoS contre l’autorité fédérale allemande de surveillance financière (BaFin) [15a] [15b] [15c] [15d]
Le vendredi 1er septembre 2023, une attaque par déni de service distribué (DDoS) a mis hors service le site de l’autorité fédérale allemande de surveillance financière (BaFin), entraînant son indisponibilité pendant quelques jours. Celle-ci pourrait néanmoins s’inscrire dans la continuité des campagnes d’attaques prorusses en réaction au soutien financier et militaire apporté par l’Allemagne à l’Ukraine. Dans une déclaration publique, des représentants de la BaFin ont indiqué que les systèmes informatiques de l’agence n’avaient pas été affectés par l’attaque et qu’aucune intrusion n’avait été observée. Néanmoins, le site de la BaFin n’en reste pas moins stratégique dans la mesure où il héberge une base de données contenant les informations d’appels d’offres publics et une plateforme pour les lanceurs d’alerte utilisée pour signaler des violations de manière anonyme.
Renseignement
Rapport forensic sur la compromission de clés MSA par le mode opératoire APT Storm-0558 [16a] [16b] [16c] [16d] [16e] [16f] [16g] [16h]
Le 6 septembre 2023, Microsoft a publié un rapport technique à la suite d’une intrusion du mode opératoire Storm-0558 au sein des systèmes de l’entreprise américaine en juillet 2023 (cf. CXN-2023-3710). Associé par Microsoft à la Chine, Storm-0558 a exploité une clé de consommateur de compte Microsoft (MSA) pour forger des jetons d’accès à OWA et Outlook.
Infostealer
Détection d’une nouvelle variante du malware Chaes ciblant les secteurs de la finance et de la logistique [17a] [17b]
Les chercheurs en cybersécurité de Morphisec ont observé une nouvelle version sophistiquée du malware Chaes comprenant une implémentation personnalisée du protocole Google DevTools pour accéder aux fonctions du navigateur des appareils compromis. Observé pour la première fois en novembre 2020, Chaes était initialement exploité par des acteurs de la menace aux motivations financières pour cibler des clients de sites e-commerce en Amérique latine. Les opérations du malware Chaes se sont considérablement développées à la fin de l’année 2021. Les acteurs de la menace exploitaient alors plus de 800 sites WordPress compromis pour distribuer le malware.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-4816
[2] CXA-2023-4818
[3] CXA-2023-4776
[4] CXA-2023-4730
[5] CXA-2023-4752
[6] CXA-2023-4715
[7] CXA-2023-4761
[8] CXA-2023-4804
[9] CXA-2023-4766
[10] CXA-2023-4782
[11] CXA-2023-4734
[12] CXN-2023-4820
[13] CXN-2023-4735
[14] CXN-2023-4733
[15] CXN-2023-4777
[16] CXN-2023-4798
[17] CXN-2023-4780
