Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Mozilla pour Firefox [1][2], pour Thunderbird [3], par Teclib’ pour GLPI [4], par Google pour Chrome [5a][5b] et par Apple pour iPad [6a][6b], macOS [7][8][9][10], et Safari [11].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, aucun code d’exploitation n’a été publié.
Asie
APT BlackTech compromet des routeurs Cisco pour cibler des organisations aux États-Unis et au Japon [12a] [12b] [12c] [12d]
Dans un bulletin de sécurité conjoint publié le 27 septembre 2023, la NSA, le FBI et la CISA ont annoncé l’identification d’une campagne d’attaques associée au mode opératoire APT BlackTech. Les opérateurs auraient discrètement manipulé des routeurs Cisco pour compromettre les réseaux de multinationales aux États-Unis et au Japon. L’avis de sécurité ne détaille pas de CVE spécifique affectant les routeurs Cisco.
Vulnérabilités
Exploitation active de la CVE-2023-32315 dans Openfire [13a] [13b]
Le 25 septembre 2023, les chercheurs de la firme de sécurité DR.Web ont fait état de l’exploitation active d’une vulnérabilité dans le serveur de collaboration Openfire. Référencée CVE-2023-32315 et corrigée par l’éditeur en mai 2023, elle permet à des attaquants distants non authentifiés de contourner des restrictions de sécurité.
La société russe « Operation Zero » augmente les récompenses financières pour les découvertes de « 0-day » [14a] [14b] [14c] [14d] [14e]
Dans un post publié sur Twitter le 26 septembre 2023, la société russe Operation Zero a annoncé l’augmentation des récompenses financières accordées dans le cadre des activités de bug bounty. Operation Zero promet des récompenses allant de 200 000 à 20 millions de dollars pour la découverte de vulnérabilités de type 0-day sur les appareils mobiles iPhone et Android.
Ransomware
Le FBI et le CISA détaillent le mode opératoire du ransomware Snatch [15a] [15b]
Le 20 septembre 2023, le CISA et le FBI ont partagé un bulletin de sécurité conjoint relatif au mode opératoire du ransomware Snatch. Actif depuis 2018, cet acteur de la menace fait constamment évoluer ses Techniques, Tactiques et Procédures (TTPs) pour tirer parti de l’évolution des pratiques de sécurité et des vecteurs d’attaques. À l’image d’une grande partie des groupes de ransomware, Snatch est opéré par un attaquant opportuniste qui cible des secteurs d’activités très variés, notamment des infrastructures critiques (santé, secteur public, base industrielle de défense, technologies de l’information).
Des affiliés utilisent des outils RMM pour distribuer le ransomware LockBit [16]
ESentire a intercepté trois attaques réalisées par le ransomware LockBit ayant ciblé un fabricant de matériaux de stockage, un fabricant de décoration d’intérieur et un fournisseur de services gérés (MSP). Après investigation, les chercheurs ont découvert que les trois organisations étaient clientes du même MSP. Dans ces attaques, les affiliés ont obtenu un accès initial soit en exploitant des outils de surveillance et de gestion à distance (RMM) de l’entreprise ciblée soit introduisant leurs propres outils RMM.
Hameçonnage
Nouvelle variante du malware Bumblebee exploitant 4shared et WebDav [17a] [17b]
Le 15 septembre 2023, les chercheurs de Intel471 ont révélé une campagne d’attaque exploitant les serveurs du service d’hébergement de fichiers 4shared et de l’extension du protocole HTTP, WebDAV, pour diffuser le loader Bumblebee. Les attaquants utilisent des campagnes de phishing incitant les victimes à télécharger des raccourcis Windows ou des archives compressées (.ZIP) contenant des fichiers .LNK. Une fois la pièce jointe ouverte, une série de commandes est lancée pour échapper à la détection dont le montage d’un dossier WebDAV sur un lecteur réseau d’un compte de stockage 4shared permettant de distribuer le loader.
Nouvelle technique de phishing de type ZeroFont [18a] [18b]
Le 26 septembre 2023, le chercheur en cybersécurité Jan Kopriva a mis au jour une nouvelle attaque de phishing exploitant la technique nommée ZeroFont, qui permet de contourner les systèmes de sécurité des clients de messagerie tels que Microsoft Outlook. Identifiée pour la première fois en 2018 par la firme de sécurité Avanan, cette technique consiste à dissimuler dans un e-mail de phishing du texte avec une taille de police nulle afin qu’il ne soit pas visible par son destinataire, mais qu’il puisse être lu par les algorithmes de traitement automatique de langage naturel (NLP – Natural Language Processing) utilisés par les éditeurs de messageries électroniques.
Botnet
Hausse d’activité et nouvelles fonctionnalités du botnet P2PInfect [19a] [19b]
Le 20 septembre 2022, les chercheurs de Cado Security ont publié un rapport attestant de la hausse d’activité du botnet P2PInfect entre les mois d’août et septembre 2023. Ils ont également souligné que le malware dispose de nouvelles fonctionnalités lui permettant d’assurer sa persistance sur les systèmes compromis. Identifié par les chercheurs de Palo Alto Networks en juillet 2023, P2PInfect est un malware peer-to-peer qui cible les serveurs Redis via l’exploitation d’une vulnérabilité critique d’exécution de code à distance (CVE-2022-0543).
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-5230
[2] CXA-2023-5175
[3] CXA-2023-5194
[4] CXA-2023-5141
[5] CXA-2023-5207
[6] CXA-2023-5177
[7] CXA-2023-5179
[8] CXA-2023-5180
[9] CXA-2023-5182
[10] CXA-2023-5209
[11] CXA-2023-5162
[12] CXN-2023-5236
[13] CXN-2023-5176
[14] CXN-2023-5212
[15] CXN-2023-5113
[16] CXN-2023-5082
[17] CXN-2023-5053
[18] CXN-2023-5178
[19] CXN-2023-5112
