Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Cisco [1], par Jenkins [2], par Gitlab [3], par Apple pour ses produits [4], [5], [6] par Google pour Chrome [7a][7b], et par Firefox [8a][8b][8c]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 3 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.
Prise de contrôle du système via une vulnérabilité au sein de Confluence [9]
En utilisant ce template, un attaquant distant et non authentifié peut injecter un template spécifiquement conçu sur une interface vulnérable, afin d’exécuter du code arbitraire sur le système, ici la commande whoami.
Contournement de sécurité et Manipulation de données au sein de Microsoft Office OneNote [10a] [10b] [10c]
En incitant sa victime à cliquer sur un lien malveillant depuis OneNote, puis à ouvrir un fichier Word compromis et téléchargé depuis le lien, un attaquant est alors en mesure de manipuler les données présentes dans l’ordinateur de la victime.
Divulgation d’informations via une vulnérabilité au sein de Solr (SOLR-16808) [11a] [11b]
Ce code d’exploitation se présente sous la forme d’un template nuclei permettant à un attaquant d’identifier une instance Solr vulnérable en envoyant une requête vers la route d’API /solr/admin/metrics.
Vulnérabilité
Vulnérabilité critique impactant le logiciel GoAnywhere MFT (CVE-2024-0204) [12a] [12b] [12c] [12d] [12e]
Le 22 janvier 2024, l’éditeur Fortra a publié un avis de sécurité sur la vulnérabilité CVE-2024-0204, un contournement d’authentification critique affectant son logiciel GoAnywhere MFT. Si la version est antérieure à la version 7.4.1, la vulnérabilité permet à un attaquant non autorisé à distance de créer un utilisateur administrateur via le portail d’administration. Les chercheurs de Horizon3 ont analysé la vulnérabilité et ont publié un Proof-of-Concept (PoC) pour savoir si le logiciel est vulnérable. Le problème vient d’une vulnérabilité de parcours de répertoire vers le fichier « InitialAccountSetup.xhtml » qui peut être exploité pour créer des utilisateurs administratifs.
Exploitation de la vulnérabilité CVE-2023-46604 affectant Apache ActiveMQ pour distribuer la webshell Godzilla [13a] [13b] [13c]
Le 18 janvier 2024, les chercheurs de Trustwave ont observé la recrudescence des attaques exploitant la vulnérabilité CVE-2023-46604 du logiciel Apache ActiveMQ. Découverte fin octobre 2023, cette vulnérabilité peut permettre à un attaquant distant disposant d’un accès réseau à un client OpenWire basé sur Java d’exécuter des commandes shell arbitraires en manipulant les types de classe sérialisée dans le protocole OpenWire. Plusieurs campagnes d’attaques ont été vues utilisant cette vulnérabilité, pour déployer des ransomware, des cryptominers ou encore des botnets.
L’APT liée à la Chine, UNC3886, exploite la CVE-2023-34048 dans VMware depuis 2021 [14a] [14b]
Le 19 janvier 2024, les chercheurs de Mandiant sont revenus sur l’exploitation de la CVE-2023-34048 dans VMware Product Security par APT UNC3886, signalée publiquement et corrigée en octobre 2023. À l’issue de leurs investigations, les chercheurs ont établi que les opérateurs chinois avaient exploité cette vulnérabilité dès la fin de l’année 2021. D’après leurs recherches, ils se sont historiquement concentrés sur la compromission de technologies pour lesquelles il n’est pas possible de déployer un EDR.
Etat Nation
Le groupe APT chinois Blackwood distribue l’implant NSPX30 dans le cadre d’attaques de type AitM [15a] [15b]
Le 24 janvier 2024, les chercheurs d’ESET ont publié un bulletin de sécurité suite à l’identification d’une campagne d’attaques s’appuyant sur un implant sophistiqué baptisé NSPX30. Cette activité malveillante a été attribuée à des acteurs alignés sur les intérêts de la Chine. Jusqu’alors non documenté publiquement, ce dernier a été référencé sous le nom d’APT Blackwood par les chercheurs et serait actif depuis au moins 2018. NSPX30 comprend plusieurs composants tels qu’un dropper, un installer, des loaders, un orchestrateur et une backdoor.
L’APT29 liée à la Russie compromet la société américaine Hewlett Packard Enterprise [16a] [16b] [16c]
Le 19 janvier 2024, la société américaine Hewlett Packard Enterprise (HPE) a annoncé que le mode opératoire APT29 (aka Midnight Blizzard, Cozy Bear, Nobelium, BlueBravo, et The Dukes) avait obtenu un accès non autorisé à son environnement de messagerie électronique basé sur le cloud. Sur la base des investigations menées en réponse à cet incident, HPE estime que les opérateurs ont accédé et exfiltré les données d’intérêt à partir de mai 2023, ciblant les personnels de l’entreprise spécialisés dans la cybersécurité, le commerce et d’autres segments d’activité.
L’APT russe Midnight Blizzard compromet des comptes de messagerie internes chez Microsoft [17a] [17b] [17c]
Le 19 janvier 2024, Microsoft a annoncé avoir été ciblée par une campagne d’attaques attribuée au mode opératoire APT Midnight Blizzard (aka APT29, Cozy Bear, Nobelium, BlueBravo, et The Dukes). Les opérateurs russes ont exploité une attaque par pulvérisation de mot de passe (password spray attack) à la fin du mois de novembre 2023 pour compromettre le compte d’une instance de test destinée à une production antérieure. Ces derniers disposaient des droits nécessaires leur permettant d’accéder aux comptes de messagerie de l’équipe de direction de Microsoft et aux personnels occupant des fonctions stratégiques dans l’entreprise (cybersécurité, juridique, etc.). Midnight Blizzard a ensuite exfiltré les documents internes des comptes concernés. L’enquête de Microsoft note que les opérateurs ont d’abord ciblé les comptes de messagerie disposant de renseignements liés au mode opératoire russe lui-même.
Cybercriminalité
Retour du trojan Zloader après deux ans d’inactivité [18]
Le 19 janvier 2024, les chercheurs de Zscaler ont observé une réapparition de Zloader (autrement appelé Terdot, DELoader, or Silent Night), suite à une interruption de près de deux ans, après avoir subi une opération de démantèlement du réseau en avril 2022 par des chercheurs en sécurité. Cette nouvelle version, dont le développement a débuté en septembre 2023, comporte plusieurs changements, principalement sur l’aspect loader du malware. Parmi ces améliorations, nous pouvons noter le chiffrement par clé RSA pour les communications réseau, la compatibilité avec les versions 64 bits de Windows, et la mise à jour l’algorithme de génération de domaines (DGA). Une autre partie concerne l’ajout des nouvelles techniques anti-analyse, avec du code facultatif qui a pour but d’obfusquer le code de ce malware, des vérifications anti-sandbox, ainsi que le chiffrement de chaînes de caractères et le hachage des importations de l’API.
Hacktiviste
Le groupe hacktiviste pro-russe NoName057(16) revendique des attaques DDoS en soutien aux agriculteurs français [19]
Le 25 janvier 2024, le groupe hacktiviste pro-russe NoName057(16) a revendiqué une série d’attaques par déni de service distribué (DDoS) contre les sites Web de plusieurs collectivités territoriales françaises en soutien aux manifestations menées par les agriculteurs français. La France est régulièrement la cible du groupe hacktiviste. Le 9 novembre dernier, il a revendiqué des attaques contre les sites Web de plusieurs entités liées au secteur des transports en réponse au réabondement par le pays du fonds de soutien à l’Ukraine à hauteur de 200 millions d’euros. En outre, les opérateurs ont développé un botnet collaboratif DDoSia, permettant à leurs abonnés d’ajouter leurs appareils au botnet afin d’augmenter la puissance de leurs attaques DDoS.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2024-0468
[2] CXA-2024-0486
[3] CXA-2024-0504
[4] CXA-2024-0452
[5] CXA-2024-0441
[6] CXA-2024-0443
[7] CXA-2024-0470
[8] CXA-2024-0509
[9] CXA-2024-0450
[10] CXA-2024-0489
[11] CXA-2024-0482
[12] CXN-2024-0472
[13] CXN-2024-0393
[14] CXN-2024-0396
[15] CXN-2024-0474
[16] CXN-2024-0466
[17] CXN-2024-0389
[18] CXN-2024-0424
[19] CXN-2024-0491
