Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Progress pour WS_FTP [1], par Atlassian pour Confluence [2], par Google pour Chrome [3a][3b], par Exim [4a][4b][4c][4d][4e], par Apple pour iOS et iPadOS [5], par Microsoft pour Edge [6a][6b][6c] et par Cisco [7]. Ces correctifs remédient à des dommages allant de la divulgation d’informations sensibles à la prise de contrôle du système.
Nous recommandons également la mise à jour de la bibliothèque GLIBC pour les distributions Ubuntu, Redhat Enterprise, Debian et Amazon Linux. Le correctif corrige une vulnérabilité pouvant amener à une élévation de privilèges.
Codes d’exploitation
Cette semaine, 4 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.
Prise de contrôle du système via une vulnérabilité au sein de Progress WS_FTP [8a] [8b]
Ce code d’exploitation se présente sous la forme d’un programme écrit en Ruby. En utilisant ce programme via la console MSF du framework Metasploit, un attaquant est alors en mesure d’exécuter du code à distance sur le serveur WS_FTP.
Élévation de privilèges via une vulnérabilité au sein de la bibliothèque GLIBC [9a] [9b] [9c] [9d]
Ce code d’exploitation se présente sous la forme d’un programme écrit en C. En exécutant un premier programme écrit en python (également disponible dans le dépôt GitHub), l’attaquant est en mesure d’ensuite intégrer une copie de la bibliothèque partagée libc.so.6 dans le dossier local.
Élévation de privilèges via une vulnérabilité au sein de Sharepoint [10a] [10b]
Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En envoyant un token d’authentification JWT spécifiquement conçu, un attaquant peut usurper l’identité d’utilisateurs authentifiés et exécuter un code arbitraire au sein du pool d’applications et du compte de la ferme de serveurs, ainsi que provoquer un déni de service.
Contournement de sécurité via une vulnérabilité au sein de D-Link D-View 8 [11a] [11b]
Ce code d’exploitation se présente sous la forme d’un template Nuclei. À l’aide d’une requête spécifiquement conçue, un attaquant distant et non authentifié peut créer un jeton JWT valide et l’utiliser afin d’accéder à des APIs protégées.
Vulnérabilité
Élévation de privilèges dans les distributions Linux via une vulnérabilité au sein de la bibliothèque GNU C [12a] [12b] [12c] [12d] [12e] [12f] [12g] [12h]
Le 4 octobre 2023, les chercheurs de Qualys ont partagé leur découverte d’une vulnérabilité au sein de la bibliothèque C de GNU (glibc). Référencée CVE-2023-4911 et baptisée Looney Tunables, elle permet à un attaquant local et disposant d’un faible niveau de privilèges d’obtenir les privilèges d’administration (root) dans les installations par défaut des principales distributions Linux.
Cybercriminalité
Commercialisation d’un nouveau Malware-as-a-Service référencé BunnyLoader [13a] [13b] [13c]
Dans un rapport publié le 29 septembre 2023, les chercheurs de Zscaler sont revenus sur l’identification d’un Malware-as-a-Service référencé Bunnyloader commercialisé sur différentes marketplaces criminelles. Selon les chercheurs, ce malware propose diverses fonctionnalités telles que le téléchargement et l’exécution d’une payload de deuxième niveau, le vol d’identifiants dans les navigateurs de l’appareil compromis, l’exécution de commandes à distance sur la machine infectée et un keylogger. L’attractivité du malware Bunnyloader, aussi bien financière que technique, contribue à la prolifération des menaces en offrant des capacités avancées aux acteurs malveillants novices.
Ransomware
Des groupes de ransomware exploiteraient la vulnérabilité CVE-2023-42793 dans TeamCity [14a] [14b] [14c] [14d] [14e] [14f]
Le 27 septembre 2023, la société Sonar a identifié une vulnérabilité critique dans le serveur d’intégration et de déploiement continus (CI/CD) TeamCity de JetBrains. Référencée sous le nom de CVE-2023-42793 (score CVSS de 9,8/10), la vulnérabilité permet à des attaquants non authentifiés d’obtenir l’exécution de code à distance (RCE) après avoir exploité avec succès une faiblesse permettant le contournement de l’authentification lors d’attaques ne nécessitant pas d’interaction avec l’utilisateur. La CVE-2023-42793 permet aux attaquants non seulement de voler le code source, mais aussi les secrets de service et les clés privées stockées sur les serveurs affectés.
Renseignement
Le mode opératoire APT34 exploite une variante du malware SideTwist [15a] [15b] [15c] [15d]
Dans un rapport publié le 29 septembre 2023, les chercheurs de Trend Micro sont revenus sur l’identification du mode opératoire APT34 ciblant des organisations au Moyen-Orient à des fins d’espionnage. Aussi référencé Cobalt Gypsy (Secureworks), Hazel Sandstorm (Microsoft), Helix Kitten (CrowdStrike) et OilRig (ClearSky), APT34 est un mode opératoire spécialisé dans la collecte de renseignements stratégiques. L’étude d’un des leurres exploitées lors de la phase initiale de spear-phishing indique qu’au moins une des cibles d’APT34 était localisée en Arabie Saoudite. Cette victimologie correspond aux besoins des autorités iraniennes en matière de renseignement sur ses rivaux régionaux.
Europe de l’Ouest
APT Lazarus a ciblé une entreprise aérospatiale espagnole avec la backdoor LightlessCan [16a] [16b] [16c]
Dans un rapport publié le 29 septembre 2023, les chercheurs d’ESET sont revenus sur l’identification d’une campagne d’attaques visant une entreprise aérospatiale espagnole. Attribués au mode opératoire APT Lazarus, les opérateurs ont distribué une nouvelle backdoor baptisée LightlessCan, après avoir approché leurs cibles en usurpant l’identité de recruteurs de Meta. Lors de cette campagne d’attaques, les chercheurs d’ESET ont identifié 4 killchains différentes, délivrant 3 types de payloads via une technique de DLL side-loading. Cette campagne d’attaques pourrait s’inscrire dans le cadre de l’Operation DreamJob visant à collecter des renseignements sur des secteurs d’activité stratégiques.
Conflit Ukraine
Les aéroports russes touchés par une campagne d’attaques DDoS de l’IT Army of Ukraine [17a] [17b] [17c] [17d]
Le 28 septembre 2023, une campagne d’attaques par déni de service distribué (DDoS) a entraîné un retard des vols aériens en Russie. Les attaques ont été revendiquées par le groupe hacktiviste IT Army of Ukraine sur Twitter. Selon le communiqué de Rostec publié sur sa chaîne Telegram, la campagne d’attaques a mis temporairement en panne le système de réservation russe baptisé « Leonardo », entraînant un retard des vols pour la compagnie aérienne russe Aeroflot. D’après le média russe NEXTA, les enregistrements de billets ont été faits manuellement pendant quelques heures, entraînant de longues files d’attente dans les aéroports, y compris l’aéroport international Cheremetievo de Moscou.
Hacktivisme
Le groupe hacktiviste NoName057(16) cible le ministère de l’Économie et des Finances français [18a] [18b] [18c]
Dans un communiqué publié sur Telegram le 27 septembre 2023, le groupe hacktiviste russophone NoName057(16) a revendiqué une campagne d’attaques par déni de service distribué (DDoS) visant des organisations rattachées au Ministère de l'Économie et des Finances français en réponse aux déclarations du Président de la République sur la responsabilité de la Russie en Ukraine.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://x.com/certxmco.
Références portail XMCO
[1] CXA-2023-5315
[2] CXA-2023-5320
[3] CXA-2023-5321
[4] CXA-2023-5290
[5] CXA-2023-5337
[6] CXA-2023-5272
[7] CXA-2023-5322
[8] CXA-2023-5326
[9] CXA-2023-5343
[10] CXA-2023-5316
[11] CXA-2023-5266
[12] CXN-2023-5341
[13] CXN-2023-5287
[14] CXN-2023-5291
[15] CXN-2023-5285
[16] CXN-2023-5295
[17] CXN-2023-5244
[18] CXN-2023-5268
