Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Google pour Chrome [1a][1b][1c], par Citrix pour NetScaler [2] et Citrix Hypervisor [3], par Microsoft dans le cadre du Patch Tuesday [4], par SAP [5], par Apple pour iOS et iPadOS [6] et par Samba [7a][7b][7c]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Un code d’exploitation a été publié cette semaine. Un correctif est disponible.
Élévation de privilèges via une vulnérabilité au sein de Confluence [8]
Ce code d’exploitation se présente sous la forme d’un template Nuclei. Via une succession de requêtes spécifiquement conçues, un attaquant distant pouvait créer des comptes avec les privilèges administrateur.
Vulnérabilité
Microsoft corrige 3 vulnérabilités activement exploitées dans le cadre du Patch Tuesday d’octobre 2023 [9a] [9b] [9c] [9d] [9e]
Le 10 octobre 2023, Microsoft a publié des mises à jour de sécurité dans le cadre du Patch Tuesday mensuel. 104 vulnérabilités ont été corrigées, dont 3 de type 0-day activement exploitées par les acteurs de la menace. Microsoft a aussi corrigé 12 vulnérabilités critiques d’exécution de code à distance (RCE).
Exploitation active de la CVE-2023-22515 dans Confluence par le mode opératoire APT Storm-0062 [10a] [10b] [10c] [10d] [10e] [10f]
Le 11 octobre 2023, les chercheurs de Microsoft ont annoncé sur Twitter/X que le mode opératoire APT Storm-0062 (aussi référencé sous les noms de DarkShadow ou Oro0lxy) avait exploité la CVE-2023-22515, une vulnérabilité critique de type 0-day permettant d’élever de privilèges dans le centre de données et le serveur Confluence d’Atlassian. Atlassian avait déjà informé ses clients de l’exploitation active de la CVE-2023-22515, après son identification le 4 octobre 2023.
Des acteurs de la menace ciblent des instances NetScaler Gateway vulnérables à la CVE-2023-3519 [11a] [11b] [11c]
Dans un article publié le 6 octobre 2023, les chercheurs de X-Force sont revenus sur une campagne d’attaques ciblant des passerelles NetScaler vulnérables à la CVE-2023-3519 afin de distribuer du code malveillant dans le contenu HTML de la page web d’authentification et capturer les informations d’identification de l’utilisateur ciblé. Les chercheurs de X-Force ont identifié cette campagne dans le cadre d’une mission de réponse à incident et ont noté l’utilisation de Cloudflare pour masquer l’origine d’hébergement des domaines malveillants.
Renseignement
Identification du nouveau mode opératoire APT Grayling [12]
Le 10 octobre 2023, les chercheurs de Symantec ont identifié un mode opératoire APT ciblant des organisations dans les secteurs de l’industrie manufacturière, de l’informatique et de la biomédecine à Taïwan. Pour la première fois documentée, APT Grayling a exploité des malware personnalisés et des outils open source dans le cadre d’une campagne d’attaques ayant débutée en février 2023 et s’étant poursuivie jusqu’en mai 2023. Au moins une agence gouvernementale située dans les îles du Pacifique, ainsi que des organisations au Vietnam et aux États-Unis semblent également avoir été compromises par APT Grayling.
Campagne d’attaques ciblant des entreprises de semi-conducteurs basées à Taïwan, Hong Kong et Singapour [13a] [13b]
Dans un rapport publié le 5 octobre 2023, les chercheurs de EclecticIQ ont identifié une campagne d’attaques ciblant des entreprises de semi-conducteurs basées à Taïwan, Hong Kong et Singapour, via des documents leurres usurpant la Taiwan Semiconductor Manufacturing Company (TSMC). Selon les conclusions de EclecticIQ, les tactiques, techniques et procédures (TTPs) observées lors de cette campagne présentent des similitudes avec les activités antérieures de modes opératoires APT parrainés par l’État chinois, notamment RedHotel et APT27.
Hacktiviste
Israël-Palestine : Intensification des attaques DDoS en marge de l’affrontement armé [14a] [14b] [14c] [14d] [14e] [14f] [14g] [14h] [14i] [14j]
Le 7 octobre 2023, la branche armée du Hamas a lancé une offensive contre Israël depuis la bande de Gaza. Selon Euronews, les hostilités ont commencé vers 6h30, heure locale, par le lancement de milliers de roquettes, suivies d’infiltration de combattants du Hamas en Israël. En représailles, Tel-Aviv a lancé une vaste opération militaire baptisée Sabres de fer. Au cours du week-end, l’escalade du conflit israélo-palestinien s’est accompagnée d’opérations hacktivistes étudiées par le CERT-XMCO.
Le groupe hacktiviste SiegedSec revendique une fuite de données sensibles de l’OTAN [15a] [15b]
Dans des messages publiés sur Telegram le 30 septembre et le 2 octobre 2023, le groupe hacktiviste SiegedSec s’est vanté d’avoir compromis 9 GB de données après avoir accédé à plusieurs portails de formation et plateformes d’information gérés par l’OTAN. Un porte-parole de l’organisation atlantique a déclaré à Recorded Future l’ouverture d’une enquête sur ces allégations, mais que l’alliance n’avait rencontré aucun problème opérationnel.
Smartphones
Identification d’une campagne d’attaques du spyware Predator [16a] [16b] [16c]
Dans un rapport publié le 9 octobre 2023, les chercheurs du CitizenLab sont revenus sur l’identification d’un lien de redirection malveillant distribuant le spyware Predator. Envoyés sur Twitter/X, les liens de phishing (southchinapost[.]net) ont été associés à l'entreprise Cytrox par CitizenLab avec un niveau de confiance élevé. Ceux-ci visaient des journalistes, des responsables politiques et des membres actifs de la société civile. En tout, au moins 50 comptes appartenant à 27 personnes et 23 institutions auraient été ciblés entre février et juin 2023.
Fuite d’informations
Vol de 4000 identifiants de connexion à Ile-de-France Mobilités [17]
Le 6 octobre 2023, Ile-de-France Mobilités, l’autorité en charge des transports publics en Ile-de-France, a annoncé avoir été victime d’un incident de sécurité ayant conduit au vol de 4000 adresses e-mail et mots de passe d’utilisateurs actifs. Le service ciblé est Ile-de-France Mobilités Connect (anciennement Navigo Connect), qui comprend un site Internet et une application mobile permettant aux usagers de gérer leurs déplacements ainsi que leurs abonnements aux titres de transport.
Géopolitique
Publication du rapport annuel de Microsoft sur l’état de la menace [18a] [18b]
Le 4 octobre 2023, Microsoft a publié son rapport annuel sur l’état de la menace, soulignant la proactivité des modes opératoires APTs et l’estompement des frontières entre les activités d’espionnage, d’influence et de sabotage. Au cours de l’année 2023, les chercheurs de Microsoft ont observé la sophistication des TTPs exploitées par les opérateurs de ransomware. Ces-derniers se sont notamment illustrés par des techniques de chiffrement à distance pour dissimuler leurs traces. Microsoft note également une tendance au détournement des systèmes légitimes de surveillance et de gestion à distance (RMM) pour distribuer des payloads malveillantes et assurer la communication avec les serveurs C2.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-5511
[2] CXA-2023-5512
[3] CXA-2023-5514
[4] CXA-2023-5474
[5] CXA-2023-5489
[6] CXA-2023-5453
[7] CXA-2023-5465
[8] CXA-2023-5513
[9] CXN-2023-5485
[10] CXN-2023-5516
[11] CXN-2023-5466
[12] CXN-2023-5479
[13] CXN-2023-5388
[14] CXN-2023-5393
[15] CXN-2023-5401
[16] CXN-2023-5431
[17] CXN-2023-5390
[18] CXN-2023-5424
