Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Mozilla pour Firefox [1] et Thunderbird [2], par Google pour Android [3], par VMware pour VMware vCenter [4], par Apple pour iOS [5]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Un code d’exploitation a été publié cette semaine. Un correctif est disponible.
Prise de contrôle du système via une vulnérabilité au sein de VMware Aria Operations for Logs [6a] [6b] [6c]
Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En usurpant l’adresse IP et divers endpoints Thrift RPC de sa victime, un attaquant est alors en mesure d’injecter des fichiers afin d’exécuter du code arbitraire sur le système impacté.
Vulnérabilité
APT Winter Vivern cible des entités gouvernementales européennes via une « zero-day » dans les serveurs Roundcube Webmail [7a] [7b] [7c] [7d] [7e]
Dans un rapport publié le 25 octobre 2023, les chercheurs d’ESET ont identifié le mode opératoire APT Winter Vivern (aussi connu sous le nom de TA473) ciblant des entités gouvernementales européennes via l’exploitation d’une vulnérabilité XSS (Cross-Site Scripting) de type 0-day dans les serveurs Roundcube Webmail. Référencée CVE-2023-5631, la vulnérabilité possède un score de criticité CVSS de 5,4 et n’a été corrigée par Roundcube que 5 jours après qu’ESET ait noté son exploitation par les opérateurs APT auprès de l’éditeur.
Cisco publie une nouvelle vulnérabilité « zero-day » dans IOS XE [8a] [8b] [8c] [8d]
Dans une mise à jour de son bulletin de sécurité publiée le 20 octobre 2023, Cisco a annoncé la découverte d’une nouvelle vulnérabilité 0-day activement exploitée pour distribuer un implant écrit en Lua. Ce dernier permet à des attaquants d’exécuter des commandes à distance au niveau de privilège le plus élevé (root) sur les appareils IOS XE.
Mise à jour de l’implant distribué sur les appareils Cisco IOS XE vulnérables aux CVE-2023-20198 et CVE-2023-20273 [9a] [9b] [9c] [9d]
Le 23 octobre 2023, Cisco a une nouvelle fois mis à jour son bulletin de sécurité suite à la découverte d’une nouvelle version de l’implant distribué aux appareils Cisco IOS XE affectés par les vulnérabilités CVE-2023-20198 et CVE-2023-20273, activement exploitées. L’existence de cette mise à jour avait été suspectée après que des chercheurs aient noté une diminution des détections de l’implant en question.
Renseignement
Les secteurs de l’énergie et de la défense d’Europe de l’Est ciblés par une mise à jour du framework MATA [10a] [10b]
Dans un rapport publié le 18 octobre 2023, les chercheurs de Kaspersky ont mis au jour des mises à jour du framework de malware MATA, précédemment associé à l’APT nord-coréen Lazarus. Ces dernières ont été détectées dans le cadre d’une campagne d’attaque active entre août 2022 et mai 2023, ciblant des entités dans les secteurs de la défense et de l’énergie en Europe de l’Est à des fins de collecte de renseignements stratégiques.
Le mode opératoire APT Crambus a compromis une instance gouvernementale au Moyen-Orient pendant 8 mois [11a] [11b] [11c] [11d]
Dans un rapport publié le 19 octobre 2023, les chercheurs de Symantec ont annoncé l’identification du mode opératoire APT Crambus (aussi connu sous les noms de Hazel Sandstorm, OilRig, APT34) lors de la compromission d’une instance gouvernementale non référencée au Moyen-Orient ayant duré plus de 8 mois. De février à septembre 2023, les opérateurs d’APT Crambus ont collecté les fichiers et identifiants présents sur les instances compromises. Au moins une backdoor PowerShell (référencée PowerExchange) a été observée sur un serveur Exchange afin de surveiller les courriers entrants et exécuter des commandes envoyées par les opérateurs.
Ransomware
Les opérateurs du ransomware ALPHV/BlackCat utilisent l’utilitaire Munchkin pour contourner les outils de sécurité [12a] [12b]
Selon un rapport de l’Unit 42 publié le 18 octobre 2023, les opérateurs du groupe de ransomware ALPHV/BlackCat ont eu recours à une nouvelle tactique pour distribuer furtivement des chiffreurs sur les périphériques des réseaux ciblés en contournant les outils de sécurité.
Arrestation d’un membre du groupe de ransomware RagnarLocker à Paris [13a] [13b] [13c]
Le 19 octobre 2023, un groupement international de forces de police a annoncé la saisie de l’infrastructure du ransomware RagnarLocker sur TOR dans le cadre d’une opération internationale de lutte contre la cybercriminalité. Observé pour la première fois en 2019, RagnarLocker est soupçonné d’être opéré par des acteurs de la menace russophones. Le groupe n’est pas considéré comme un Ransomware-as-a-Service. Les opérateurs du ransomware ont néanmoins eu recours à des IAB pour obtenir le vecteur de compromission initiale.
Hacktivisme
Le groupe hacktiviste prorusse Anonymous Sudan revendique une attaque contre Deezer [14a] [14b]
Le 22 octobre 2023, la plateforme de streaming musical Deezer a connu des perturbations, empêchant de nombreux utilisateurs d’utiliser l’application mobile pendant 24h. Sur Telegram, le groupe hacktiviste prorusse Anonymous Sudan a revendiqué avoir lancé une attaque par déni de service distribué (DDoS) contre la plateforme musicale, sans expliquer les raisons de son passage à l’acte. Par le passé, le groupe hacktiviste avait invoqué le motif des « caricatures offensantes du prophète Mahomet ».
Cybercriminalité
Publication d’un rapport du CERT-FR sur l’exposition des collectivités territoriales françaises au risque cyber entre janvier 2022 et juin 2023 [15]
Dans un rapport annuel publié le 23 octobre 2023, le CERT-FR est revenu sur l’exposition des collectivités territoriales au risque cyber entre janvier 2022 et juin 2023. Le CERT-FR rapporte que l’ANSSI a traité 187 incidents cyber sur cette période, soit une moyenne de 10 incidents par mois, représentant 17% de l’ensemble des incidents traités par l’ANSSI sur la période. Les collectivités territoriales gèrent de nombreux services selon leurs compétences et sont dépositaires d’une très grande quantité de données personnelles de leurs administrés. Les collectivités territoriales constituent donc une cible de choix pour les acteurs de la menace aux motivations financières.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-5885
[2] CXA-2023-5874
[3] CXA-2023-5840
[4] CXA-2023-5845
[5] CXA-2023-5875
[6] CXA-2023-5822
[7] CXN-2023-5877
[8] CXN-2023-5780
[9] CXN-2023-5817
[10] CXN-2023-5823
[11] CXN-2023-5787
[12] CXN-2023-5811
[13] CXN-2023-5882
[14] CXN-2023-5880
[15] CXN-2023-5839
