Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Atlassian pour Confluence [1a][1b][1c], par F5 pour BIG-IP [2][3], par Apple pour macOS [4][5], iOS et iPadOS [6] ainsi que Safari [7], par Google pour Chrome [8a][8b][9a][9b], par Apache pour ActiveMQ [10a][10b][10c][10d], par Devolutions pour Remote Desktop Manager [11]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 4 codes d’exploitation ont été publiés. Les 4 disposent d’un correctif.
Contournement de sécurité et manipulation de données via une vulnérabilité au sein de Confluence [12a] [12b]
Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En l’exécutant, une requête est envoyée au serveur afin de déposer un fichier .zip vide sur l’instance via l’un des points d’accès vulnérables. La réponse donnée par le serveur permet d’identifier les instances Confluence vulnérables. Ce code ne permet pas de supprimer les données du serveur, pour cela, un fichier .zip malveillant, spécifiquement conçu, est nécessaire.
Prise de contrôle du système via une vulnérabilité au sein de Microsoft Exchange [13]
Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En utilisant la librairie pypsrp pour établir une connexion au serveur Microsoft Exchange via l’administration à distance de PowerShell (PowerShell Remoting), un attaquant peut exploiter cette vulnérabilité afin d’exécuter des commandes arbitraires à distance.
Élévation de privilèges via une vulnérabilité au sein de Splunk Entreprise et Splunk Cloud Platform [14]
Ce code d’exploitation se présente sous la forme d’un script Metasploit en Ruby. En envoyant une requête HTTP spécifique, un attaquant est capable d’élever ses privilèges et d’obtenir les droits d’administrateur.
Prise de contrôle du système via une vulnérabilité au sein de BIG-IP Configuration utility [15]
Ce code d’exploitation se présente sous la forme d’un template Nuclei. En exécutant ce template via la commande nuclei sur une liste d’hôte, un attaquant est en mesure créer un utilisateur, avec des droits administrateur, et de mettre à jour ces informations. Suite à cette modification, il s’authentifie à nouveau et tente d’exécuter une commande sur le serveur ciblé.
Vulnérabilité
Des acteurs malveillants exploitent une vulnérabilité critique dans Apache ActiveMQ pour distribuer le ransomware HelloKitty [16a] [16b] [16c] [16d]
Le 1er novembre 2023, les chercheurs de Rapid7 ont publié un rapport sur l’identification d’une campagne d’attaques s’appuyant sur l’exploitation d’une vulnérabilité critique dans le Message Broker Service (MBS) open-source Apache ActiveMQ. Référencée sous le nom de CVE-2023-46604 (score CVSS de 10), la faille permet d’exécuter du code à distance (RCE). Les chercheurs de Rapid7 ont observé la distribution de binaires du ransomware HelloKitty sur les systèmes ciblés, dont le code source a été divulgué au début du mois d’octobre.
Hacktiviste
Focus sur les opérations hacktivistes visant la France en marge du conflit israélo-palestinien [17]
Depuis l’offensive lancée par le Hamas contre Israël depuis la bande de Gaza le 7 octobre 2023 et le lancement de l’opération militaire israélienne Sabres de fer le lendemain, de nombreux groupes hacktivistes ont lancé des opérations ciblant les deux parties en conflit ainsi que leurs soutiens. Parmi les groupes impliqués, des hacktivistes pro-palestiniens ont notamment réalisé ou annoncé des attaques visant la France, accusée d’apporter son soutien à l’État hébreu.
Renseignement
Le framework StripedFly est exploité par des opérateurs APT afin de collecter des renseignements [18a] [18b] [18c]
Dans un rapport publié le 26 octobre 2023, les chercheurs de Kasperky ont annoncé l’identification de StripedFly, un framework cross-platform distribuant des malware, actif depuis plus de 5 ans et responsable de la compromission de plus d’un million de systèmes Windows et Linux. Détecté pour la première fois en 2017, StripedFly était considéré jusqu’en 2022 comme un simple mineur de cryptomonnaie Monero.
Analyse technique de la campagne d’attaques « Operation Triangulation » [19a] [19b] [19c]
Dans un rapport publié le 23 octobre 2023, les chercheurs de Kaspersky ont étudié la chaîne d’infection utilisée dans la campagne d’attaques Operation Triangulation. Celle-ci s’appuyait sur une vulnérabilité 0-click pour cibler des appareils mobiles fonctionnant sous iOS. La chaîne d’infection est composée de 2 étapes de validation, nommées JavaScript Validator et Binary Validator, lors desquelles les opérateurs APT vérifient l’intérêt des appareils ciblés dans la perspective d’une collecte de renseignements stratégiques.
APT Lazarus a ciblé un éditeur de logiciel avec le loader SIGNBT [20a] [20b] [20c]
Dans un rapport publié le 27 octobre 2023, les chercheurs de Kaspersky sont revenus sur une attaque associée au mode opératoire APT Lazarus ciblant un éditeur de logiciels. Identifiée en juillet 2023, cette dernière visait à compromettre un logiciel de sécurité, conçu pour chiffrer les communications web à l’aide de certificats numériques. En détournant ce logiciel légitime, les opérateurs de Lazarus auraient pu mener d’autres attaques contre la supply chain d’entreprises utilisant l’outil vérolé.
APT Tortoiseshell cible les secteurs du transport maritime et de la logistique en Méditerranée avec le malware IMAPLoader [21a] [21b] [21c]
Le mode opératoire APT Tortoiseshell (aussi référencé sous les noms de Crimson Sandstorm, Imperial Kitten, TA456 et Yellow Liderc) a été associé à une campagne d’attaques de type watering hole ciblant les secteurs du transport maritime et de la logistique en Méditerranée par les chercheurs de PwC.
Rapport du CERT-FR sur l’évolution des tactiques, techniques et procédures (TTPs) d’APT28 depuis 2021 [22a] [22b] [22c]
Le 26 octobre 2023, le CERT-FR a publié un rapport sur l’évolution des tactiques, techniques et procédures (TTPs) associées au mode opératoire APT28 (aussi connu sous les noms de Strontium, Fancy Bear, Sednit, Sofacy). Selon l’ANSSI, la victimologie d’APT28 s’aligne avec les besoins de renseignements stratégiques de la Russie, ciblant les entités gouvernementales françaises, les entreprises, universités, ainsi que les instituts de recherche et groupes de réflexion situés en France.
Cybercriminalité
Rapport de Microsoft sur les tactiques, techniques et procédures du mode opératoire Octo Tempest [23]
Dans un rapport publié le 25 octobre 2023, les chercheurs de Microsoft sont revenus sur l’étude du mode opératoire aux motivations financières Octo Tempest. Ce collectif d’acteurs de la menace anglophones est soupçonné d’être affilié aux opérateurs du ransomware ALPHV/BlackCat depuis le mois de juin 2023, en déployant des payloads sur des serveurs VMWare ESXi vulnérables.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-5986
[2] CXA-2023-5943
[3] CXA-2023-5905
[4] CXA-2023-5992
[5] CXA-2023-6024
[6] CXA-2023-6022
[7] CXA-2023-5940
[8] CXA-2023-5942
[9] CXA-2023-6017
[10] CXA-2023-5926
[11] CXA-2023-5994
[12] CXA-2023-6032
[13] CXA-2023-5965
[14] CXA-2023-5937
[15] CXA-2023-5948
[16] CXN-2023-6021
[17] CXN-2023-5951
[18] CXN-2023-5973
[19] CXN-2023-5851
[20] CXN-2023-5967
[21] CXN-2023-5908
[22] CXN-2023-5941
[23] CXN-2023-5945
