Résumé de la semaine 45 (du 4 au 10 novembre)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Veam Software pour One [1], par Teclib pour GLPI [2], par Microsoft pour Edge [3], par Progress pour WS_FTP [4], par Google pour Chrome [5] et pour PostgreSQL [6]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 5 codes d’exploitation ont été publiés. Un correctif est disponible pour 4 d’entre eux.

Prise de contrôle du système via une vulnérabilité au sein de Microsoft Exchange [7a] [7b]

Ce code d’exploitation se présente sous la forme d’un code XML. En utilisant la conversion de type via la désérialisation du code XML, un attaquant est capable d’introduire une classe malveillante via un Assembly personnalisé. L’attaquant est alors en mesure d’exécuter des commandes arbitraires à distance.

Divulgation d’informations via une vulnérabilité au sein de Citrix NetScaler [8a] [8b]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En ciblant un serveur NetScaler vulnérable avec ce programme, un attaquant distant et non authentifié envoie une requête HTTP vers l’endpoint /oauth/idp/.well-known/openid-configuration. Cette requête permet de provoquer un dépassement de tampon via l’en-tête HTTP Host, afin de récupérer un jeton de session au sein de la mémoire divulguée dans la réponse. Une fois ce jeton récupéré, le programme vérifie la validité de celui-ci et affiche le nom de l’utilisateur lié au jeton divulgué.

Prise de contrôle du système via une vulnérabilité au sein d’Apache ActiveMQ [9]

Ce code d’exploitation se présente sous la forme d’un module Metasploit écrit en Ruby. En exécutant ce module, un attaquant distant et non authentifié peut déposer sur le serveur un fichier de configuration XML spécifiquement conçu via le protocole OpenWire afin d’obtenir un reverse shell avec les privilèges ActiveMQ sur le système.

Manipulation de données et divulgation d’informations via une vulnérabilité au sein de Moodle [10]

Ce code d’exploitation se présente sous la forme d’un template nuclei. Le code vise à identifier les vulnérabilités sur le chemin /mod/lti/auth.php. Un attaquant distant est alors en mesure de mener différentes attaques : récupération du cookie de session, modification de l’apparence du site web ciblé, voire d’effectuer une redirection de l’utilisateur vers un site malveillant.

Prise de contrôle du système et élévation de privilèges via une vulnérabilité au sein de Cisco IOS XE [11]

Le code d’identification se présente sous la forme d’un template nuclei. En utilisant ce template sur un hôte via la commande nuclei, un attaquant distant peut identifier une instance Cisco vulnérable à l’aide d’une requête spécifiquement conçue à l’aide d’une charge utile SOAP. Ce template exécute la commande uname -a afin de vérifier si la vulnérabilité existe.

Vulnérabilité

Exploitation d’une 0-day par les opérateurs de Cl0p dans le logiciel SysAid On-Prem [12a] [12b] [12c] [12d]

Le jeudi 9 novembre 2023, les chercheurs de Microsoft ont annoncé sur Twitter/X que le mode opératoire Lace Tempest (connu sous les noms Cl0p, FIN11 and TA505) exploite activement une vulnérabilité de type 0-day dans le logiciel SysAid On-Prem, une solution de gestion des services informatiques (ITSM).

Des acteurs malveillants exploitent les CVE-2023-22518 et CVE-2023-22515 dans les produits Confluence d’Atlassian [13a] [13b] [13c]

Le 6 novembre 2023, les chercheurs de RedCanary, The DFIR Report et Rapid7 ont identifié l’exploitation de 2 vulnérabilités affectant les produits Confluence Data Center et Confluence Server d’Atlassian. Référencées sous le nom de CVE-2023-22518 (score CVSS 9.1) et CVE-2023-22515 (score CVSS 9.8), ces 2 failles critiques permettent respectivement de contourner des restrictions de sécurité et d’élever les privilèges d’un attaquant.

Exploitation massive de la CVE-2023-4966 au sein de Citrix NetScaler ADC et NetScaler Gateway [14a] [14b] [14c]

Dans un rapport publié le 31 octobre 2023, Mandiant a fourni des précisions concernant l’exploitation active de la CVE-2023-4966 (aka Citrix Bleed) au sein de Citrix NetScaler ADC et NetScaler Gateway. Selon la firme, 4 groupes d’attaquants distincts l’exploitent massivement pour cibler des entités gouvernementales ainsi que des firmes des secteurs technologique et juridique dans l’ensemble des régions du globe.

Exploitation de la CVE-2023-4911 au sein de glibc par des acteurs ciblant des fournisseurs de services cloud [15a] [15b] [15c] [15d]

Le 3 novembre 2023, les chercheurs en cybersécurité d’Aqua Nautilus ont publié un rapport sur l’exploitation d’une vulnérabilité au sein de la bibliothèque C de GNU (glibc) par l’acteur de la menace Kinsing, spécialisé dans le cryptojacking. Référencée sous le nom de CVE-2023-4911 (score CVSS 7.8) et baptisée Looney Tunables, cette faille a permis aux acteurs d’élever leurs privilèges et de se latéraliser sur des environnements cloud.

Europe de l’Ouest

NoName057(16) cible plusieurs entités du secteur des transports français [16a] [16b] [16c]

Le 9 novembre 2023, le groupe hacktiviste prorusse NoName057(16) a revendiqué des attaques DDoS (Distributed Denial of Service) contre les sites Web de plusieurs entités liées au secteur des transports en France en réponse au réabondement par le pays du fonds de soutien à l’Ukraine à hauteur de 200 millions d’euros.

Une campagne d’influence attribuée au réseau russe Doppelgänger vise la France [17a] [17b] [17c]

Le 9 novembre 2023, le ministère de l’Europe et des Affaires Étrangères français (MEAE) a dénoncé une campagne d’influence russe contre la France portant sur la diffusion et l’amplification sur les réseaux sociaux de photos représentant les tags d’étoiles de David à Paris. Le Quai d’Orsay n’attribue cependant pas à la Russie l’origine même des tags, précisant qu’une enquête judiciaire est en cours pour identifier s’ils ont été commandités depuis l’étranger.

Europe de l’Est

Le groupe APT russe Sandworm a conduit une attaque de sabotage visant une organisation critique en Ukraine [18a] [18b]

Dans un rapport de Mandiant publié le 9 novembre 2023, les chercheurs ont mis en évidence l’utilisation de binaires Living off the Land (LoLBins) dans une attaque opérée en juin 2022 par le groupe Sandworm, attribué à la Russie. Cette dernière a ciblé les systèmes de contrôle industriels (ICS) d’une infrastructure critique Ukraine afin de provoquer des pannes de courant et a été suivie deux jours plus tard par la distribution d’une nouvelle variante du wiper CADDYWIPER à cette même victime.

Cybercriminalité

Distribution du Malware-as-a-Service DarkGate via Microsoft Teams et SharePoint [19]

Le 1er novembre 2023, les chercheurs de Netskope Threat Labs ont constaté une augmentation significative des détournements de Microsoft Teams et SharePoint pour diffuser le Remote Access Trojan (RAT) DarkGate. Les investigations ont mises en évidence une nouvelle variante de DarkGate diffusée par DLL Sideloading sous forme de fichier leurre PDF, usurpant un Microsoft Windows Installer et redirigeant vers un lien malveillant en apparence légitime DocuSign.

Moyen-Orient

Le groupe hacktiviste GhostSec fait la promotion de leur RaaS GhostLocker [20a] [20b]

Le 3 novembre 2023, les chercheurs de Uptycs ont révélé la promotion d’un Ransomware-as-a-Service (RaaS), nommé GhostLocker, par le groupe d’hacktivistes appelé GhostSec via un canal Telegram dédié comprenant 688 membres.

Détection du mode opératoire APT MuddyWater ciblant des entités israéliennes [21a] [21b]

Le 1er novembre 2023, les chercheurs de Deep Instinct ont publié un rapport sur une récente campagne d’attaques par spear-phishing ciblant des entités israéliennes et associée au mode opératoire APT MuddyWater (aka TEMPS.Zagros, Seedworm, Static Kitten, MERCURY, Earth Vetala). Il s’agit de la première campagne d’attaques APT observée depuis le début des affrontements armés entre Israël et le Hamas en octobre 2023, qui a principalement impliqué des groupes hacktivistes à l’heure actuelle.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2023-6092
[2] CXA-2023-6042
[3] CXA-2023-6165
[4] CXA-2023-6118
[5] CXA-2023-6121
[6] CXA-2023-6164
[7] CXA-2023-6047
[8] CXA-2023-6061
[9] CXA-2023-6070
[10] CXA-2023-6125
[11] CXA-2023-6019
[12] CXN-2023-6140
[13] CXN-2023-6090
[14] CXN-2023-6056
[15] CXN-2023-6057
[16] CXN-2023-6150
[17] CXN-2023-6169
[18] CXN-2023-6168
[19] CXN-2023-6067
[20] CXN-2023-6095
[21] CXN-2023-6039

CERT-XMCO

Découvrir d'autres articles