Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par VMWare pour Cloud Director [1], par Google pour Chrome [2a][2b], par Kubernetes [3], par OpenVPN [4a][4b][4c] ainsi que par Microsoft dans le cadre du Patch Tuesday [5]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Un code d’exploitation a été publié cette semaine. Aucun correctif n’est disponible.
Élévation de privilège via une vulnérabilité au sein de Windows [6a] [6b] [6c]
L’exploitation de cette vulnérabilité permet d’exécuter du code au sein d’un contexte d’intégrité élevée (contexte Administrateur, notamment utilisé lorsqu’un programme est utilisé en mode run as administrator) depuis un contexte d’intégrité moyen (contexte standard des utilisateurs). Il est nécessaire que le programme soit exécuté par un utilisateur présent au sein du groupe Administrators.
Vulnérabilité
Une vulnérabilité au sein de Zimbra Collaboration exploitée pour cibler des organisations gouvernementales [7a] [7b] [7c]
Le 16 novembre 2023, le groupe d’analyse des menaces (TAG) de Google, a révélé l’exploitation d’une vulnérabilité 0-day affectant le serveur de messagerie Zimbra Collaboration dans 4 attaques ciblant des gouvernements. La vulnérabilité XSS (cross-site scripting) référencée CVE-2023-37580 permettait à un attaquant distant d’exécuter un code JavaScript malveillant dans le navigateur d’une victime.
Résumé du Patch Tuesday de Microsoft (2023-Nov) [5]
Dans le cadre du processus mensuel de mise à jour de sécurité de Microsoft, 63 vulnérabilités ont été corrigées.
Exploitation active de plusieurs vulnérabilités au sein de Juniper OS [8a] [8b] [8c]
Le 13 novembre 2023, la Cybersecurity and Infrastructure Security Agency (CISA) a demandé aux agences fédérales américaines de mettre à jour les équipements Juniper de leurs réseaux d’ici le vendredi 17 novembre pour se protéger contre 4 vulnérabilités, utilisées dans le cadre d’attaques permettant d’obtenir une exécution de code à distance (RCE).
Distribution de la web shell Effluence dans Confluence Data Center et Server d’Atlassian [9a] [9b]
Le 8 novembre 2023, des chercheurs d’AON ont publié un rapport suite à l’identification d’une backdoor persistante appelée Effluence, distribuée suite à l’exploitation de la CVE-2023-22515 (score CVSS de 9.8), une vulnérabilité critique dans Confluence Data Center & Confluence Server d’Atlassian. La spécificité d’Effluence réside dans sa capacité de persistance, malgré l’installation du patch.
Renseignement
Une campagne d’attaques sophistiquée cible le secteur de l’énergie au Danemark [10a] [10b] [10c]
Le 11 novembre 2023, SektorCERT a publié un rapport suite à l’identification d’une campagne d’attaques sophistiquée et coordonnée ciblant des infrastructures critiques au Danemark à partir de mai 2023. Sur la base des TTPs observées, certaines des attaques ont a été associées avec un degré de confiance modéré au mode opératoire APT Sandworm, attribué à la Russie.
Le mode opératoire APT29, attribué à la Russie, cible des ambassades en Europe avec la CVE-2023-38831 de WinRAR [11a] [11b]
Le 14 novembre 2023, le Conseil national de sécurité et de défense de l’Ukraine (NCSCC) a publié un rapport à la suite de l’identification d’une campagne d’attaques sophistiquées en septembre 2023. Associée au mode opératoire APT29 (aussi connu sous les noms de Cozy Bear et Blue Bravo) , la campagne visait à collecter du renseignement en infiltrant des ambassades en Azerbaïdjan, en Grèce, en Roumanie et en Italie.
L’APT russe Storm-0978 exploite 2 vulnérabilités pour contourner la fonction de sécurité « Mark-of-the-Web » (MotW) de Microsoft [12]
Le 13 novembre 2023, les chercheurs de l’Unit 42 de Palo Alto Networks ont publié un rapport sur la chaîne d’exploitation des CVE-2023-36884 et CVE-2023-36584, observée en juillet 2023 lors d’une campagne d’attaques ciblant des groupes soutenant l’admission de l’Ukraine dans l’OTAN.
Ransomware
Le groupe de ransomware LockBit 3.0 a revendiqué la compromission du département du Loiret [13a] [13b] [13c]
Le samedi 11 novembre 2023, les opérateurs du groupe de ransomware Lockbit 3.0 ont revendiqué la compromission des infrastructures numériques du département du Loiret. Depuis cette date, plusieurs services essentiels demeurent indisponibles, notamment la réception et l’envoi des courriers électroniques, l’accès aux serveurs, ainsi que l’utilisation de certains logiciels métiers. Le département du Loiret a néanmoins rétabli le numéro d’accueil pour minimiser les perturbations.
Cybercriminalité
Exploitation de la CVE-2023-38831 dans WinRAR par APT DarkCasino [14]
Le 10 novembre 2023, les chercheurs de NSFocus ont publié un rapport sur l’exploitation d’une vulnérabilité de type 0-day dans WinRAR depuis 2022 par un nouveau mode opératoire, référencé sous le nom d’APT DarkCasino. Les opérateurs du MOA sont motivés par la poursuite de gains financiers et ciblent diverses plateformes de commerce en ligne en Europe, en Asie, au Moyen-Orient, couvrant des secteurs tels que les crypto-monnaies, les casinos en ligne, les banques de réseau et les plateformes de crédit en ligne.
Infostealer
Une campagne vise le secteur et les joueurs de jeux vidéo pour distribuer des infostealers [15]
Un rapport de Sekoia publié le 13 novembre revient sur une campagne de distribution d’infostealers ayant ciblé le secteur des jeux vidéo à partir du mois de juillet 2023. Cette campagne s’est appuyée sur des sites web malveillants et des liens de phishing diffusés sur Discord.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-6287
[2] CXA-2023-6275
[3] CXA-2023-6262
[4] CXA-2023-6200
[5] CXN-2023-6281
[6] CXA-2023-6220
[7] CXN-2023-6343
[5] CXN-2023-6281
[8] CXN-2023-6218
[9] CXN-2023-6222
[10] CXN-2023-6272
[11] CXN-2023-6280
[12] CXN-2023-6267
[13] CXN-2023-6188
[14] CXN-2023-6199
[15] CXN-2023-6278
