Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Synology [1], par Splunk [2a][2b], par Atlassian pour Jira [3] et Confluence Data Center and Server [4a][4b][4c][4d][4e][4f][4g][4h][4i], par Mozilla pour Thunderbird [5] et Firefox [6]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.
Prise de contrôle d’un système via une vulnérabilité au sein de Splunk [7a] [7b]
Ce code d’exploitation se présente sous la forme d’un script écrit en Python. Après une authentification réussie, le script tente d’établir un shell inversé sur le serveur Splunk. Cela lui permet d’établir une connexion à distance depuis le serveur vers une adresse IP spécifiée.
Contournement de sécurité via une vulnérabilité au sein d’Adobe ColdFusion [8]
Ce code d’exploitation se présente sous la forme d’un template nuclei. En utilisant ce template sur un hôte via la commande nuclei, un attaquant distant peut identifier une instance Adobe ColdFusion vulnérable.
Vulnérabilité
Exploitation de la CVE-2023-46604 affectant Apache ActiveMQ afin de distribuer Kinsing et un cryptominer [9a] [9b]
Le 20 novembre 2023, les chercheurs de Trend Micro ont révélé l’exploitation d’une vulnérabilité, référencée CVE-2023-46604, affectant Apache ActiveMQ afin de distribuer sur les systèmes Linux le malware Kinsing (alias h2miner) ainsi qu’un cryptominer. Dans l’attaque observée, l’acteur de la menace a exécuté des scripts bash malveillants et téléchargé des payloads supplémentaires sur l’appareil infecté à partir de processus nouvellement créés au niveau du système. Cette technique lui a permis d’opérer sur le système vulnérable avec une grande capacité de contrôle et de flexibilité tout en échappant à la détection.
Exploitation de la CVE-2023-4966 dans Citrix Netscaler ADC et Netscaler Gateway pour distribuer le ransomware LockBit [10a] [10b] [10c] [10d]
Le 21 novembre 2023, le CISA a publié un bulletin de sécurité concernant l’exploitation active de la CVE-2023-4966 dans Citrix Netscaler ADC et Netscaler Gateway (aka Citrix Bleed) afin de distribuer le ransomware LockBit 3.0. Corrigée le 10 octobre dernier par l’éditeur, son exploitation massive avait été détectée par Mandiant depuis le mois d’août 2023 par au moins 4 groupes d’attaquants pour cibler des entités gouvernementales ainsi que des firmes des secteurs technologique et juridique dans l’ensemble des régions du globe.
Hacktivisme
Le groupe hacktiviste KromSec revendique une cyberattaque contre l’Assemblée nationale [11a] [11b] [11c] [11d]
Le 18 novembre 2023, le groupe hacktiviste KromSec a revendiqué sur son compte Telegram avoir conduit une cyberattaque contre l’Assemblée nationale. Ni l’impact ni l’origine de la compromission ne sont connus à ce jour, mais le collectif ne serait néanmoins parvenu qu’à exfiltrer des données limitées et peu sensibles. Ces dernières comprendraient principalement des informations de contact de membres de l’Assemblée et de certaines de ses chambres, ainsi qu’une liste de ses visiteurs.
Des logiciels protestware diffusent des messages de paix relatifs aux conflits ukrainien et israélo-palestinien via la plateforme NPM [12a] [12b] [12c] [12d]
Le 16 novembre 2023, les chercheurs de Reversing Labs ont révélé deux campagnes à caractère hacktiviste de type protestware diffusant des messages de paix liés aux conflits ukrainien et israélo-palestinien via la gestionnaire de paquets NPM (Node Package Manager). Le protestware consiste à intégrer dans le code des logiciels open source des messages politiques s’affichant une fois ces derniers exécutés.
Ransomware
Le ransomware Trigona resurgit un mois après avoir été démantelé [13a] [13b] [13c]
Les chercheurs de Zscaler ont identifié le 16 novembre 2023 un nouveau site de publication de fuite de données (DLS) du ransomware Trigona. Ce dernier avait été rendu indisponible suite à la compromission de son infrastructure revendiquée par le groupe hacktiviste Ukrainian Cyber Alliance (UCA) le 12 octobre dernier.
Les opérateurs du ransomware 8Base déploient une nouvelle variante du ransomware Phobos via SmokeLoader [14a] [14b] [14c]
Le 17 novembre 2023, les chercheurs de Cisco ont observé l’augmentation des activités du groupe 8Base, actif depuis mars 2022, dont le ransomware serait une variante du Ransomware-as-a-Service (RaaS) Phobos, lui-même une évolution du ransomware Dharma. Les chercheurs indiquent que l’analyse de la configuration du ransomware 8Base n’a pas permis de révéler de changement majeur avec les précédentes analyses du RaaS Phobos suivi depuis 2019.
Renseignement
Des APTs attribuées à la Corée du Nord ciblent les développeurs et les firmes du secteur informatique à des fins d’espionnage et de gain financier [15a] [15b] [15c]
Dans un rapport publié le 21 novembre 2023, les chercheurs de Palo Alto Networks ont mis au jour deux campagnes de phishing opérées par des APTs attribuées à la Corée du Nord et ciblant les activités de recrutement et de recherche d’emploi. L’objectif de ces dernières est double : obtenir un gain financier pour financer le régime de Pyongyang et collecter des informations stratégiques à des fins d’espionnage.
Le Royaume-Uni et la Corée du Sud alertent sur les attaques supply chain attribuées à des APTs nord-coréennes [16a] [16b] [16c]
Le 23 novembre 2023, le Royaume-Uni et la Corée du Sud ont conjointement publié un rapport sur les campagnes d’attaques APT nord-coréennes ciblant la supply chain de logiciels utilisés par des organisations gouvernementales, des institutions financières et des entreprises. Cette publication intervient au lendemain de celle d’un rapport de Microsoft, mettant en garde contre l’attaque ayant ciblé la supply chain du logiciel multimédia CyberLink, développé par une entreprise taïwanaise, et responsable de la compromission d’une centaine d’instances en Amérique du Nord et en Europe de l’Ouest.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-6391
[2] CXA-2023-6440
[3] CXA-2023-6453
[4] CXA-2023-6456
[5] CXA-2023-6420
[6] CXA-2023-6423
[7] CXA-2023-6437
[8] CXA-2023-6510
[9] CXN-2023-6460
[10] CXN-2023-6450
[11] CXN-2023-6412
[12] CXN-2023-6418
[13] CXN-2023-6386
[14] CXN-2023-6424
[15] CXN-2023-6498
[16] CXN-2023-6516
