Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par ownCloud [1a][1b][2] , par Microsoft pour Edge [3], par Apple pour Safari [4a][4b][4c], par Apache pour Tomcat [5], par Progress pour MoveIT [6], par Google pour Chrome [7a][7b], et par Gitlab [8].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 3 codes d’exploitation ont été publiés. Un correctif est disponible pour 3 d’entre eux.
Prise de contrôle du système via une vulnérabilité au sein de Arcserve UDP [9]
Ce code d’exploitation se présente sous la forme d’une requête spécifiquement conçue envoyée via une commande curl. Un attaquant est alors en mesure de téléverser un fichier arbitraire.
Divulgation d’informations via une vulnérabilité au sein de produits OwnCloud [10a] [10b] [10c]
Ce code d’exploitation se présente sous la forme d’un programme écrit en Yaml. En utilisant ce programme, un attaquant distant est alors en mesure d’exploiter cette vulnérabilité sur un serveur web afin d’accéder aux détails de configuration de l’environnement PHP.
Contournement de sécurité via une vulnérabilité au sein de Windows Smartscreen [11a] [11b]
Ce code d’exploitation se présente sous la forme d’un raccourci Internet (via un fichier .URL). En incitant sa victime à ouvrir ce fichier, un attaquant est alors en mesure de la diriger vers une adresse URL malveillante en contournant le système de protection de Windows Smartscreen.
Vulnérabilité
Exploitation active de la CVE-2023-49103 critique dans la plateforme de collaboration ownCloud [12a] [12b] [12c] [12d] [12e]
Le 27 novembre 2023, GreyNoise a publié un rapport relatif à l’exploitation massive de la CVE-2023-49103 dans ownCloud graphapi par des acteurs malveillants, détectée à partir du 25 novembre. Corrigée le 21 novembre dernier par l’éditeur, cette vulnérabilité critique (score CVSS de 10) permet à un attaquant d’obtenir des informations sensibles (cf. CXA-2023-6550).
Le ransomware Cactus distribué via l’exploitation de 3 vulnérabilités affectant Qlik Sense [13a] [13b] [13c]
Le 28 novembre 2023, les chercheurs de Artic Wolf Labs ont révélé l’exploitation de 3 vulnérabilités affectant la plateforme d’analyse cloud et de business intelligence Qlik Sense par le Ransomware-as-a-Service (RaaS) Cactus. Les failles référencées CVE-2023-41265, CVE-2023-41266 et CVE-2023-48365 permettaient à un attaquant d’élever ses privilèges, réaliser une traversée de répertoire (Path Traversal) et exécuter du code arbitraire.
Exploitation de la CVE-2023-46604 dans Apache ActiveMQ pour distribuer le botnet GoTitan et d’autres malware [14a] [14b]
Le 28 novembre 2023, Fortinet a mis au jour l’exploitation active de la CVE-2023-46604 dans Apache ActiveMQ (cf. CXA-2023-5926) afin de distribuer le botnet GoTitan et conduire des des attaques par déni de service distribué (DDoS) à partir des hôtes compromis. Les chercheurs ont également identifié d’autres malware exploitant cette vulnérabilité, parmi lesquels PrCtrl Rat, capable de prendre le contrôle à distance des instances compromises.
APT Andariel distribue 2 backdoors sur des serveurs de messagerie Apache ActiveMQ vulnérables à la CVE-2023-46604 [15a] [15b]
Le 27 novembre 2023, les chercheurs d’ASEC ont publié un rapport suite à l’identification d’une campagne d’attaques du mode opératoire attribué à la Corée du Nord APT Andariel, exploitant la vulnérabilité CVE-2023-46604 dans les serveurs de messagerie Apache ActiveMQ pour distribuer les backdoors NukeSped et TigerRat. NukeSped a déjà été exploitée par Andariel et permet aux opérateurs de télécharger de fichiers, exécuter des commandes et arrêter des processus en cours sur les instances compromises.
Renseignement
Distribution du spyware Pegasus à 2 opposants politiques serbes en août 2023 [16a] [16b] [16c] [16d] [16e] [16f] [16g]
Le 28 novembre 2023, les chercheurs du Citizen Lab et d’Access Now ont publié un rapport suite à l’identification de 2 nouvelles compromissions réalisées en août 2023 par le spyware Pegasus de NSO Group. Les attaquants auraient exploité la fonctionnalité HomeKit de l’iPhone pour distribuer du code malveillant sur les appareils mobiles de 2 opposants politiques serbes. Sur la base de leurs investigations, les chercheurs ont attribué cette campagne d’attaques au service de sécurité serbe (BIA).
APT Chimera, attribué à la Chine, a compromis la société de semiconducteurs NXP pendant plus de 2 ans [17a] [17b] [17c] [17d] [17e] [17f]
Le 24 novembre 2023, le quotidien néerlandais NRC a annoncé que le réseau informatique de la société NXP avait été compromis par le mode opératoire attribué à la Chine APT Chimera pendant plus de 2 ans. L’intrusion aurait été effectuée via la compromission par Brute Force des comptes de plusieurs salariés. L’authentification à double facteur (MFA) aurait quant à elle été détournée en changeant les numéros de téléphone des utilisateurs ciblés. Enfin, les opérateurs de Chimera auraient exfiltré les données d’intérêt à l’aide de l’outil ChimeRAR, puis des plateformes légitimes Dropbox, Microsoft OneDrive et Google Drive.
Ransomware
HSE, Le plus important producteur d’électricité de Slovénie victime d’un ransomware [18a] [18b]
Le 27 novembre 2023, la firme slovène HSE a annoncé être victime d’une attaque par ransomware en date du 24 novembre dernier, mais a précisé ne pas avoir reçu de demande de rançon. Selon les communiqués officiels, les opérations de production d’énergie ne sont pas affectées mais de nombreux fichiers et systèmes informatiques seraient chiffrés. Le porte-parole du groupe a en outre indiqué que l’attaque serait limitée aux sites web de la centrale thermique de Sostanj et de la mine de charbon de Velenje.
Le groupe ransomware Qilin revendique la compromission de Yanfeng Automotive Interiors perturbant la production des usines de Stellantis [19a] [19b] [19c]
Le 27 novembre 2023, le groupe ransomware Qilin a revendiqué la compromission de l’un des plus grands fournisseurs chinois de pièces automobiles, Yanfeng Automotive Interiors sur son site de fuite de données Tor. Il avait signalé au début du mois avoir été victime d’une cyberattaque qui a directement affecté le constructeur Stellantis, l’obligeant à arrêter la production de ses usines nord-américaines la semaine du 13 novembre.
Conflit Ukraine
L’Ukraine revendique la compromission de l’Agence russe Rosaviatsia et le vol d’informations confidentielles [20a] [20b] [20c]
Le 23 novembre 2023, les services de renseignements ukrainiens ont indiqué avoir piraté l’Agence fédérale du transport aérien russe, Rosaviatsia, leur permettant de voler des informations confidentielles.
Rosaviatsia est chargée de superviser l’industrie de l’aviation civile en Russie, en tenant des registres des incidents de vol ou d’urgence. Les services ukrainiens n’ont pas communiqué d’informations sur le déroulé de l’attaque, mais affirment avoir obtenu des rapports quotidiens de l’Agence sur l’ensemble de la Fédération de Russie depuis plus d’un an et demi, révélant de nombreux incidents et difficultés de maintenance.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-6550
[2] CXA-2023-6547
[3] CXA-2023-6648
[4] CXA-2023-6649
[5] CXA-2023-6606
[6] CXA-2023-6613
[7] CXA-2023-6589
[8] CXA-2023-6646
[9] CXA-2023-6621
[10] CXA-2023-6528
[11] CXA-2023-6556
[12] CXN-2023-6599
[13] CXN-2023-6653
[14] CXN-2023-6598
[15] CXN-2023-6543
[16] CXN-2023-6616
[17] CXN-2023-6574
[18] CXN-2023-6578
[19] CXN-2023-6592
[20] CXN-2023-6572
