Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Google pour Android [1] et Chrome [2a][2b][2c], par Atlassian pour BitBucket [3], Confluence [4a][4b][4c] et Jira [5][6a][6b], par Apache pour Struts [7], pour WordPress [8] et par Microsoft pour Edge [9]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Un code d’exploitation a été publié cette semaine. Un correctif est disponible.
Prise de contrôle du système via une vulnérabilité au sein d’ArcServe UDP [10]
Ce code d’exploitation se présente sous la forme d’une requête cURL. Un attaquant disposant d’un serveur exposant un fichier .zip peut utiliser la fonction downloadAndInstallPatch afin de le déposer sur l’instance vulnérable. L’archive est ensuite décompressée et exécutée sur le serveur.
Vulnérabilité
Exploitation de la CVE-2023-26360 dans Adobe ColdFusion pour cibler des agences gouvernementales aux États-Unis [11a] [11b]
Le 5 décembre 2023, le CISA a publié une alerte relative à l’exploitation active de la vulnérabilité CVE-2023-26360 dans Adobe ColdFusion pour cibler des entités gouvernementales aux États-Unis. Corrigée par l’éditeur en mars 2023, elle permet à un attaquant d’exécuter du code à distance sur les produits vulnérables.
Des vulnérabilités nommées LogoFAIL pourraient permettre à des attaquants de déployer des bootkits UEFI [12a] [12b] [12c]
Le 29 novembre 2023, les chercheurs de Binarly ont publié un rapport sur plusieurs vulnérabilités nommées LogoFAIL, qui affectent les bibliothèques d’analyse d’images utilisées dans le micrologiciel UEFI (Unified Extensible Firmware Interface) pendant le processus de démarrage de l’appareil. Elles permettent à un attaquant d’exécuter des payloads malveillantes en injectant des fichiers images dans la partition système EFI (ESP) afin de contourner les fonctionnalités de sécurité telle que Secure Boot et d’exécuter du code arbitraire.
Renseignement
Le groupe attribué à la Russie Star Blizzard cible les États-Unis et le Royaume-Uni via des techniques de spear-phishing [13a] [13b] [13c] [13d] [13e]
Le 7 décembre 2023, le National Cyber Security Centre (NCSC) britannique, Microsoft et le CISA ont publié un rapport conjoint sur l’évolution des tactiques, techniques et procédures (TTPs) du mode opératoire APT Star Blizzard (aka SEABORGIUM, Callisto Group, TA446, COLDRIVER, TAG-53, BlueCharlie), associé au 18ème Centre du Service fédéral de sécurité (FSB) de la Fédération de Russie, chargé de la sécurité informationnelle.
Le mode opératoire AeroBlade a ciblé une organisation du secteur aérospatial américain à des fins d’espionnage industriel [14a] [14b]
Le 30 novembre 2023, les chercheurs en CTI de BlackBerry ont publié un rapport suite à l’identification d’un mode opératoire jusque là inconnu, ciblant le secteur aérospatial américain. Référencé sous le nom d’AeroBlade, cet ensemble de TTPs est motivé par la collecte de renseignements à des fins concurrentielles et serait actif depuis septembre 2022. L’accès initial a été obtenu à l’issue de l’ouverture du leurre de phishing, via une technique d’injection de macro VBA malveillante à distance (embedded remote template injection), chargeant à son tour des payloads responsables de la collecte de renseignements.
Le groupe APT28 attribué à la Russie a ciblé des pays membres de l’OTAN via l’exploitation de la CVE-2023-23397 dans Microsoft Outlook [15a] [15b]
Dans un rapport publié le 7 décembre 2023, les chercheurs de Palo Alto Networks ont détaillé trois campagnes d’attaques opérées par le groupe APT28 (aka Fighting Ursa, Fancy Bear, Strontium, Sofacy), attribué à la Russie, via l’exploitation de la CVE-2023-23397 dans Microsoft Outlook. Observées entre mars 2022 et octobre 2023, ces campagnes ont ciblé des organisations opérant dans divers secteurs d’activités au sein de 14 États, principalement des membres de l’OTAN.
Détection d’un nouveau toolset sophistiqué ciblant des organisations à des fins de renseignement [16a] [16b]
Le 1er décembre 2023, les chercheurs de l’Unit 42 de Palo Alto ont publié un rapport suite à la découverte d’un nouveau toolset utilisé par le mode opératoire CL-STA-0002, ciblant diverses organisations au Moyen-Orient, en Afrique et aux États-Unis à des fins de collecte de renseignements.
Europe de l’Ouest
La campagne de désinformation Doppelgänger, attribuée à la Russie, cible l’Ukraine, les États-Unis et l’Allemagne [17a] [17b] [17c]
Le 5 décembre 2023, les chercheurs de Recorded Future ont publié un rapport sur les techniques déployées dans le cadre de la campagne de désinformation Doppelgänger active depuis mai 2022 et attribuée au groupe d’investigation sur l’influence russe Bot Blocker (aussi connu sous le nom d’antibot4navalny Project). Leurs investigations révèlent le niveau élevé de sophistication de cette campagne d’influence, intégrant des techniques d’obscurcissement avancées et l’intelligence artificielle générative (IA) pour produire et publier des articles d’actualité faisant la promotion des intérêts du Kremlin et divisant les opinions publiques d’au moins 7 pays en Europe.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-6774
[2] CXA-2023-6734
[3] CXA-2023-6747
[4] CXA-2023-6755
[5] CXA-2023-6754
[6] CXA-2023-6745
[7] CXA-2023-6761
[8] CXA-2023-6764
[9] CXA-2023-6779
[10] CXA-2023-6687
[11] CXN-2023-6743
[12] CXN-2023-6692
[13] CXN-2023-6781
[14] CXN-2023-6717
[15] CXN-2023-6787
[16] CXN-2023-6683
[17] CXN-2023-6746
