Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Fortinet pour FortiOS [1][2], par Ivanti pour Connect Secure [3], par Google pour Chrome [4a][4b] et pour Android [5], et par 7-Zip [6]. Ces correctifs remédient à des dommages allant de la divulgation d’informations sensibles à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 4 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.
Prise de contrôle du système via une vulnérabilité au sein de PRTG Network Monitor [7]
En exécutant ce module et en spécifiant des identifiants valides pour l’interface web, un attaquant est en mesure d’exploiter la vulnérabilité.
Contournement de sécurité via une vulnérabilité au sein de produits Ivanti [8]
En utilisant ce template sur un hôte via la commande nuclei, un attaquant distant non authentifié peut identifier une instance d’un produit Ivanti vulnérable.
Prise de contrôle du système via 2 vulnérabilités au sein de Cacti [9]
En exécutant ce programme localement, un attaquant est en mesure de déterminer si un serveur est sujet ou non à la vulnérabilité.
Élévation de privilèges via une vulnérabilité au sein de Docker [10a] [10b]
En employant ce module à l’encontre d’un serveur vulnérable, un attaquant est en mesure d’élever ses privilèges pour prendre le contrôle de l’utilisateur root, doté des privilèges maximaux.
Cybercriminalité
Compromission de l’application de bureau à distance AnyDesk et vente de comptes clients sur le Dark Web [11a] [11b] [11c]
Le 2 février 2024, l’application de bureau à distance AnyDesk a publié un bulletin de sécurité suite à l’identification d’un incident sur certains de ses systèmes internes. D’après le communiqué, cette intrusion n’aurait pas impliqué la distribution d’un ransomware. Cependant, des indicateurs de compromission ont été collectés par les chercheurs de CrowdStrike lors d’un audit de réponse à incident. Par précaution, AnyDesk a révoqué les certificats de signature de code pour ses binaires, les mots de passe de son portail web, my.anydesk.com, et recommande aux utilisateurs de changer leurs mots de passe.
Vulnérabilité
Vulnérabilité critique affectant JetBrains TeamCity [12a] [12b] [12c]
Le 6 février 2024, l’éditeur JetBrains a publié un avis de sécurité sur une vulnérabilité critique affectant TeamCity On-Premises, un serveur de gestion de build et d’intégration continue. Référencée CVE-2024-23917, la vulnérabilité maintenant corrigée permettait à un attaquant distant non authentifié de contourner les contrôles d’authentification et d’élever ses privilèges au niveau administratif sur les serveurs vulnérables. La vulnérabilité affecte toutes les versions de TeamCity On-Premises de 2017.1 à 2023.11.2 et a été corrigée par JetBrains dans la version 2023.11.3. Un plugin correctif avec des instructions d’installation pour les utilisateurs ne pouvant pas appliquer les mises à jour a également été publié.
État Nation
Un groupe APT chinois cible des instances du ministère de la Défense néerlandais avec la CVE-2022-42475 dans FortiGate [13a] [13b]
Le 6 février 2024, les services de renseignements néerlandais (MIVD et AIVD) ont publié un bulletin de sécurité suite à la détection du trojan COATHANGER, ciblant une cinquantaine d’instances vulnérables à la CVE-2022-42475 dans FortiGate. La campagne d’espionnage aurait débuté en 2023 et a été attribuée à un mode opératoire aligné sur les intérêts de la Chine. Selon le communiqué public, les acteurs de la menace cherchaient à obtenir la compromission initiale sur des instances appartenant à des personnels du ministère de la Défense néerlandais, spécialisés dans la recherche et le développement (R&D).
Opérations d’influence pro-iraniennes en marge du conflit dans la bande de Gaza [14a] [14b] [14c]
Le 6 février 2024, les chercheurs de Microsoft ont publié un rapport sur les opérations iraniennes menées contre Israël en marge des affrontements armés dans la bande de Gaza depuis octobre 2023. Leur rapport met en évidence leurs opérations d’influence destinées à soutenir la cause du Hamas et à affaiblir Israël, ses alliés politiques et ses partenaires commerciaux. Malgré les premières affirmations des groupes hacktivistes pro-iraniens, de nombreuses opérations de type Hack & Leak se sont appuyées sur des fuites de données déjà existantes. Pour le seul mois d’octobre 2023, les chercheurs de Microsoft ont identifié 11 opérations d’influence menées par des groupes hacktivistes iraniens.
Distribution du spyware Pegasus lors d’une campagne d’espionnage ciblée en Jordanie [15a] [15b]
Le 1er février 2024, les chercheurs d’AccessNow ont révélé une campagne d’espionnage ciblée en Jordanie, par l’intermédiaire du spyware Pegasus développé par NSO Group. Au moins 35 individus auraient été ciblés par les clients du spyware lors de cette campagne, dont des journalistes, des militants politiques, des acteurs de la société civile et des avocats spécialisés dans les droits de l’homme situés en Jordanie. Au cours des dernières années, les autorités jordaniennes ont intensifié la répression des droits des citoyens à la liberté d’expression et d’association. Les victimes de Pegasus ont été ciblées à la fois par des attaques de type « 0-click » et « 0-day ».
Europe de l’Ouest
Des groupes hacktivistes ciblent la France avec des attaques DDoS [16]
Le 6 janvier 2024, les consultants du CERT-XMCO ont noté une intensification des attaques par déni de service distribué (DDoS) menées par des groupes hacktivistes alignés sur les intérêts politiques de la Russie ainsi que sur ceux de la Turquie afin de perturber l’accessibilité des sites Internet de plusieurs entreprises et organismes publics français. La France est régulièrement la cible des groupes hacktivistes de par sa position en faveur de l’Ukraine. En outre, les affrontements armés dans la bande de Gaza entre le Hamas et Israël et au Haut-Karabakh entre l’Arménie et l’Azerbaïdjan pourraient avoir des répercussions sur la conduite d’opérations par ces groupes.
Nouvelle campagne de désinformation chinoise nommée PAPERWALL ciblant notamment la France [17a] [17b]
Le 7 février 2024, les chercheurs du Citizen Lab ont publié un rapport sur une campagne de désinformation chinoise. Référencée sous le nom de PAPERWALL, cette dernière s’est articulée autour d’un réseau d’au moins 123 sites web présentés comme des organes de presse régionaux, ciblant des audiences situées en Europe, en Asie et en Amérique latine. La campagne de désinformation s’est appuyée sur les contenus produits par l’agence de presse Times Newswire, connue pour régulièrement diffuser des contenus politiques favorables à Pékin. En outre, les chercheurs du Citizen Lab ont établi qu’au moins 10 sites web avaient spécifiquement ciblé une audience française.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2024-0772
[2] CXA-2024-0774
[3] CXA-2024-0773
[4] CXA-2024-0724
[5] CXA-2024-0703
[6] CXA-2024-0697
[7] CXA-2024-0698
[8] CXA-2024-0654
[9] CXA-2024-0670
[10] CXA-2024-0702
[11] CXN-2024-0657
[12] CXN-2024-0747
[13] CXN-2024-0712
[14] CXN-2024-0717
[15] CXN-2024-0695
[16] CXN-2024-0663
[17] CXN-2024-0740
