Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre du Patch Tuesday [1], par SAP [2], par Fortinet pour FortiOS et FortiProxy [3] et par Gitlab [4].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Un code d’exploitation a été publié cette semaine. Un correctif est disponible.
Divulgation d’informations via une vulnérabilité au sein d’Ivanti Connect Secure [5]
Ce code d’exploitation se présente sous la forme d’un template Nuclei. En exécutant ce template avec la commande nuclei sur une liste d’hôtes, un attaquant est alors en mesure de détecter des instances d’Ivanti Connect Secure vulnérables à une faille XXE (permettant à un attaquant distant de lire des fichiers sensibles sur le serveur ou d’effectuer des requêtes HTTP depuis ce dernier).
Vulnérabilité
Précisions relatives à l’exploitation des CVE-2024-21413 et CVE-2024-21410 affectant Microsoft Outlook et Exchange Server [6a] [6b] [6c]
Le 14 février 2024, Microsoft a mis à jour son bulletin de sécurité relatif à la CVE-2024-21413, corrigée dans le Patch Tuesday de février 2024, pour alerter sur son exploitation active. Quelques heures plus tard, l’éditeur a cependant rétropédalé en indiquant qu’il s’agissait en réalité d’une erreur. En complément, Microsoft a également mis à jour le bulletin de sécurité de la CVE-2024-21410 qui est désormais activement exploitée.
Le groupe APT Water Hydra exploite la CVE-2024-21412 dans Microsoft Defender SmartScreen pour cibler des entités financières [7a] [7b] [7c]
Le 13 février 2024, les chercheurs de Trend Micro ont publié un rapport sur l’exploitation active d’une vulnérabilité 0-day dans Microsoft Defender SmartScreen par le mode opératoire APT Water Hydra (aka DarkCasino). Référencée sous le nom de CVE-2024-21412 et corrigée par l’éditeur dans le cadre du Patch Tuesday de février 2024, cette vulnérabilité est la seconde 0-day exploitée par les opérateurs de Water Hydra pour cibler des entités spécialisées en finance de marché.
Distribution d’une backdoor furtive nommée DSLog via l’exploitation de la CVE-2024-21893 dans les produits Ivanti [8a] [8b]
Le 9 février 2024, les chercheurs d’Orange Cyberdéfense ont révélé la distribution d’une backdoor nommée DSLog via l’exploitation d’une vulnérabilité affectant Ivanti à la suite de la publication d’une preuve de concept (PoC) par Rapid7. Référencée CVE-2024-21893, la vulnérabilité permettait à un attaquant distant non authentifié d’accéder à certaines ressources.
Europe de l’Ouest
Des groupes hacktivistes revendiquent une série d’attaques contre la France [9a] [9b] [9c] [9d] [9e] [9f] [9g] [9h] [9i]
Dans la soirée du 12 février 2024, les opérateurs du groupe hacktiviste LulzSec ont revendiqué sur Telegram des attaques par déni de service distribué (DDoS) contre le site de Total Energies et le piratage de 600 000 comptes de la Caisse d'Allocations familiales (CAF), menaçant de mener d’autres perturbations à l’encontre des organismes français.
Nouvelle campagne d’attaque visant les utilisateurs Français et Espagnols utilisant le ransomware JKwerlo [10]
Le 14 février 2024, les chercheurs de Cyble ont découvert une nouvelle campagne d’attaque visant l’Espagne et la France et utilisant un nouveau ransomware appelé JKwerlo. L’accès initial s’effectuerait à l’aide de fichier HTML envoyé sous forme de mail aux victimes et ayant pour thème « Documents juridiques et/ou officiels à télécharger via Google Drive« .
Le groupe hacktiviste LulzSec revendique de nouvelles attaques contre des institutions françaises [11a] [11b] [11c] [11d] [11e] [11f] [11g] [11h]
Le 14 février 2024, le collectif hacktiviste LulzSec a revendiqué des attaques contre le Conseil d'État français, le ministère de l'Intérieur ainsi que la Gendarmerie nationale. Ces dernières auraient principalement consisté en du vol de données comprenant les adresses e-mail et des informations personnelles des collaborateurs de ces institutions. Le même jour, LulzSec a également revendiqué une attaque DDoS à l’encontre d’un site web lié aux Jeux Olympiques de Paris 2024.
Une nouvelle campagne d’influence pro-russe cible notamment la France afin d’affaiblir le soutien à l’Ukraine [12]
Le 12 janvier 2024, Viginum a publié un rapport sur une campagne de désinformation pro-russe, couvrant positivement l’invasion en Ukraine et dénigrant les autorités de Kiev, afin d’influencer les opinions publiques, notamment françaises. Référencé sous le nom de Portal Kombat, ce réseau d’au moins 193 sites a été actif entre les mois de septembre et décembre 2023. Selon les analystes de Viginum, les sites de ce réseau d’influence ont relayé massivement des publications issues des réseaux sociaux, des agences de presse russes et des sites officiels d’institutions et d’acteurs issus des zones géographiques ciblées.
Etat Nation
Distribution de la backdoor TinyTurla-NG par l’APT russe Turla dans le cadre d’une campagne d’espionnage visant des ONG polonaises [13a] [13b]
Le 15 février 2024, les chercheurs de Cisco ont révélé une campagne d’espionnage toujours active ayant débuté en novembre 2023 et réalisée par le mode opératoire APT associé à la Russie, Turla (aka Pensive Ursa). Ce dernier cherche à compromettre des ONGs polonaises soutenant l’Ukraine via la distribution d’une backdoor nommée TinyTurla-NG et l’exploitation d’un exfiltrateur de données baptisé TurlaPower-NG.
Exploitation de l’Intelligence Artificielle par des APTs associées à la Russie, la Corée du Nord, l’Iran et la Chine [14a] [14b] [14c]
Le 14 février 2024, en partenariat avec OpenAI, les chercheurs de Microsoft ont révélé l’exploitation de l’Intelligence Artificielle (IA) et plus particulièrement des grands modèles de langage (LLM) par des modes opératoires APTs liés à la Russie, l’Iran, la Corée du Nord et la Chine. Ces derniers utilisaient les services d’OpenAI pour rechercher des informations open source, générer du contenu pour des campagnes de phishing, traduire des documents d’intérêts, trouver des erreurs de programmation et exécuter des tâches basiques.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXN-2024-0882
[2] CXA-2024-0888
[3] CXA-2024-0911
[4] CXA-2024-0779
[5] CXA-2024-0807
[6] CXN-2024-0915
[7] CXN-2024-0857
[8] CXN-2024-0823
[9] CXN-2024-0829
[10] CXN-2024-0917
[11] CXN-2024-0920
[12] CXN-2024-0833
[13] CXN-2024-0940
[14] CXN-2024-0912
