Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par PostgreSQL pour l’interface de programmation JDBC [1], par Gitlab [2], par Mozilla pour Firefox [3a][3b][3c], par Atlassian pour Confluence [4], par Google pour Chrome [5a][5b][5c], par Zyxel [6] et par Joomla! [7a][7b][7c][7d][7e]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Un code d’exploitation a été publié cette semaine. Un correctif est disponible.
Prise de contrôle du système via une vulnérabilité au sein de QNAP [8]
Ce code d’exploitation se présente sous la forme d’un programme écrit en Ruby. En exécutant ce programme localement, un attaquant est en mesure de déterminer si un serveur est sujet ou non à la vulnérabilité. En cas de vulnérabilité avérée, le programme permet de l’exploiter pour injecter des commandes arbitraires sur le système.
Vulnérabilité
Exploitation active de deux vulnérabilités critiques affectant ScreenConnect [9a] [9b] [9c] [9d] [9e] [9f] [9g] [9h]
Le 19 février 2024, ConnectWise a publié un correctif pour deux vulnérabilités critiques affectant son produit ScreenConnect, un logiciel de bureau à distance. Les vulnérabilités, référencées CVE-2024-1709 et CVE-2024-1708, permettaient à un attaquant d’accéder à des informations sensibles ou des systèmes critiques puis d’exécuter du code à distance. Le lendemain, l’éditeur a indiqué que les vulnérabilités étaient activement exploitées et plusieurs chercheurs ont publié des exploits ainsi que des méthodes de détection.
Ransomware
Le ransomware Cactus revendique la compromission de Schneider Electric et publie des échantillons des données volées [10a] [10b]
Le 19 février 2024, le ransomware Cactus a revendiqué la compromission de la firme multinationale française Schneider Electric, publiant par la même occasion des échantillons des données volées. Le même jour, Schneider a mis à jour son communiqué publié le 29 janvier dernier, confirmant que l’attaque était limitée à sa division chargée du développement durable et que les autres entités de la firme n’étaient pas impactées. Cette revendication vient confirmer les informations partagées par BleepingComputer qui avait suggéré que Cactus était à l’origine de cette attaque dès le 29 janvier 2024. Les données publiées par le groupe ransomware comprennent notamment des passeports d’employés ainsi que des documents internes à l’entreprise.
Mise en vente du code source du Ransomware-as-a-Service Knight [11]
Le 18 février 2024, le code source de la version 3.0 du ransomware Knight a été mis en vente sur le forum cybercriminel russophone RAMP par un acteur de la menace portant le nom de Cyclops, suite à la fermeture de son site vitrine hébergé sur TOR. Cyclops n’a pas précisé le prix de mise en vente du ransomware, mais a souligné que le code source ne serait vendu qu’à un seul acheteur, afin de préserver sa valeur. Knight était jusque-là proposé sous la forme de Ransomware-as-a-Service (RaaS) depuis la fin du mois de juillet 2023 et constituerait le rebrand du ransomware Cyclops.
Arrestation des opérateurs du RaaS SugarLocker par les autorités russes [12a] [12b] [12c]
Le 20 février 2024, la société de cybersécurité russe F.A.C.C.T. a annoncé publiquement son implication dans une opération de lutte contre le crime organisée, coordonnée par le Bureau des mesures techniques spéciales du ministère de l’Intérieur russe (acronyme : БСТМ МВД). Cette opération a mené à la saisie des infrastructures et l’arrestation des opérateurs du groupe de ransomware SugarLocker (aka Encoded01) en janvier 2024. Actif depuis le début de l’année 2021, SugarLocker avait été détectée pour la première fois sous la forme d’offre de Ransomware-as-a-Service (RaaS), proposé par l’acteur de la menace gustavedore sur le forum cybercriminel russophone RAMP.
Saisie de l’infrastructure du ransomware LockBit via une opération policière internationale [13a] [13b] [13c] [13d] [13e] [13f]
Le 19 février 2024, une opération de police internationale a saisi les sites de publications de fuites de données du ransomware LockBit. Baptisée « Opération Cronos« , cette dernière a conduit à la saisie d’au moins 22 sites web hébergés sur TOR appartenant au groupe ransomware, 200 comptes de cryptomonnaies et 28 serveurs de ses affiliés. Les opérateurs de LockBit ont réagi à cette annonce indiquant que seuls ses sites utilisant PHP étaient affectés. Selon les informations partagées par le chercheur vx-underground, les forces de l’ordre auraient effectivement exploité la CVE-2023-2824 dans PHP afin de prendre le contrôle de l’infrastructure de LockBit.
État-nation
Exploitation de la CVE-2023-5631 dans Roundcube par l’APT russe TAG-70 dans une campagne d’espionnage ciblant l’Europe et notamment la France [14]
Le 16 février 2023, les chercheurs de Recorded Future ont révélé une campagne de spear-phishing exploitant la vulnérabilité référencée CVE-2023-5631 affectant des serveurs Roundcube par un mode opératoire APT associé à la Russie et à la Biélorussie, nommé TAG-70 (alias Wintern Vivern, TA473). Ce dernier a ciblé plus de 80 organisations opérant principalement dans le secteur public et militaire en Europe et notamment en France, à des fins d’espionnage. Dans la campagne observée, TAG-70 a distribué un e-mail de spear-phishing puis exploité la vulnérabilité pour obtenir un accès non autorisé à des serveurs de messagerie ciblés et enfin distribuer une payload malveillante. Cette dernière correspond au loader de deuxième étape utilisé dans une précédente attaque exploitant la CVE-2023-5631 par l’APT.
Des documents publiés sur GitHub révéleraient un spyware développé par une société privée au bénéfice du gouvernement chinois [15a] [15b] [15c] [15d] [15e]
Le 18 février 2024, des chercheurs ont identifié sur GitHub un dépôt contenant des documents qui appartiendraient à une entreprise privée partenaire du ministère de la Sécurité Publique chinois. Collectivement nommés I-S00N (aka Anxun), ces derniers détailleraient notamment le fonctionnement d’un spyware développé par cette société et potentiellement utilisé dans le cadre d’opérations d’espionnage à grande échelle. Il est toutefois important de préciser que l’individu à l’origine de cette fuite n’a pas encore été identifié et que la fiabilité du contenu partagé n’a pas été vérifiée. Certains chercheurs auraient néanmoins déjà relié certains des éléments techniques à des groupes APT réputés pour être associés à la Chine, tels que Poison Carp (Aka Evil Eye, Earth Empusa, Red Dev 16). Ce dernier avait été identifié par les chercheurs de Citizen Lab en septembre 2019 dans des opérations d’espionnage ayant visé des individus de la communauté tibétaine.
Meta identifie 8 fournisseurs de spyware commerciaux ainsi que des opérations d’influence [16a] [16b] [16c]
Le 14 février 2024, les chercheurs de Meta ont publié un rapport sur l’écosystème commercial des spyware et les mesures prises pour endiguer leur prolifération. Selon Meta, les fournisseurs de spyware s’appuient sur des structures privées sous-jacentes, complexifiant l’attribution des attaques et leur inscription dans un cadre juridique cohérent. La société Cy4Gate est notamment rattachée à ELT Group, une entité du secteur de la défense, mais détient par ailleurs l’entreprise RCS Labs, responsable du développement du spyware Hermit. En outre, la société Variston IT, connue pour avoir développé le framework Heliconia, s’est appuyée sur les firmes TrueL IT et Protect Electronic Systems. Les chercheurs ont également suivi l’activité liée à la société IPS Intelligence sur les réseaux sociaux, ciblant des personnes en Italie, aux États-Unis, à Malte, à Oman, en Turquie, en France, en Zambie, en Allemagne et au Mexique.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2024-1076
[2] CXA-2024-1081
[3] CXA-2024-1049
[4] CXA-2024-1054
[5] CXA-2024-1069
[6] CXA-2024-1017
[7] CXA-2024-1050
[8] CXA-2024-0967
[9] CXN-2024-1075
[10] CXN-2024-1004
[11] CXN-2024-1042
[12] CXN-2024-1037
[13] CXN-2024-1011
[14] CXN-2024-0970
[15] CXN-2024-0974
[16] CXN-2024-1013
