Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft pour Edge [1], par Google pour Chrome [2a][2b], par Ivanti pour Connect Secure (Ex – Pulse Connect Secure) [3a][3b], par Mozilla pour Firefox [4] et par Fortinet pour FortiWLM [5]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 4 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.
Élévation de privilèges via une vulnérabilité au sein du noyau Linux [6]
Ce code d’exploitation se présente sous la forme d’un programme écrit en C. En exécutant ce programme localement sur un système vulnérable, un attaquant est en mesure de manipuler de la mémoire après sa désallocation (use after free), afin d’élever ses privilèges.
Prise de contrôle du système via une vulnérabilité dans FortiWLM [7]
Ce code d’exploitation se présente sous la forme d’un template nuclei. En exécutant ce template sur une instance FortiWLM distante, un attaquant est en mesure de déterminer si l’équipement est vulnérable, puis d’exécuter des commandes sur le système hôte (OS command injection).
Divulgation d’informations via une vulnérabilité au sein du framework .NET [8]
Ce code d’exploitation se présente sous la forme d’un template Nuclei. En exécutant ce template sur une liste d’hôtes, un attaquant est en mesure d’identifier des instances vulnérables de .NET.
Divulgation d’informations via une vulnérabilité au sein d’Asterisk [9]
Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En l’exécutant, un attaquant authentifié peut envoyer des requêtes malveillantes afin d’obtenir le contenu du fichier /etc/hosts.
Vulnérabilité
Découverte d’une backdoor dans l’utilitaire Linux XZ (CVE-2024-3904) [10]
Le 29 mars 2024, RedHat a alerté sur la compromission de la bibliothèque de compression de données XZ Utils (liblzma) utilisée dans de nombreuses distributions Linux. Une backdoor avait été injectée dans le projet open-source sur GitHub par un contributeur réputé, Jia Tan (aka JiaT75), dans le courant du mois de février dernier. La référence CVE-2024-3094 (CVSS:3.1 de 10) a été attribuée à cette vulnérabilité. Lourdement obfusquée, la backdoor était déclenchée lors d’une connexion SSH sur les systèmes compromis, probablement afin de contourner l’authentification et prendre le contrôle des systèmes exposés sur Internet. Si elle n’avait pas été détectée à temps, cette compromission aurait permis à des attaquants de conduire des attaques de type supply-chain à grande échelle. Au vu de la complexité du code malveillant et la temporalité de l’attaque, dont les premières traces remontent à 2021, il est hautement probable qu’elle ait été opérée par un groupe APT sponsorisé par un État.
Continuation Flood : une attaque par déni de service affectant les implémentations HTTP/2 [11a] [11b] [11c]
Le 3 avril 2024, le chercheur Bartek Nowotarski a alerté sur une nouvelle attaque HTTP/2, permettant de mener des attaques DDoS sur les produits impactés. Baptisée Continuation Flood, elle constituerait un risque plus important que l’attaque Rapid Reset du même type (CVE-2023-44497), activement exploitée. L’attaque Continuation Flood est due à une gestion incorrecte des HEADERS et de plusieurs trames CONTINUATION au sein des implémentations HTTP/2. Un attaquant capable d’envoyer des paquets à un serveur cible peut alors envoyer un flux de trames CONTINUATION qui seront traitées par le serveur, afin de provoquer un crash de mémoire et causer un déni de service. Selon le chercheur, le risque associé à cette attaque est d’autant plus important que ces requêtes ne sont pas visibles dans les fichiers de journalisation HTTP, ce qui rend leur détection plus complexe.
Ransomware
Le groupe de ransomware Hunters International revendique la compromission d’Intersport [12]
Le 3 avril 2024, le groupe de ransomware Hunters International a revendiqué la compromission d’Intersport et l’exfiltration de plus de 50 Go de données qui comprendraient notamment des données personnelles d’employés et de clients. Le groupe de ransomware indique sur son site que les données seront publiées le 5 avril prochain. Le ransomware Hunters International présente néanmoins, avec une confiance modérée, de fortes similitudes avec le ransomware Hive, qui avait déjà revendiqué la compromission du groupe français en décembre 2022. Il est donc probable que cette nouvelle revendication ne soit en réalité qu’une récupération de cette première compromission et que les données qui seront publiées dans les prochains jours soient les mêmes qu’en 2022.
Le ransomware Nokoyawa distribué dans une campagne de phishing exploitant des fichiers OneNote [13]
Dans un rapport publié le 1er avril 2024, les chercheurs de DFIR Report ont analysé une attaque opérée fin février 2023 par le groupe de ransomware Nokoyawa. Les acteurs de la menace ont distribué des mails de phishing contenant un fichier OneNote malveillant qui, une fois ouvert, exécute un script PowerShell qui télécharge et installe le loader IcedID. IcedID va alors se connecter aux différents serveurs de commande et de contrôle (C2) et établir sa persistance au sein du système. Des tentatives de découverte de l’environnement et du réseau vont ensuite être effectuées, avec les commandes net, nltest, nslookup et systeminfo. Durant cette chaîne d’attaque, plusieurs outils vont aussi être installés, notamment des outils d’Active Directory comme ADFind, de contrôle à distance comme AnyDesk et Cobalt Strike, des clients FTP comme FileZilla ou encore le gestionnaire de processus Process Hacker.
Cybercriminel
L’infostealer Rhadamanthys est distribué via des publicités Google Ads usurpant des logiciels de travail collaboratif [14a] [14b]
Le 1er avril 2024, les chercheurs d’ASEC ont alerté sur une campagne de malvertising distribuant l’infostealer Rhadamanthys via des publicités Google Ads. Ces dernières imitent les logiciels de travail collaboratif Slack, Trello, Notion et GoodNotes afin de piéger les utilisateurs, et utilisent des techniques de redirection d’URLs afin d’échapper à la détection. Une fois ouvertes par les victimes, les publicités Google Ads les redirigent vers un site web les encourageant à télécharger les installeurs de logiciels malveillants. Après avoir été exécutés, ces derniers établissent une communication avec des serveurs de commande et de contrôle (C2) hébergeant la payload du malware Rhadamanthys.
Détection d’un cluster d’applications Android malveillantes servant de nœud proxys [15a] [15b] [15c]
Le 26 mars 2024, les chercheurs de Human Security ont publié un rapport suite à la détection d’un cluster de 28 applications Android malveillantes déguisées en VPN, disponibles sur le Google Play Store et permettant de transformer les appareils mobiles compromis en nœud proxy via une bibliothèque Golang. Baptisée PROXYLIB, cette campagne a pour objectif de créer un réseau de proxys résidentiels, généralement utilisés par des acteurs de la menace afin de camoufler leurs activités malveillantes au sein de trafic légitime, ou de mener des attaques massives de type brute force ou de phishing.
PyPi suspend la création de nouveaux utilisateurs en raison d’une campagne de distribution de malware via des paquets Python typosquattés [16a] [16b] [16c] [16d] [16e]
Le 28 mars 2024, PyPi a annoncé avoir temporairement suspendu la création de comptes utilisateurs ainsi que de nouveaux projets, en raison d’une campagne de distribution de malware reposant sur des paquets Python malveillants qui imitaient des paquets légitimes. En parallèle, les chercheurs de Checkmarx, CheckPoint et Mend.io ont publié des rapports suite à la détection de plusieurs centaines de paquets PyPi malveillants, qu’il rattachent au même groupe d’attaquants.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2024-1965
[2] CXA-2024-1915
[3] CXA-2024-1945
[4] CXA-2024-1942
[5] CXA-2024-1894
[6] CXA-2024-1876
[7] CXA-2024-1910
[8] CXA-2024-1888
[9] CXA-2024-1871
[10] CXN-2024-1880
[11] CXN-2024-1966
[12] CXN-2024-1941
[13] CXN-2024-1877
[14] CXN-2024-1943
[15] CXN-2024-1908
[16] CXN-2024-1881
