Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Ivanti [1], par Google pour Chrome [2a][2b], par F5 pour BIG-IP [3], par Apache pour OpenOffice [4a][4b][4c][4d][4e] et pour Postfix [5].
Ces correctifs remédient à des dommages allant de la divulgation d’informations sensibles à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, aucun code d’exploitation n’a été publié.
Vulnérabilité
Exploitation d’une vulnérabilité 0-day référencée CVE-2023-51467 affectant Apache OFBiz [6a] [6b]
Le 26 décembre 2023, les chercheurs de SonicWall ont révélé l’exploitation d’une vulnérabilité 0-day affectant Apache OFBiz, un système ERP (Enterprise Resource Planning) open source largement utilisé dans la chaîne d’approvisionnement logicielle. Référencée CVE-2023-51467, la faille est un contournement de la vulnérabilité CVE-2023-49070 corrigée par Apache le 5 décembre 2023 ayant déjà été largement exploitée par des acteurs de la menace dans des attaques.
Exploitation par des infostealers d’une vulnérabilité visant le protocole de sécurité OAuth2 de Google [7a] [7b]
Le 29 décembre 2023, les chercheurs de CloudSEK ont publié un rapport sur une vulnérabilité critique de type 0-day qui permet la génération de cookies Google par la manipulation de token. Initialement découverte en octobre 2023 et partagée sur Telegram, cette dernière permet de maintenir la persistance sur un compte Google compromis et à ses services (Gmail, Drive), même si la victime modifie son mot de passe par la suite.
Cybercriminalité
Publication d’un PoC pour une technique de DLL Search Order Hijacking [8a] [8b]
Le 1er janvier 2024, les chercheurs de Security Joes ont révélé une preuve d’exploitation (PoC) sur une nouvelle technique de détournement d’ordre de recherche de bibliothèque de liens dynamiques (DLL Search Order Hijacking). Cette dernière permet de contourner les mécanismes de sécurité et d’exécuter du code malveillant sur les systèmes exécutant WinSxS, un composant Windows utilisé pour la personnalisation et la mise à jour du système d’exploitation.
Publication d’un déchiffreur pour le ransomware Black Basta [9a] [9b] [9c]
Le 30 décembre 2023, des chercheurs de Security Research Labs (SRLabs) ont développé un outil pour déchiffrer le ransomware Black Basta. Cet outil permet de récupérer gratuitement les fichiers compromis par les opérateurs de Black Basta depuis novembre 2022. Néanmoins, les journalistes de BleepingComputer ont appris que les opérateurs avaient depuis corrigé le bug au sein de leur routine de chiffrement, empêchant les nouvelles victimes du ransomware de récupérer leurs fichiers.
Hacktiviste
Le groupe hacktiviste pro-iranien Homeland Justice revendique une campagne d’attaques contre l’Albanie [10a] [10b] [10c] [10d] [10e]
Le 25 décembre 2023, l’Autorité nationale pour la certification électronique et la cybersécurité (AKCESK) a annoncé publiquement l’identification d’une campagne d’attaques ciblant l’Assemblée de la République albanaise et la société de télécommunications One Albania. Dans son communiqué, l’agence de cybersécurité albanaise a indiqué qu’elle concentrait ses efforts sur l’identification de la source des attaques, la récupération des systèmes compromis et la mise en œuvre de mesures de sécurité.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2024-0076
[2] CXA-2024-0059
[3] CXA-2023-7222
[4] CXA-2024-0018
[5] CXA-2024-0020
[6] CXN-2024-0045
[7] CXN-2024-0011
[8] CXN-2024-0010
[9] CXN-2024-0017
[10] CXN-2024-0014
