Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Palo Alto pour GlobalProtect [1], par Fortinet pour FortiClientLinux [2], par Microsoft dans le cadre du Patch Tuesday [3], par Google pour Chrome [4a][4b], par SAP [5], par Zoom [6a][6b][6c], par GitLab [7] et par WordPress [8]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, aucun code d’exploitation n’a été publié.
Vulnérabilité
La CVE-2024-24576 affectant Rust permet à un attaquant distant d’exécuter des commandes shell sur Windows [9a] [9b] [9c] [9d]
Le 9 avril 2024, les développeurs de la bibliothèque Rust ont alerté sur une vulnérabilité critique (CVSS:3.1 : 10) permettant d’exécuter des commandes shell arbitraires. Référencée CVE-2024-24576 (aka BatBadBut) et corrigée dans la version 1.77.2, elle n’affecterait cependant que les implémentations Windows de Rust. La vulnérabilité provient d’un manque de contrôle sur les entrées utilisateurs au sein de cmd.exe, qui permet notamment d’exécuter des fichiers batch (avec les extensions cmd et bat). Un attaquant distant et non authentifié pouvait utiliser des arguments non fiables lors de l’invocation de fichiers batch en utilisant l’API Command et ainsi contourner la logique d’échappement afin de prendre le contrôle du système affecté.
Détection d’une backdoor sur 92 000 instances D-Link [10a] [10b]
Le 6 avril 2024, le chercheur Netsecfish a détecté une vulnérabilité de type injection de commande arbitraire dans plusieurs modèles de périphériques de stockage en réseau (NAS) D-Link en fin de vie permettant d’utiliser un compte backdoor codée en dur dans ces modèles. Référencée sous le nom de CVE-2024-3273, la vulnérabilité provient du script « /cgi-bin/nas_sharing.cgi », qui a un impact sur son gestionnaire de requêtes HTTP GET. Bien exploitée, cette dernière pourrait être utilisée par des attaquants pour exécuter des commandes arbitraires sur le système, pouvant conduire à un accès non autorisé à des informations sensibles, à la modification de la configuration du système ou à un déni de service.
État-nation
Apple alerte ses utilisateurs d’une campagne de distribution de spyware dans 92 pays [11a] [11b] [11c] [11d]
Le 10 avril 2024, Apple a alerté ses utilisateurs dans 92 pays, dont l’Inde, de leur potentielle compromission par des attaques visant à distribuer des spyware. Contrairement aux précédentes notifications de ce type émises par Apple, cette nouvelle occurrence ne mentionne cependant plus l’implication de groupes d’attaquants de type APT, sponsorisés par des États. Selon Reuters, qui cite une source proche du dossier, cette évolution de la communication d’Apple s’inscrirait dans le cadre de pressions exercées par le gouvernement indien visant à retirer la mention d’attaquants sponsorisés par des États.
Détection de nouvelles itérations du malware Gamma associé au groupe russe Hive0051 [12a] [12b]
Le 9 avril 2024, les chercheurs d’IBM ont publié un bulletin de sécurité sur une campagne d’attaques présentant de nouvelles itérations du malware Gamma, associé au mode opératoire sophistiqué Hive0051 (aka UAC-0010, Gamaredon). La victimologie observée lors de cette campagne d’attaques se concentre sur des entités militaires, des postes de police et des centres d’entrainement situés en Ukraine (Kherson, Dnipro, Lviv, Kyiv et Zaporizhzhia) et semble motivée par la collecte de renseignements stratégiques. La majorité des documents leurres distribués par Hive0051 imitent des rapports administratifs ukrainiens afin de susciter une interaction avec l’utilisateur ciblé.
Europe
Campagne de malvertising exploitant des logiciels d’IA pour distribuer des infostealers [13a] [13b]
Dans un rapport publié le 4 avril 2024, les chercheurs de Bitdefender ont mis au jour une campagne de phishing via des pages Facebook invitant à télécharger de faux logiciels d’intelligence artificielle (IA). La majorité de ces pages prétend offrir un aperçu des nouvelles fonctionnalités de services d’IA tels que MidJourney, SORA, ChatGPT-5, et DALL-E. Certaines de ces pages atteignent plus d’un million d’abonnés, ce qui participe à l’instauration d’une crédibilité. Une fois que la victime installe ces logiciels, des infostealers sont à la place exécutés comme Rilide, Vidar, IceRAT ou encore Nova.
Des organisations en Allemagne ciblées par une campagne de phishing distribuant l’infostealer Rhadamanthys [14]
Le 10 avril 2024, les chercheurs de Proofpoint ont mis au jour une campagne de phishing ciblant des organisations en Allemagne pour distribuer l’infostealer Rhadamanthys. Cette dernière est opérée par TA547, un groupe cybercriminel considéré comme étant un courtier en accès initial (IAB – Initial Access Brokers) au ciblage opportuniste, motivé par le gain financier. Les e-mails de phishing usurpent la société allemande Metro et prétendent fournir des factures en pièce jointe au format ZIP. En réalité, ces documents contiennent un fichier LNK qui, une fois exécuté, lance un script PowerShell qui débouche sur le chargement en mémoire de la payload du malware Rhadamanthys.
Ransomware
Le groupe Muddled Libra cible des environnements cloud et des SaaS à des fins d’extorsion [15]
Le 9 avril 2024, les chercheurs de Palo Alto ont publié un rapport sur le mode opératoire Muddled Libra, soupçonné d’être affilié du programme de RaaS BlackCat/ALPHV et ciblant activement les applications de type Software-as-a-Service (SaaS) et les fournisseurs d’environnements cloud (CSP) pour faciliter l’exfiltration des données à des fins ultérieures d’extorsion. Durant la phase de reconnaissance initiale, l’opérateur de Muddled Libra a ciblé les employés possédant des droits administratifs et a tenté d’obtenir l’accès à leur compte par phishing.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2024-2128
[2] CXA-2024-2035
[3] CXA-2024-2069
[4] CXA-2024-2097
[5] CXA-2024-2026
[6] CXA-2024-2064
[7] CXA-2024-2086
[8] CXA-2024-2053
[9] CXN-2024-2065
[10] CXN-2024-1997
[11] CXN-2024-2130
[12] CXN-2024-2043
[13] CXN-2024-2014
[14] CXN-2024-2099
[15] CXN-2024-2103
