Résumé de la semaine 17 (du 22 au 28 avril)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Solarwinds pour SolarWinds Platform [1], par VMware pour Fusion [2a][2b][2c][2d][2e] et Aria Operations for Logs (VRealize Log Insight) [3], par Zyxel pour plusieurs de ses produits [4][5] et par Git [6].
Ces correctifs remédient à des dommages allant de la divulgation d’informations sensibles à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 5 codes d’exploitation ont été publiés. Un correctif est disponible pour 4 d’entre eux.

Prise de contrôle du système via une vulnérabilité au sein de ManageEngine ADManager Plus [7]

Ce code d’exploitation se présente sous la forme d’une requête HTTP. En envoyant une requête spécifiquement conçue sur l’endpoint API de la fonctionnalité de changement de mot de passe, un attaquant peut exécuter des commandes arbitraires sur le système. Le code d’exploitation fourni par le chercheur ouvre la calculatrice sur la machine impactée.

Manipulation de données et divulgation d’informations via une vulnérabilité au sein de Palo Alto Cortex XSOAR (PDV-2194) [8]

La vulnérabilité, référencée CVE-2022-0020, affecte l’interface web de Cortex XSOAR. L’exploitation de cette faille permet de réaliser une injection de code JavaScript (XSS).

Contournement de sécurité via une vulnérabilité au sein de Consul [9]

Ce code d’exploitation se présente sous la forme d’un template Nuclei. En exécutant la commande nuclei avec ce template, un attaquant est en mesure d’identifier un serveur Consul vulnérable à une faille SSRF.

Contournement de sécurité via une vulnérabilité au sein de Plesk Obsidian [10]

Ce code d’exploitation se présente sous la forme d’un template nuclei. En modifiant l’en-tête Host d’une requête HTTP à destination de /login.php, un attaquant peut provoquer une redirection vers un domaine malveillant. Aucun correctif de sécurité n’est prévu à l’heure actuelle.

Divulgation d’informations via une vulnérabilité au sein de Jenkins [11]

Ce code d’exploitation se présente sous la forme d’un template Nuclei. En exécutant ce template avec la commande nuclei, un attaquant est alors en mesure d’identifier des serveurs exposant la valeur d’un cookie HTTP Only sur la route /whoAmI/ ; cette vulnérabilité nécessite cependant d’être complétée par une autre faille (comme une faille XSS) afin d’être réellement exploitable.

Attaque

2 vulnérabilités impactant Papercut NG et MF sont activement exploitées [12a] [12b] [12c] [12d]

Les vulnérabilités CVE-2023-27350 et CVE-2023-27351 impactent le logiciel de gestion d’imprimantes et d’impression PaperCut MF/NG. Elles sont activement exploitées par des acteurs malveillants et une preuve de concept (PoC) a été publiée sur GitHub par des chercheurs.

Ransomware

Le ransomware Trigona ciblerait des serveurs MS-SQL exposés [13a] [13b]

Le CERT de la société de cybersécurité AhnLab aurait découvert l’installation du ransomware Trigona sur des serveurs MS-SQL vulnérables aux attaques par Brute Force. Observant cette campagne de compromission, les chercheurs de AhnLab auraient identifié un malware d’assemblage, surnommé CLR Shell.

Phishing

Utilisation abusive du service Google Ads par des acteurs de la menace pour distribuer des malwares [15a] [15b]

Dans un rapport publié le 17 avril 2023, des chercheurs en CTI de BlackBerry reviennent sur l’observation de deux campagnes d’attaques associées à des acteurs de la menace hispanophones.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2023-2239
[2] CXA-2023-2209
[3] CXA-2023-2146
[4] CXA-2023-2192
[5] CXA-2023-2194
[6] CXA-2023-2265
[7] CXA-2023-2152
[8] CXA-2023-2170
[9] CXA-2023-2145
[10] CXA-2023-2184
[11] CXA-2023-2172
[12] CXN-2023-2216
[13] CXN-2023-2171
[15] CXN-2023-2144

CERT-XMCO

Découvrir d'autres articles