Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Gitlab [1], pour Firefox [2], pour Thunderbird [3] et par Microsoft pour Edge [4].
Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.
Contournement de sécurité via une vulnérabilité au sein d’Arcserve UDP [5]
Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme, un attaquant est alors en mesure de contourner l’authentification sur une instance d’Arcserve UDP.
Divulgation d’informations via une vulnérabilité au sein de Citrix ADC et Citrix Gateway [6]
L’exploitation de cette vulnérabilité permettait de mener différentes attaques : récupération du cookie de session, modification de l’apparence du site web ciblé dans le contexte du navigateur, voire redirection de l’utilisateur vers un site malveillant (par exemple, un site de phishing en affichant un faux formulaire destiné à voler identifiants et mots de passe).
Conflit Ukraine
Campagne d’attaque d’Anonymous Sudan contre le secteur hospitalier français [7a] [7b] [7c] [7d] [7e] [7f] [7g] [7h] [7i]
Le collectif hacktiviste Anonymous Sudan a revendiqué sur Telegram une série d’attaques DDoS ciblant le secteur hospitalier français vendredi 30 juin 2023. Les opérateurs du groupe Anonymous Sudan avaient déjà été observés le 16 mars 2023, lors d’attaques ciblant le secteur hospitalier français en marge du conflit en Ukraine. D’après les investigations du CERT-XMCO sur leur canal Telegram, la force du groupe ne résiderait pas dans la sophistication de ses attaques, mais plutôt dans sa capacité à les coordonner à grande échelle.
Campagne d’attaques menée par les partisans de la SMP WAGNER [8a] [8b] [8c] [8d] [8e] [8f]
Une campagne d’attaques par ransomware récemment observée ferait la promotion des messages portés par WAGNER dans une note de rançon. La société militaire privée russe n’a pas officiellement revendiqué la responsabilité de cette souche de malware. Ce mercredi 28 juin, des partisans d’Evgueny Prigojine auraient compromis le réseau satellitaire de l’opérateur Dozor Teleport (AS41942), utilisé par le ministère russe de la Défense, les navires de la Flotte du Nord, le Service fédéral de sécurité (FSB), Rosatom et d’autres organisations du secteur de l’énergie. Ces récentes attaques viennent confirmer l’hypothèse émise par le CERT-XMCO quant aux potentielles ripostes apportées par WAGNER aux attaques par DDoS menées par les affiliés du Kremlin.
Ransomware
Outil de déchiffrement proposé par Avast contre le ransomware Akira [9a] [9b] [9c] [9d] [9e]
Le jeudi 29 juin 2023, Avast a publié un outil de déchiffrement gratuit pour les entreprises victimes d’une attaque du ransomware Akira, leur permettant de récupérer leurs fichiers compromis. Le déchiffreur prendrait également en charge l’option de sauvegarde des fichiers chiffrés, recommandé par Avast dans le cas où le déchiffrement serait dysfonctionnel.
Fuite d’informations
Ministère de la Justice français : divulgation de données personnelles par le groupe hacktiviste KromSec [10a] [10b] [10c]
Le groupe hacktiviste KromSec a publié le lundi 3 juillet 2023 sur sa chaine Twitter une liste contenant les informations personnelles de 1 122 magistrats et avocats, en réponse aux émeutes en France ayant suivies la mort de Nahel M. Le fichier comprend des noms associés avec des données personnelles (adresses mail, IBAN, organisme professionnel de rattachement). Dans un message Telegram, les opérateurs du groupe prétendent avoir récupéré ces données à partir d’une vulnérabilité exploitée au sein du logiciel Drupal sans préciser la CVE associée.
International
Des attaques associées à RedDelta cibleraient diverses instances étatiques en Europe [11]
Les chercheurs de CheckPoint ont observé une campagne d’attaques associée au mode opératoire RedDelta ciblant divers ambassades et ministères des Affaires étrangères en Europe. La campagne a été baptisée SmugX en raison de l’utilisation par RedDelta de la technique HTML Summing pour déployer le trojan PlugX, largement exploité lors de précédentes campagnes ciblant Taïwan. D’après CheckPoint, la campagne présenterait des similitudes avec d’autres activités menées par les modes opératoires APT RedDelta et Mustang Panda, liés à la Chine.
Cybercriminalité
Similitudes de code entre Aurora et le nouvel infostealer Meduza [12a] [12b] [12c]
Différents acteurs de la menace russophones surveillés par le CERT-XMCO ont pointé du doigt les ressemblances existantes entre Meduza Stealer et Aurora Stealer. Bien que ces deux malwares soient écrits dans des langages de programmation différents (respectivement C++ et Go), les similitudes d’artefacts dans leur code laissent supposer l’existence d’une coordination entre les développeurs d’Aurora et Meduza. Or, les opérateurs d’Aurora Stealer sont soupçonnés de scam à l’encontre de leurs utilisateurs, après avoir subitement arrêté la commercialisation du malware et fermé leurs serveurs.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-3548
[2] CXA-2023-3527
[3] CXA-2023-3520
[4] CXA-2023-3478
[5] CXA-2023-3534
[6] CXA-2023-3504
[7] CXN-2023-3514
[8] CXN-2023-3488
[9] CXN-2023-3489
[10] CXN-2023-3509
[11] CXN-2023-3512
[12] CXN-2023-3532