Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Google pour Chrome [1a][1b], par Ivanti pour Connect Secure (ex – Pulse Connect Secure) [2], par WordPress [3a][3b], par Microsoft pour Edge [4] et par Oracle pour OpenJDK [5]. Ces correctifs remédient à des dommages allant de la divulgation d’informations sensibles à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour 2 d’entre eux.
Divulgation d’informations via une vulnérabilité au sein de Jenkins [6]
Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exécutant ce programme localement, un attaquant est en mesure de déterminer si un serveur est sujet ou non à la vulnérabilité. En cas de vulnérabilité avérée, le programme permet de l’exploiter pour accéder au contenu de fichiers arbitraires sur la cible.
Manipulation de données et divulgation d’informations via une vulnérabilité au sein d’Adobe ColdFusion [7]
Ce code d’exploitation se présente sous la forme d’un template nuclei. En utilisant ce template sur un hôte via la commande nuclei, un attaquant distant peut déclencher des XSS sur différentes pages vulnérables de l’application.
Ransomware
La division chargée du développement durable chez Schneider Electric a été compromise par un ransomware [8a] [8b] [8c]
Le 29 janvier 2024, la division chargée du développement durable de Schneider Electric a annoncé publiquement sa compromission par un ransomware. D’après le communiqué de la multinationale française, la réponse à incident aurait débuté le 17 janvier 2024. Les acteurs de la menace auraient exfiltré des téraoctets de données de l’entreprise et menacent désormais de les divulguer si leur demande de rançon n’est pas payée.
Les opérateurs de Trigona utilisent le ransomware Mimic pour compromettre des serveurs MSSQL [9]
Le 30 janvier 2024, les chercheurs de l’ASEC ont identifié une nouvelle attaque des opérateurs de Trigona utilisant le ransomware Mimic pour cibler des serveurs MSSQL mal sécurisés. Le vecteur de compromission initiale a été obtenu sur les serveurs grâce à des attaques par dictionnaire et/ou par brute force. Le lien entre les deux ransomwares a pu être établi par l’identification de plusieurs chevauchements de tactiques, techniques et procédures (TTPs), employées lors de précédentes campagnes de Trigona : compromission de serveurs MSSQL ; exploitation de l’outil Bulk Copy Program (BCP) pour installer les malwares ; et utilisation de chaînes de caractères et de chemins d’accès similaires.
Vulnérabilité
Élévation de privilèges dans les distributions Linux via une vulnérabilité au sein de la bibliothèque GNU C [10a] [10b] [10c]
Le 30 janvier 2024, les chercheurs de Qualys ont révélé 4 vulnérabilités au sein de la bibliothèque C de GNU (glibc). La plus critique, référencée CVE-2023-6246, permet à un attaquant local et disposant d’un faible niveau de privilèges d’obtenir les privilèges d’administration (root) dans les installations par défaut des principales distributions Linux. La CVE-2023-6246 était due à un dépassement de tampon sur le tas (heap-based buffer overflow). Elle a été identifiée dans la fonction vsyslog_internal() de la bibliothèque GNU C, affectant syslog() et vsyslog().
Le groupe ransomware Akira exploite la CVE-2020-3259 affectant Cisco Anyconnect [11]
Le 29 janvier 2024, les chercheurs de Truesec ont révélé l’exploitation d’une vulnérabilité datant de 2020 affectant Cisco Anyconnect par le groupe Ransomware Akira. Référencée CVE-2020-3259, elle permet à un attaquant distant non authentifié d’extraire le contenu de la mémoire d’un appareil. La vulnérabilité a été rendue publique par la société russe Positive Technologies. Cette dernière a fait l’objet de sanctions américaines par le trésor américain en 2021 pour ses liens avec les services de renseignement russes (FSB). Le groupe ransomware a exploité cette faille comme vecteur d’accès initial pour récupérer les noms d’utilisateur et les mots de passe des produits vulnérables.
Etat Nation
Neutralisation de KV-botnet du groupe APT chinois Volt Typhoon par le FBI [12a] [12b]
Le 31 janvier 2024, le directeur du FBI, Christopher Wray, a averti les législateurs américains aux sujets de la menace globale posée par la Chine et ses activités de collecte de renseignements stratégiques via le vecteur cyber à l’encontre des infrastructures critiques américaines. Christopher Wray a indiqué que le mode opératoire APT Volt Typhoon (aka Bronze Silhouette) avait ciblé des usines de traitement d’eau, le réseau électrique, les pipelines pétroliers et gaziers, ainsi que les systèmes de transport des États-Unis.
Campagne d’espionnage du groupe russe APT28 ciblant des organisations gouvernementales en Europe de l’Est [13]
Le 29 janvier 2024, les chercheurs de HarfangLab ont publié un rapport sur la campagne d’espionnage d’APT28 (aka ITG05, Fancy Bear, Forest Blizzard ou UAC-028) ciblant par phishing diverses organisations gouvernementales en Ukraine, en Pologne et en Azerbaïdjan en fin d’année 2023. Lors de cette campagne, les opérateurs ont incité leurs cibles à visiter une page HTML menant à la distribution et l’exécution de code malveillant, dont : la backdoor MASEPIE développée en Python, la backdoor OCEANMAP codée en C#, le script PowerShell STEELHOOK, utilisé pour collecter les données des navigateurs Internet, et le logiciel open source Impacket pour la connexion avec les serveurs de commande et de contrôle.
Conflit Ukraine
Le mode opératoire UAC-0027 compromet 2000 instances en Ukraine via le malware DIRTYMOE [14a] [14b] [14c]
Le 31 janvier 2024, les spécialistes de réponse à incident du CERT-UA ont publié un communiqué suite à une campagne d’attaques du mode opératoire UAC-0027, infectant plus de 2000 instances en Ukraine avec le malware DIRTYMOE (aka PURPLEFOX). DIRTYMOE est un remote access trojan (RAT) connu depuis plus de cinq ans. Essentiellement utilisé dans le cadre d’attaques par déni de service distribué (DDoS) et le cryptomining, le malware a cette fois-ci été exploité à des fins de collecte de renseignements stratégiques.
Le ministère de la Défense ukrainien confirme l’opération de sabotage de Planeta par les hacktivistes de BO Team [15a] [15b]
Le 26 janvier 2024, La Direction principale du renseignement militaire ukrainien a annoncé la compromission du Centre russe d’hydrométéorologie spatiale Planeta (en russe: Планета) par le groupe hacktiviste pro-ukrainien BO Team, effaçant par la même occasion près de 2 pétaoctets de données. Planeta est un centre de recherche d’État qui utilise des données satellitaires spatiales et des sources terrestres pour fournir des informations et des prévisions sur la météo, le climat, les catastrophes naturelles, les phénomènes extrêmes et la surveillance volcanique. L’agence est affiliée à Roscosmos, l’agence spatiale russe, collaborant avec les forces armées russes. Selon la déclaration officielle du GUR ukrainien, les hacktivistes du groupe BO Team auraient détruit 280 serveurs, entrainant une perte financière de 10 millions de dollars et impactant le fonctionnement des clusters de supercalculateurs ainsi que des années de recherche et développement.
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2024-0574
[2] CXA-2024-0583
[3] CXA-2024-0579
[4] CXA-2024-0585
[5] CXA-2024-0530
[6] CXA-2024-0527
[7] CXA-2024-0552
[8] CXN-2024-0551
[9] CXN-2024-0572
[10] CXN-2024-0577
[11] CXN-2024-0578
[12] CXN-2024-0602
[13] CXN-2024-0558
[14] CXN-2024-0601
[15] CXN-2024-0536
