Résumé de la semaine 50 (du 9 au 15 décembre 2023)

Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Fortinet pour FortiOS [1a][1b], par Gitlab [2], par Google pour Chrome [3], par SAP [4], par Apple pour iPad [5] et pour macOS [6], par GLPI [7], ainsi que par Microsoft dans le cadre du Patch Tuesday [8]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Codes d’exploitation

Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.

Prise de contrôle du système via une vulnérabilité au sein d’Apache Struts [9]

Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En utilisant ce programme sur un serveur vulnérable, un attaquant distant est alors en mesure d’accéder aux fichiers du système, voire d’exécuter du code arbitraire en téléversant un fichier malveillant.

Divulgation d’informations via une vulnérabilité au sein de Cacti [10a] [10b] [10c]

Ce code d’exploitation se présente sous la forme d’un template Nuclei. En exécutant ce template via a commande nuclei sur une liste d’hôtes, un attaquant est alors en mesure de détecter des instances de Cacti vulnérables à une désérialisation insécurisée permettant de divulguer des informations sensibles.

Vulnérabilité

Exploitation active de la CVE-2023-50164 dans Apache Struts 2 [11a] [11b] [11c] [11d] [11e] [11f]

Le 13 décembre 2023, le CERT-FR a publié un bulletin d’alerte suite à l’exploitation active d’une vulnérabilité dans le framework Apache Struts 2, utilisé dans diverses industries des secteurs privé et public pour rationaliser le développement d’applications web Java EE. Référencée sous le nom de CVE-2023-50164, cette vulnérabilité critique de type path traversal permet à un attaquant non authentifié d’exécuter du code arbitraire à distance (RCE).

Compromission de l’Active Directory via des attaques exploitant une erreur de configuration par défaut dans les serveurs DHCP de Microsoft [12a] [12b] [12c]

Le 7 décembre 2023, les chercheurs d’Akamai ont publié un rapport suite à l’identification d’une série d’attaques contre des domaines Microsoft Active Directory. Ces dernières pourraient permettre à des attaquants d’usurper des enregistrements DNS, de compromettre l’Active Directory et de voler tous les identifiants de connexion qu’il stocke. Ces attaques exploitent une erreur dans la configuration par défaut des serveurs Dynamic Host Configuration Protocol (DHCP) de Microsoft et ne requièrent pas d’informations d’identification.

Exploitation active de la CVE-2023-42793 dans JetBrains TeamCity par APT29 [13a] [13b] [13c] [13d] [13e] [13f] [13g] [13h]

Le 13 décembre 2023, l’agence de cybersécurité américaine (CISA) et Fortinet ont alerté sur l’exploitation active de la vulnérabilité CVE-2023-42793 visant le logiciel JetBrains TeamCity par le groupe APT29 (aka the Dukes, CozyBear, NOBELIUM, Midnight Blizzard), attribué à la Russie. Cette vulnérabilité permet un attaquant non authentifié disposant d’un accès HTTP(S) à un serveur TeamCity de réaliser une attaque par exécution de code à distance (RCE) et d’en prendre le contrôle.

Conflit Ukraine

Retour sur la compromission de l’opérateur mobile ukrainien Kyïvstar revendiquée par des hacktivistes pro-russes [14]

Le 12 décembre 2023, le principal opérateur mobile ukrainien, Kyïvstar, a annoncé sur Facebook avoir été la cible d’une cyberattaque entraînant une paralysie de son réseau et une destruction « partielle » de son infrastructure informatique. Comptant près de 24 millions d’abonnés pour ses services de téléphonie mobile, Kyïvstar a dénoncé un « acte de guerre » attribué à la Russie. Cette mise hors service aurait par ailleurs eu des répercussions sur d’autres infrastructures ukrainiennes, dont les guichets automatiques ATM et les terminaux des points de vente de la première banque ukrainienne, Privatbank.

Le service de renseignement militaire ukrainien a annoncé la conduite réussie d’une opération de sabotage contre le service fiscal de l’État russe [15a] [15b] [15c] [15d] [15e]

Le 12 décembre 2023, le service de renseignement militaire ukrainien (GUR) a annoncé la conduite réussie d’une opération de sabotage contre le service fiscal de l’État russe (FNS). La déclaration publique du GUR indique que 2 cyberattaques ont conduit à la « destruction complète » des fichiers de configuration qui, pendant des années, ont assuré le fonctionnement du système fiscal russe. En tout, les opérateurs ukrainiens auraient compromis plus de 2 300 serveurs situés en Russie et en Crimée, permettant de collecter les données fiscales russes. Le GUR estime que la paralysie du système fiscal russe persistera pendant au moins un mois, et qu’un rétablissement complet est improbable.

Des cyberattaques et opérations d’influence russes ciblent des entités ukrainiennes et des pays alliés [16a] [16b]

Le 7 décembre 2023, les chercheurs de Microsoft ont révélé plusieurs cyberattaques et opérations d’influence réalisées par des acteurs de la menace russe ayant pour cible des personnalités et entités originaires d’Ukraine ou de pays alliés. Les différentes campagnes observées de mars à octobre 2023 ont été effectuées dans le contexte de la guerre hybride menée par la Russie contre l’Ukraine afin de bloquer les avancées militaires ukrainiennes et de réduire le soutien international au pays.

Distribution de Remcos RAT et Meduza Stealer en Ukraine et en Pologne par le mode opératoire UAC-0050 [17a] [17b]

Le 7 décembre 2023, le CERT-Ukraine a publié un bulletin de sécurité suite à l’identification d’une campagne d’attaques distribuant le RAT Remcos et l’infostealer Meduza. Ciblant spécifiquement des entités gouvernementales en Pologne et en Ukraine, le mode opératoire actif depuis 2020 est surveillé par le CERT-UA sous le nom d’UAC-0050 et a déjà été observé en novembre dernier. Pour distribuer leurs leurres de phishing, les opérateurs APT ont exploité des comptes légitimes compromis appartenant aux personnels d’une des autorités judiciaires d’Ukraine. Le mode opératoire UAC-0050 a aussi utilisé SmartAssembly, un programme visant à obfusquer la payload du RAT Remcos.

Etat Nation

L’APT nord-coréen Lazarus exploite la vulnérabilité Log4Shell afin de distribuer 3 nouveaux malware écrits en Dlang [18a] [18b]

Le 11 décembre 2023, les chercheurs de Cisco Talos, ont découvert une campagne, appelée Blacksmith, réalisé par le mode opératoire de type APT Lazarus, associé à la Corée du Nord, ayant ciblé plusieurs entreprises manufacturières, agricoles et de sécurité physique dans le monde. Les attaquants ont exploité la CVE-2021-44228, alias Log4Shell, afin de distribuer 3 nouveaux malware écrits en Dlang, comprenant les chevaux de Troie d’accès à distance (RAT) NineRAT, DLRAT et le downloader BottomLoader.

APT28 cible 13 pays dans une campagne de phishing utilisant le conflit israélo-palestinien comme leurre [19a] [19b]

Le 8 décembre 2023, les analystes de Security Intelligence ont découvert une nouvelle campagne du groupe attribué à la Russie APT28 (autrement appelé ITG05, Fancy Bear, Forest Blizzard ou UAC-028) visant 13 pays dans le but de déployer la backdoor Headlace. Le thème de la campagne de phishing est centré autour du conflit israélo-palestinien avec un focus sur des personnes liées à des organisations non-gouvernementales (aides humanitaires) et gouvernementales.

 
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.


Références portail XMCO

[1] CXA-2023-6902
[2] CXA-2023-6914
[3] CXA-2023-6879
[4] CXA-2023-6886
[5] CXA-2023-6836
[6] CXA-2023-6841
[7] CXA-2023-6903
[8] CXN-2023-6885
[9] CXA-2023-6909
[10] CXA-2023-6924
[11] CXN-2023-6913
[12] CXN-2023-6789
[13] CXN-2023-6912
[14] CXN-2023-6953
[15] CXN-2023-6888
[16] CXN-2023-6790
[17] CXN-2023-6806
[18] CXN-2023-6834
[19] CXN-2023-6875

CERT-XMCO

Découvrir d'autres articles