Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement .Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Ivanti pour Avalanche [1], par Google pour Chrome [2a][2b], par Adobe pour Adobe Experience Manager [3] et par Apple pour macOS [4]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Un code d’exploitation a été publié cette semaine. Un correctif est disponible.
Élévation de privilèges via une vulnérabilité au sein de Skype [5]
Ce code d’exploitation se présente sous la forme d’un template nuclei. En utilisant ce template sur un hôte via la commande nuclei, un attaquant distant peut identifier une instance Skype vulnérable.
Vulnérabilité
Distribution du RAT Agent Tesla via la CVE-2017-11882 dans Microsoft Office [6a] [6b] [6c]
Le 19 décembre 2023, les chercheurs de Zscaler ont publié un rapport sur l’exploitation de la CVE-2017-11882 dans Microsoft Office par des acteurs de la menace distribuant le Remote Access Trojan (RAT) Agent Tesla. Découvert pour la première fois en 2014, ce Trojan (RAT) codé en .NET dispose de fonctionnalités avancées de keylogging, de screenshoting, d’extraction des mots de passe stockés à partir de différents navigateurs web et du clipboard. La vulnérabilité CVE-2017-11882 provient d’une erreur lors du traitement d’objets en mémoire dans Microsoft Office.
Le groupe 8220 exploite la CVE-2020-14883 dans Oracle WebLogic Server pour miner des cryptomonnaies [7a] [7b]
Dans un rapport publié le 14 décembre 2023, les chercheurs d’Imperva ont alerté sur l’exploitation de la CVE-2020-14883 dans Oracle WebLogic Server par le groupe 8220 afin de miner des cryptomonnaies. Cette dernière permet à des attaquants distants et non authentifiés d’exécuter du code sur les instances vulnérables. Elle est communément exploitée conjointement avec l’utilisation d’identifiants de connexion fuités ou avec l’exploitation de la CVE-2020-14882, qui permet de contourner les mécanismes d’authentification d’Oracle WebLogic Server.
Distribution du botnet InfectedSlurs via l’exploitation de la CVE-2023-47565 dans les produits QNAP et de la CVE-2023-49897 dans les routeurs FXC [8a] [8b] [8c]
Dans deux rapports publiés les 6 et 14 décembre 2023, les chercheurs d’Akamai ont identifié la distribution du botnet InfectedSlurs via l’exploitation active de la CVE-2023-47565 affectant les Networks Video Recorder (NVR) de QNAP ainsi que via la CVE-2023-49897 dans les routeurs Wi-Fi produits par la firme japonaise FXC. Ce botnet a la capacité de conduire des attaques par déni de service distribué (DDoS) à partir des appareils compromis. Ces rapports font suite à une première publication d’Akamai en date du 21 novembre dernier qui alertait sur l’exploitation de deux vulnérabilités 0-day pour distribuer InfectedSlurs, une variante du botnet Mirai. Les deux éditeurs ont depuis apporté des correctifs aux produits affectés les 6 et 7 décembre respectivement.
Télécommunications
ANSSI : État de la menace sur le secteur des télécommunications [9a] [9b]
Le 18 décembre 2023, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié son état de la menace sur le secteur des télécommunications. Le rapport met en évidence la diversité des acteurs ciblant ce secteur d’activités qualifié de « supercritique » en raison des conséquences immédiates et systémiques qu’engendrerait un incident l’affectant. La préoccupation principale des organisations du secteur des télécommunications reste la disponibilité de leurs services, parfois au détriment de la confidentialité des données et de l’intégrité des systèmes d’information. Au cours des 3 dernières années, l’ANSSI a été informée de plus de 150 événements de sécurité affectant des entités du secteur des télécommunications.
Cybercriminalité
Les autorités américaines saisissent l’infrastructure du ransomware ALPHV/BlackCat [10a] [10b] [10c] [10d]
Le 19 décembre 2023, le département de la Justice américain a annoncé la saisie des infrastructures du groupe de ransomware ALPHV/BlackCat (aka Noberus) par le FBI, qui a également développé un outil de déchiffrement ayant permis de restaurer les systèmes de plus de 500 victimes. Parallèlement, le CISA a publié un avis conjoint avec le FBI fournissant les tactiques, techniques et procédures (TTPs) du ransomware afin de faciliter la détection de ses activités. Le site web d’ALPHV/BlackCat avait subi une interruption de plusieurs jours depuis le 7 décembre dernier, ce qui laissait supposer une opération des forces de l’ordre, bien que les opérateurs du ransomware déclaraient alors qu’il ne s’agissait que d’une panne matérielle. Le 19 décembre, les opérateurs d’ALPHV/BLackCat ont réagi à l’annonce des autorités américaines en indiquant que le site saisi n’était qu’un ancien domaine. Ils ont depuis repris le contrôle de ce site sur lequel ils ont revendiqué de nouvelles victimes et ont annoncé lever les limites posées à leurs affiliés qui leur demandaient de ne pas cibler des infrastructures critiques.
Retour de Qakbot dans une campagne de phishing ciblant le secteur du tourisme aux États-Unis [11a] [11b] [11c]
Le 16 décembre 2023, Microsoft a alerté sur une campagne de phishing distribuant le botnet Qakbot (aka Qbot) observée depuis le 11 décembre et ciblant spécifiquement le secteur du tourisme. C’est la première fois que Qakbot est détecté dans une campagne d’attaques depuis son démantèlement par le FBI en août dernier, bien que ses opérateurs soient restés actifs depuis lors, notamment pour distribuer le ransomware Ransom Knight. Cette dernière s’appuie sur des e-mails de phishing contenant un fichier PDF prétendant provenir de l’Agence fiscale américaine (IRS). Une fois ouvert, il encourage les victimes à visiter un site Web téléchargeant un installeur MSI signé qui débouche sur l’exécution de Qakbot. Microsoft note que la payload serait une nouvelle version du malware, ce qui suggère que son développement se poursuit activement.
Une campagne de phishing et de malvertising distribue PikaBot, notamment en France [12a] [12b] [12c]
Dans un rapport publié le 15 décembre 2023, les chercheurs de Malwarebytes alertent sur une campagne de malvertising distribuant le malware PikaBot. Observé pour la première fois en février 2023 dans une campagne opérée par le groupe TA577, les opérateurs du malware DuckTail, il est également utilisé afin de distribuer d’autres types de payloads, notamment des ransomware. Dans la campagne observée par Malwarebytes, PikaBot est distribué sur de faux sites exploitant des Googles Ads qui imitent l’application légitime AnyDesk. En réalité, les victimes téléchargent un installeur MSI signé capable d’échapper à la détection des outils de sécurité. Une fois exécuté, un JavaScript effectue des vérifications supplémentaires pour s’assurer que la payload n’est pas ouverte au sein d’une machine virtuelle à des fins d’analyse.
Le mode opératoire UNC2975 distribue DarkGate et DanaBot via du malvertising [13a] [13b]
Le 14 décembre 2023, les chercheurs de Mandiant ont publié un rapport sur une campagne de malvertising menant à la distribution des backdoors DarkGate et DanaBot par le mode opératoire UNC2975, surveillé par Mandiant depuis 2021. Cet acteur de la menace utilise généralement des publicités sur les médias sociaux pour promouvoir les sites web malveillants responsables de la distribution des downloaders et exploite des techniques de typosquatting et la redirection pour contourner les mécanismes de vérification des moteurs de recherche. Le mode opératoire UNC2975 utilise un downloader VBScript référencé sous le nom de PAPERDROP pour distribuer la backdoor DanaBot écrite en Delphi. Cette dernière est largement exploitée par les acteurs de la menace comme Malware-as-a-Service (MaaS) et propose les fonctionnalités suivantes :
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco.
Références portail XMCO
[1] CXA-2023-7081
[2] CXA-2023-7079
[3] CXA-2023-7010
[4] CXA-2023-7035
[5] CXA-2023-7033
[6] CXN-2023-7077
[7] CXN-2023-7013
[8] CXN-2023-7012
[9] CXN-2023-6984
[10] CXN-2023-7039
[11] CXN-2023-6982
[12] CXN-2023-6981
[13] CXN-2023-7015
