Bulletin du 3 janvier 2025

Selon un article de Bleeping Computer, une nouvelle plateforme nommée "FlowerStorm" de phishing en mode PHAAS a été découverte pour cibler les utilisateurs de Microsoft 365. Cette plateforme a été créée suite à la fermeture de Rockstar2FA.

Bleeping Computer a publié un article parlant de fausses étoiles mises sur des dépôts GitHub.

Une étude a été réalisée par l'entreprise de sécurité Socket et des universités américaines Carnegie Mellon et de Caroline du Nord.

Cette étude a mis en évidence l'utilisation de faux comptes pour manipuler les évaluations de projets sur GitHub en leur attribuant de fausses étoiles, donnant ainsi une illusion de fiabilité. En réalité, certains de ces projets dissimulent des malwares.

Certains fournisseurs proposent des services payants pour attribuer de fausses étoiles aux projets. À l'aide de l'outil StarScout, les chercheurs ont détecté 4,53 millions d'étoiles suspectées d'être « fausses », réparties sur 22 915 dépôts, et générées par 1,32 million de comptes.

Note du CERT Illicium : Le nombre d'étoiles d'un projet ne garantit pas la qualité du code proposé. Nous vous recommandons de toujours examiner attentivement le contenu avant d'utiliser un outil.

MISP-standard, le projet communautaire visant à standardiser les formats utilisés par la communauté MISP pour l'échange d'informations et d'intelligence vient d'annoncer la publication d'un brouillon de RFC pour nommer les acteurs de la menaces.

Le brouillon de RFC a pour vocation d’établir des recommandations afin de :

• Limiter la multiplication inutile des noms pour un même acteur.
• Dissocier clairement l’acteur de la menace de ses outils, techniques ou familles de malwares associées.
• Inclure des métadonnées temporelles.
• Créer un registre ouvert et mutualisé.

Par exemple, il conviendrait d'éviter de nommer des acteurs de la menace : GIF89a, ShadyRAT ou Group 3, pour privilégier des notations plus claires telles que : APT-1, TA-505.

Les auteurs de ce document, A. Dulaunoy du CIRCL et P. Bourmeau de Cubessa, appellent la communauté des professionnels de la cybersécurité à contribuer à ce standard.

Retrouver la RFC ici : https://www.misp-standard.org/rfc/threat-actor-naming.html

Le journal de cybersécurité Bleeping Computer a mis en avant des correctifs de sécurité publiés par Apache pour contourner des failles critiques touchant trois de ses produits.

• MINA CVE-2024-52046 (CVSS 4.0: 10)
• HugeGraph CVE-2024-43441 (CVSS : N/A)
• Traffic Control CVE-2024-45387 (CVSS v3.1 : 9,9)

La CISA a ajouté deux vulnérabilités à son catalogue de vulnérabilités exploitées (KEV) :

• La CVE-2024-3393 touchant certaines versions des pare-feux Palo Alto ayant pour PAN-OS 10.1 à 11.2. La CVE a un score CVSS 4.0 de 8.7. Cette vulnérabilité permet à un attaquant non authentifiés de réaliser un déni de service dans la sécurité DNS des pare-feu, ce qui entraine un redémarrage du matériel et le fait entrer en mode maintenance. Pour plus de précision sur les versions affectées ainsi qu'une méthode de contournement : https://security.paloaltonetworks.com/CVE-2024-3393
• La CVE-2021-44207 (score CVSS 3.1: 8.1) affectant Acclaim Systems USAHERDS. Des identifiants codés en dur permettent à un attaquant d'exécuter du code arbitraire. Le score EPSS le 17 décembre était de 0,20% depuis l'annonce de la CISA, le score a évolué à 0,78%, augmentant donc le score de +0,59 % en 7 jours.

Fortinet a publié la découverte de deux paquets malveillants sur PyPI. Ces paquets permettent à un attaquant d'enregistrer les frappes clavier et d'enregistrer l'écran de l'utilisateur.

Plus précisément, le script Zebo-0.1.0 permet notamment l'exfiltration de données, la prise de contrôle du système infecté et l'offuscation du code. Le script Cometlogger-0.1, quant à lui, permet de mettre en place une persistance sur le système compromis, l'injection de webhook ainsi que le vol d'information sensible.

GitHub a révélé une vulnérabilité critique permettant de faire des injections de commandes dans le gestionnaire de paquet npm systeminformation.

La CVE-2024-56334 ayant pour CVSS v3 : 7.8, affecte les versions inférieures ou égales à 5.23.6.

La CVE est exploitée en contournant la fonction getWindowsIEEE8021x du paquetage systeminformation.

Un correctif est disponible dans la version 5.23.7

SUSE Linux Enterprise a appliqué un correctif de sécurité pour pallier à plusieurs vulnérabilités touchant les produits SUSE Linux Enterprise Server 11 SP4 et SUSE Linux Enterprise Server 11 SP4 LTSS EXTREME CORE.

Selon l'article paru dans The Hacker News, VulnCheck a découvert une exploitation sur les routeurs industriels de la gamme Four-Faith.

La CVE-2024-12856 dont le score CVSS 3.1 est 7.2, affecte les modèles F3x24 et F3x36, permettant à un attaquant authentifié de réaliser des injections de commandes.

Bleeping Computer a publié un article concernant 3 vulnérabilités, dont 2 classées critiques, sur les pare-feux SOPHOS affectant les versions 21.0.0 et antérieures.

• CVE-2024-12727: un attaquant peut faire des injections SQL sans authentification. Si le pare-feu est configuré en HA avec SPX, il est possible aux attaquants d'exécuter du code à distance. Score CVSS 3.1 de 9.8.
• CVE-2024-12728: la phrase de passe de connexion SSH reste active après la fin du processus d'établissement de la haute disponibilité, exposant potentiellement un compte système. Score CVSS 3.1 de 9.8
• CVE-2024-12729: des attaquants authentifiés peuvent exécuter du code arbitraire à distance. Score CVSS 3.1 de 8.8.

Apache Tomcat vulnérable à une nouvelle exécution de code arbitraire à distance.

La fondation Apache Software responsable de Apache Tomcat vient de publier un nouveau bulletin de sécurité détaillant une faille critique : CVE-2024-56337. Cette faille découle d'une vulnérabilité précédente mal corrigée : CVE-2024-50379. Ces deux failles ayant un score CVSS 3 de 9.8.

L'origine du problème réside dans une situation de compétition, connue sous le nom de "Time Of Check To Time Of Use" (TOCTTOU). Ce type de vulnérabilité survient lorsqu'une ressource est modifiée entre le moment où une application en vérifie l'état et celui où elle l'utilise. Cela peut entraîner une altération de l'intégrité de la ressource ainsi qu'une possibilité de répudiation.

Si cette exploitation est réussie, elle peut conduire à l'interprétation d'un fichier envoyé par l'utilisateur, comme un fichier JSP et donc, l'exécution du code qu'il contient.

Pour exploiter la vulnérabilité, il est nécessaire que le servlet par défaut puisse écrire sur le système de fichiers et qu'il soit non sensible à la case.

Cette vulnérabilité concerne les version de Apache Tomcat suivante :

• Apache Tomcat entre 11.0.0-M1 et 11.0.1 (Corrigé depuis 11.0.2)
• Apache Tomcat entre 10.1.0-M1 et 10.1.33 (Corrigé depuis 10.1.34)
• Apache Tomcat entre 9.0.0.M1 et 9.0.97 (Corrigé depuis 9.0.98)

Note du CERT Illicium : Méthodes de mitigation de la vulnérabilité en fonction de la version de Java utilisée par Apache Tomcat :

• Entre Java 8 et Java 11 - Définir explicitement la valeur false pour la propriété système sun.io.useCanonCaches (true par défaut).
• Java 17 - S'assurer que la propriété système sun.io.useCanonCaches, définie par l'administrateur, est bien réglée à false (false est la valeur par défaut).
• Java 21 et supérieures - Aucun action requise, la propriété a été supprimée.

Une preuve de concept (PoC) a été fournie par l'équipe ayant signalé la vulnérabilité. Ce PoC pourrait être exploité par des acteurs malveillants pour cibler des systèmes d'information. Il est donc impératif de déployer une surveillance appropriée afin de détecter et prévenir toute tentative d'exploitation.

Une nouvelle faille critique d'injection SQL(score CVSS 3.1 de 9.9) concernant Apache Traffic Control vient d'être publiée par la fondation Apache Software.

Apache Traffic Control sert à construire un CDN (Content Delivery Network). Il fait parti des projets les plus importants de la fondation depuis 2018.

Une injection SQL possible pour les utilisateurs ayant les rôles suivants : admin, federation, operations, portal, ou steering. Ils peuvent utiliser une requête PUT pour exécuter n'importe quel code SQL dans la base de données.

Les versions touchées sont comprises entre 8.0.0 et 8.0.1. La version corrigée est Apache Traffic Control 8.0.2.

Bonne résolution 2025 : Mieux comprendre le RGPD avec le podcast RdGP !

Et si, en 2025, l'une de vos bonnes résolutions était de mieux comprendre et appliquer le RGPD ? Les droits numériques et la protection des données personnelles peuvent sembler complexes, mais ils sont essentiels dans notre quotidien numérique.

Pour vous accompagner, le podcast Rien de Grave Patron” (RdGP) est là pour démystifier ces enjeux. Chaque mercredi, l’équipe vous plonge au cœur des questions liées aux libertés individuelles, à la vie privée et aux risques numériques. Avec un ton à la fois accessible, engagé et bienveillant, RdGP rend ces thématiques compréhensibles et pertinentes pour tous.

Ne manquez pas l’occasion de faire un pas vers une meilleure maîtrise du RGPD et des droits numériques. Retrouvez toutes les infos sur leur site : rdgp.fr. 🎙️