L‘agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté vendredi trois failles à son catalogue de vulnérabilités exploitées connues ( KEV ), citant des preuves d’abus actifs dans la nature.
Inclus parmi les trois est CVE-2022-24990 , un bogue affectant les périphériques de stockage en réseau (TNAS) TerraMaster qui pourrait conduire à l’exécution de code à distance non authentifié avec les privilèges les plus élevés.
Des détails sur la faille ont été divulgués par la société éthiopienne de recherche en cybersécurité Octagon Networks en mars 2022.
La vulnérabilité, selon un avis conjoint publié par les autorités gouvernementales américaines et sud-coréennes, aurait été militarisée par des pirates informatiques nord-coréens pour frapper des entités de soins de santé et d’infrastructures critiques avec des ransomwares.
La deuxième lacune à ajouter au catalogue KEV est CVE-2015-2291 , une faille non spécifiée dans le pilote de diagnostic Intel Ethernet pour Windows (IQVW32.sys et IQVW64.sys) qui pourrait jeter un appareil affecté dans un état de déni de service .
L’exploitation de CVE-2015-2291 dans la nature a été révélée par CrowdStrike le mois dernier, détaillant une attaque Scattered Spider (alias Roasted 0ktapus ou UNC3944) qui impliquait une tentative de planter une version légitimement signée mais malveillante du pilote vulnérable en utilisant une tactique appelée Apportez votre propre pilote vulnérable ( BYOVD ).
L’objectif, a déclaré la société de cybersécurité, était de contourner le logiciel de sécurité des terminaux installé sur l’hôte compromis. L’attaque a finalement échoué.
Le développement souligne l’adoption croissante de la technique par plusieurs acteurs de la menace, à savoir BlackByte , Earth Longzhi , Lazarus Group et OldGremlin , pour alimenter leurs intrusions avec des privilèges élevés.
Enfin, CISA a également ajouté un problème d’injection de code à distance découvert dans l’application de transfert de fichiers géré GoAnywhere MFT de Fortra ( CVE-2023-0669 ) au catalogue KEV. Alors que des correctifs pour la faille ont été publiés récemment, l’exploitation a été liée à un groupe de cybercriminalité affilié à une opération de ransomware.
Huntress, dans une analyse publiée plus tôt cette semaine, a déclaré avoir observé la chaîne d’infection menant au déploiement de TrueBot , un malware Windows attribué à un acteur menaçant connu sous le nom de Silence et qui partage des liens avec Evil Corp , une équipe russe de cybercriminalité qui présente chevauchements tactiques avec un autre groupe à motivation financière surnommé TA505.
Avec TA505 facilitant le déploiement du rançongiciel Clop dans le passé, on soupçonne que les attaques sont un précurseur du déploiement de logiciels malveillants de verrouillage de fichiers sur des systèmes ciblés.
En outre, le blog de sécurité Bleeping Computer a rapporté que l’équipe du rançongiciel Clop avait contacté la publication et affirmé avoir exploité la faille pour voler les données stockées sur les serveurs compromis de plus de 130 entreprises.
Les agences du Federal Civilian Executive Branch (FCEB) sont tenues d’appliquer les correctifs d’ici le 3 mars 2023 pour sécuriser les réseaux contre les menaces actives.
