Jeudi, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté six autres failles de sécurité à sa liste de vulnérabilités exploitées connues (KEV).
Trois d’entre eux ont été exploités par des cyberespions russes APT28 pour pirater des serveurs de messagerie Roundcube appartenant à des organisations gouvernementales ukrainiennes.
Le groupe de cyber-espionnage (également suivi sous le nom de BlueDelta, Fancy Bear) était auparavant lié à la Direction principale du renseignement de l’état-major russe (GRU), le service de renseignement militaire du pays.
Selon une enquête conjointe de la division de recherche sur les menaces de Recorded Future Insikt Group et de l’équipe ukrainienne d’intervention d’urgence informatique (CERT-UA), les attaquants ont exploité le conflit russo-ukrainien pour inciter les destinataires à ouvrir des e-mails malveillants afin d’exploiter les vulnérabilités (CVE-2020-35730, CVE-2020-12641 et CVE-2021-44026) dans le logiciel Roundcube Webmail et leur accordant un accès non autorisé aux serveurs non corrigés.
Une fois que les serveurs de messagerie ont été compromis, ils ont utilisé des scripts malveillants pour la reconnaissance, la collecte des e-mails d’intérêt et le vol du carnet d’adresses Roundcube des cibles, des cookies de session et d’autres informations précieuses stockées dans la base de données de Roundcube.
Les preuves recueillies au cours de l’enquête suggèrent que l’objectif principal de cette campagne était d’exfiltrer les renseignements militaires pour soutenir l’invasion de l’Ukraine par la Russie.
« Nous avons identifié une activité BlueDelta ciblant très probablement un bureau du procureur ukrainien régional et une autorité exécutive centrale ukrainienne, ainsi qu’une activité de reconnaissance impliquant d’autres entités gouvernementales ukrainiennes et une organisation impliquée dans la mise à niveau et la rénovation de l’infrastructure des avions militaires ukrainiens », a déclaré le groupe Insikt.
Les agences fédérales ont reçu l’ordre de patcher d’ici le 13 juillet
Parmi les autres vulnérabilités ajoutées aujourd’hui par CISA au catalogue KEV, citons un bogue VMware critique désormais corrigé permettant l’exécution de code à distance (CVE-2023-20887), ainsi qu’une élévation de privilèges Mozilla Firefox/Thunderbird (CVE-2016-9079) et Microsoft Win32k ( CVE-2016-0165) failles corrigées en 2016.
Les agences fédérales américaines doivent vérifier si leurs systèmes sont affectés par ces vulnérabilités et appliquer les mises à jour de sécurité ou les mesures d’atténuation requises pour les sécuriser d’ici le 13 juillet.
En vertu de la directive opérationnelle contraignante BOD 22-01 publiée en novembre 2021, les agences fédérales civiles du pouvoir exécutif (FCEB) doivent évaluer et sécuriser leurs réseaux pour toutes les vulnérabilités répertoriées dans le catalogue KEV, qui contient actuellement plus de 950 entrées.
Alors que l’objectif principal du catalogue KEV est d’alerter les agences fédérales des vulnérabilités exploitées qui doivent être corrigées dès que possible, il est également fortement conseillé aux entreprises privées du monde entier de traiter ces bogues en priorité.
Plus tôt ce mois-ci, l’agence de cybersécurité a ordonné aux agences fédérales américaines de corriger une vulnérabilité MOVEit exploitée par le gang de cybercriminalité Clop pour le vol de données.
La semaine dernière, la CISA a également émis une ordonnance demandant aux agences gouvernementales de sécuriser les équipements réseau mal configurés ou exposés à Internet dans les 14 jours suivant leur découverte.