Une faille zero-day dans VeraCore ouvre la porte à des pirates informatiques pour y installer discrètement des web shells. Ces ouvertures permettent de s’infiltrer et de maintenir un accès aux systèmes compromis, parfois pendant plusieurs années.
Xe Group, originaire du Vietnam, a implanté discrètement des web shells dans les logiciels Advantive VeraCore et Progress Telerik UI. Ces intrusions leur assurent un contrôle à distance prolongé sur les systèmes infectés. La liste des failles dans les produits vulnérables continue de s’étendre.
Une faille dans VeraCore présente depuis plusieurs mois
Jadis connu pour les attaques classiques comme le skimming de cartes bancaires, le groupe XE Group a considérablement changé de stratégie. Récemment, ces hackers ont exploité une faille zero-day dans VeraCore pour infiltrer discrètement des réseaux et y déployer un web shell. Une première pour ce groupe vietnamien!
Cette exploitation est récemment médiatisée, mais la faille est active depuis plusieurs mois déjà. Les chercheurs en cybersécurité ont officiellement identifié la menace en novembre 2024. D’après les experts, cette menace concerne particulièrement toutes les versions antérieures à VeraCore 2024.4.2.1.
Deux brèches principales facilitent ces intrusions. La faille CVE-2024-57968, qui permet le téléchargement illimité de fichiers et CVE-2025-25181, une brèche d’injection SQL redoutable. Si la première vulnérabilité a été corrigée dans la mise à jour VeraCore 2024.4.2.1, la seconde reste actuellement sans correctif disponible.
Vous aimerez aussi cet article:
Web shell, une menace à long terme
Un web shell est un programme malveillant permettant d’accéder et de contrôler un serveur web à distance. Des outils comme ASPXSpy offrent aux attaquants la possibilité de naviguer dans les fichiers, voler des données ou supprimer des composants critiques.
Les cybercriminels exploitent encore des failles anciennes, comme celle de Progress Telerik, pour déployer ces shells malveillants. Malgré leur âge, ces vulnérabilités restent efficaces, soulignant l’importance des mises à jour régulières.
Une fois installés, les attaquants exécutent des commandes ou analysent des réseaux voire compromettent des bases de données sensibles. Les secteurs de la fabrication et de la distribution sont particulièrement ciblés, chaque faille pouvant perturber les chaînes d’approvisionnement. Pour compresser et exfiltrer discrètement de grandes quantités de données, les attaquants utilisent souvent des outils comme 7z.
Vous aimerez aussi cet article:
Des nouvelles failles dans la catégorie KEV
CISA vient d’ajouter cinq failles critiques à son catalogue KEV. Ces vulnérabilités, exploitées activement, nécessitent une attention immédiate. Parmi la liste, la faille 7-Zip (CVE-2025-0411). Des groupes russes l’utilise pour propager SmokeLoader via des e-mails piégés. En Ukraine, les impacts se font déjà sentir.
Les CVE-2020-29574 et CVE-2020-15069, liées à CyberoamOS et Sophos XG, servent dans des opérations d’espionnage attribuées à des acteurs chinois. Ces attaques restent sophistiquées et visent des données sensibles. Du côté de Microsoft Outlook, la CVE-2024-21413 représente un risque majeur avec un score CVSS de 9,8. Pour l’instant, il n’y a aucun exemple concret dans la nature.
Enfin, ToddyCat exploite la faille CVE-2022-23748 dans Audinate Dante depuis 2022. Les organisations doivent agir vite. Les agences du Bureau exécutif civil fédéral (FCEB) disposent jusqu’au 27 février 2025 pour corriger ces vulnérabilités.
