Cybercriminels ciblent les entreprises polonaises avec Agent Tesla - Actus du 30/07/2024
Découvrez comment renforcer votre cybersécurité avec une politique de mots de passe efficace, les KPI clés à surveiller et l'importance de l'authentification multi-facteur pour contrer le phishing. Explorez aussi la hausse des attaques d'applications et d'API en EMEA. Ne manquez pas ces essentiels !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Votre politique de mots de passe est-elle efficace ? Principaux indicateurs clés de cybersécurité à mesurer
Chaque organisation dispose d'une politique de gestion des mots de passe, qu'elle soit standard ou renforcée par des logiciels spécifiques. Cependant, sans mesurer des indicateurs tangibles de sécurité des mots de passe, il est difficile d'évaluer l'efficacité de cette stratégie. Cet article propose quatre domaines clés pour suivre ces métriques et évaluer l'impact réel des politiques de mots de passe sur les objectifs de cybersécurité. En alignant ces politiques avec des indicateurs clés de performance (KPI), les équipes informatiques peuvent démontrer la valeur de leurs investissements et identifier les domaines à améliorer. La surveillance de l'efficacité des politiques permet de renforcer la sécurité d'accès et de réduire les risques de violations de données. Parmi les KPI suggérés figurent le taux d'adoption de l'authentification multifacteur (MFA), qui indique la sensibilisation des utilisateurs à la sécurité, et le taux de conformité aux normes telles que celles du NIST. L'outil Specops Password Auditor est recommandé pour auditer les mots de passe dans Active Directory, en vérifiant la force des politiques et en détectant les mots de passe compromis. En mesurant ces indicateurs, les organisations peuvent anticiper et remédier aux problèmes potentiels avant qu'ils ne causent des dommages.
Sources :
L’authentification multi-facteur moderne, pierre angulaire de la lutte contre le phishing
L’ANSSI a récemment alerté sur les activités du groupe cybercriminel pro-russe Nobelium, responsable de nombreuses attaques de phishing ciblant des institutions françaises depuis 2021. Dans ce contexte, Fabrice de Vésian, Sales Manager France chez Yubico, souligne l'importance cruciale de l'authentification multi-facteurs (MFA) pour contrer ces menaces. Il met en avant que les cybermenaces, particulièrement accentuées lors d'événements mondiaux comme les Jeux de Paris, nécessitent un renforcement des mesures de cybersécurité. De Vésian critique les méthodes traditionnelles de MFA, telles que les mots de passe à usage unique, qui restent vulnérables aux attaques de phishing. Il insiste sur la nécessité d'adopter des solutions modernes et robustes, comme les clés de sécurité physiques, qui exigent une combinaison de connaissances, de possession et d'action physique pour accéder aux comptes. Ces dispositifs offrent une protection accrue contre les cyberattaques, rendant plus difficile la tâche des cybercriminels. En conclusion, bien que les cyberattaques soient inévitables, les organisations peuvent encore se défendre efficacement en adoptant des pratiques de sécurité avancées, afin de protéger leurs données sensibles et d'assurer la continuité de leurs opérations.
Sources :
Hausse considérable des attaques d’applications et d’API dans la région EMEA
Akamai Technologies, Inc. a publié un rapport sur l'augmentation des attaques d'applications Web et d'API en Europe, au Moyen-Orient et en Afrique (EMEA) au cours des six premiers mois de 2024. Les pays les plus touchés sont le Royaume-Uni (20,5 milliards), les Pays-Bas (15,6 milliards) et l'Espagne (12,7 milliards). Le secteur du commerce est le plus vulnérable, en raison d'un fort pourcentage d'attaques d'API, et il est également le principal cible des attaques DDoS sur la couche 7, qui représentent 25 % des attaques. L'Allemagne et le Royaume-Uni sont en tête des attaques DDoS sur la couche 7, avec respectivement 461 et 366 milliards d'attaques. Les attaques DDoS sur les couches 3 et 4 ont également augmenté, particulièrement dans le secteur des services financiers, en raison de l'hacktivisme géopolitique. Richard Meeus d'Akamai souligne l'importance d'une protection efficace des réseaux pour prévenir les risques liés à ces attaques, qui ne menacent pas seulement les revenus et la réputation des entreprises, mais aussi leur conformité avec des réglementations européennes telles que NIS2 et DORA.
Sources :
La panne de Microsoft 365 et d'Azure entraîne l'arrêt de plusieurs services
Le 30 juillet 2024, Microsoft a annoncé une panne généralisée affectant plusieurs services de Microsoft 365 et Azure, entravant l'accès pour de nombreux utilisateurs à l'échelle mondiale. L'entreprise a déclaré qu'elle enquêtait sur des problèmes d'accès et de performance dégradée, tout en indiquant que certains services étaient touchés, notamment le centre d'administration de Microsoft 365, Intune, Entra et Power Platform. Les utilisateurs ont signalé des difficultés à se connecter à Outlook, aux sites de Microsoft 365 et à d'autres services. Malgré ces problèmes, les pages de statut de santé des services de Microsoft n'indiquaient pas de défaillances au niveau de l'infrastructure réseau de l'entreprise ou des fournisseurs d'accès Internet. Microsoft a mobilisé plusieurs équipes d'ingénierie pour diagnostiquer et résoudre la situation, tout en examinant des options de mitigation, y compris des basculements potentiels. À 10h14 EDT, la société a confirmé que certains services, tels que SharePoint Online, OneDrive for Business, Microsoft Teams et Exchange Online, n'étaient pas affectés. Les utilisateurs touchés pourraient rencontrer des latences ou des performances dégradées. Plus d'informations seront fournies dès que possible.
Sources :
Un nouveau logiciel espion Mandrake a été détecté dans les applications du Google Play Store après deux ans
Une nouvelle version d'un logiciel espion sophistiqué pour Android, appelé Mandrake, a été découverte dans cinq applications disponibles sur le Google Play Store, où elles sont restées indétectées pendant deux ans. Selon Kaspersky, ces applications ont été téléchargées plus de 32 000 fois, principalement au Canada, en Allemagne, en Italie, au Mexique, en Espagne, au Pérou et au Royaume-Uni. Les chercheurs ont noté que Mandrake utilise des techniques avancées d'obfuscation et d'évasion, comme le déplacement de fonctionnalités malveillantes vers des bibliothèques natives obfusquées et le certificat de pinning pour les communications C2. Initialement documenté par Bitdefender en mai 2020, Mandrake a évolué pour inclure des techniques d'évasion de sandbox et d'anti-analyse. Les applications infectées, telles que AirFS et CryptoPulsing, fonctionnent en trois étapes : un dropper, un loader et un module principal capable de collecter des informations sur l'appareil et d'initier des sessions de partage d'écran à distance. Google a déclaré qu'il renforçait continuellement les défenses de Google Play Protect pour détecter ces menaces, tout en soulignant que les utilisateurs d'Android sont protégés par défaut contre les versions connues de ce malware.
Sources :
Le gouvernement britannique attribue la violation de la Commission électorale de 2021 au serveur Exchange
Le Bureau du Commissaire à l'information du Royaume-Uni (ICO) a révélé que la Commission électorale a été victime d'une cyberattaque en août 2021 en raison d'un manque de mise à jour de son serveur Microsoft Exchange, exposé à des vulnérabilités ProxyShell. En mars, le Centre national de cybersécurité du Royaume-Uni (NCSC) avait attribué cette violation à un acteur menaçant soutenu par l'État chinois. Les failles de sécurité, identifiées comme CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207, ont permis aux hackers d'installer des web shells et des portes dérobées, leur donnant un accès persistant. Bien que Microsoft ait publié des correctifs en mai 2021, la Commission n'a pas agi rapidement, ce qui a conduit à l'accès non autorisé aux informations personnelles d'environ 40 millions de personnes. L'ICO a critiqué la Commission pour son manque de mesures de sécurité adéquates, notamment des politiques de mot de passe insuffisantes. Malgré cela, l'ICO n'a trouvé aucune preuve que les données aient été utilisées de manière malveillante. Cette violation survient dans un contexte où la Chine est accusée d'attaques informatiques à grande échelle contre de nombreuses organisations à travers le monde.
Sources :
Le pouvoir et les dangers des outils RMM
Avec l'augmentation du télétravail, les départements informatiques doivent gérer des dispositifs répartis sur plusieurs villes et pays, s'appuyant sur des VPN et des outils de gestion à distance (RMM). Les cybercriminels exploitent ces connexions pour exécuter des commandes, exfiltrer des données et rester invisibles. Cet article examine des exemples concrets d'exploits RMM et propose des mesures de protection. Les groupes de ransomware-as-a-service (RaaS) adaptent leurs méthodes, utilisant des outils IT légitimes pour naviguer dans les réseaux sans être détectés. Ils profitent de faiblesses, comme des identifiants par défaut, et utilisent des techniques de phishing pour inciter les victimes à installer des outils RMM modifiés, tels que KiTTY, qui permettent de créer des tunnels inversés vers des serveurs internes. L'enquête a révélé des failles de sécurité et a souligné l'importance d'une politique de contrôle des applications pour restreindre l'utilisation des outils RMM. Il est conseillé de former les employés à reconnaître les tentatives de phishing et à gérer efficacement les mots de passe. En intégrant des services de surveillance réseau et en testant régulièrement l'équipe de cybersécurité, les organisations peuvent mieux se défendre contre ces menaces croissantes.
Sources :
Les cybercriminels ciblent les entreprises polonaises avec Agent Tesla et le malware Formbook
Des chercheurs en cybersécurité ont révélé des campagnes de phishing ciblant les petites et moyennes entreprises (PME) en Pologne en mai 2024, entraînant le déploiement de plusieurs familles de logiciels malveillants, notamment Agent Tesla, Formbook et Remcos RAT. Selon la société ESET, d'autres régions touchées incluent l'Italie et la Roumanie. Les attaquants ont utilisé des comptes email et des serveurs compromis pour diffuser des emails malveillants, héberger des malwares et collecter des données volées. Ces campagnes, réparties sur neuf vagues, se distinguent par l'utilisation d'un chargeur de malware appelé DBatLoader pour livrer les charges utiles finales. ESET a noté un changement par rapport aux attaques de la seconde moitié de 2023, qui utilisaient un service de cryptage nommé AceCryptor. Les attaques ont débuté par des emails de phishing contenant des pièces jointes RAR ou ISO malveillantes, activant un processus en plusieurs étapes pour télécharger et exécuter le trojan. Les malwares déployés, tels qu'Agent Tesla et Formbook, siphonnent des informations sensibles, préparant ainsi le terrain pour de futures campagnes. Kaspersky a souligné que les PME sont de plus en plus ciblées en raison de leurs mesures de cybersécurité limitées.
Sources :
Renseignements sur les cybermenaces : éclairer les profondeurs et les ténèbres de la cybercriminalité
L'article de Cybersixgill met en lumière les menaces critiques qui pèsent sur les organisations, en se concentrant sur les acteurs malveillants opérant dans le cyberespace souterrain. Le rapport annuel "State of the Underground 2024" analyse les tendances et comportements observés dans le deep et dark web en 2023, offrant des aperçus sur les tactiques et technologies utilisées par les cybercriminels. Parmi les sujets abordés figurent les tendances des cartes de crédit compromises, les produits physiques disponibles, ainsi que les plateformes de messagerie et forums souterrains. Le rapport évalue également les prédictions de Cybersixgill pour 2023 et leur impact sur la cybersécurité.
L'accès à ces informations est crucial pour les entreprises, car le dark web est un lieu d'échange d'outils et de services pour les cybercriminels. Un webinaire propose une plongée dans l'esprit des hackers, explorant leurs méthodes et motivations. De plus, l'article examine les marchés d'accès en gros, qui facilitent les attaques par ransomware en vendant des accès à des systèmes compromis. Ces informations soulignent l'importance d'une veille proactive pour protéger les environnements numériques contre les cybermenaces. Pour en savoir plus, Cybersixgill propose des démonstrations de son intelligence sur les menaces du dark web.
Sources :
Kaspersky détecte une nouvelle campagne signée Mandrake passée inaperçue depuis deux ans, avec plus de 32 000 téléchargements via Google Play
Les chercheurs de Kaspersky ont découvert une nouvelle campagne de distribution du logiciel espion Mandrake sur Google Play, déguisée en applications légitimes liées aux crypto-monnaies, à l'astronomie et à des outils utilitaires. Cinq applications infectées, disponibles pendant deux ans et téléchargées plus de 32 000 fois, intègrent des techniques avancées d’offuscation, rendant leur détection par les antivirus difficile. Mandrake, identifié pour la première fois en 2020, est actif depuis 2016 et a récemment été mis à jour avec des fonctionnalités améliorées, telles que le transfert de fonctions malveillantes vers des bibliothèques natives et des vérifications pour détecter les appareils rootés. Bien que ces applications aient été retirées de Google Play, elles ont été accessibles dans plusieurs pays, dont le Canada et l'Allemagne. Les similitudes avec des campagnes précédentes suggèrent que les mêmes acteurs malveillants sont impliqués. Tatyana Shishkova de Kaspersky souligne que cette situation illustre l'évolution des menaces, qui deviennent de plus en plus sophistiquées et difficiles à détecter, malgré des contrôles de sécurité renforcés. Cette tendance soulève des préoccupations quant à la sécurité des applications sur les plateformes officielles.
Sources :
De nouvelles cyberattaques SideWinder visent des installations maritimes dans plusieurs pays
Le groupe de cyberespionnage connu sous le nom de SideWinder, attribué à un acteur étatique, a lancé une nouvelle campagne ciblant des ports et des installations maritimes dans l'océan Indien et la mer Méditerranée. Selon l'équipe de recherche et d'intelligence de BlackBerry, les victimes potentielles incluent des pays tels que le Pakistan, l'Égypte, le Sri Lanka, le Bangladesh, le Myanmar, le Népal et les Maldives. SideWinder, également connu sous plusieurs autres noms, est lié à l'Inde et opère depuis 2012, utilisant principalement le spear-phishing pour diffuser des charges malveillantes. Les dernières attaques exploitent des leurres liés au harcèlement sexuel, aux licenciements et aux réductions de salaire pour manipuler émotionnellement les cibles et les inciter à ouvrir des documents Word piégés. Une fois le fichier ouvert, il exploite une vulnérabilité connue (CVE-2017-0199) pour se connecter à un domaine malveillant se faisant passer pour la Direction générale des ports et de la navigation du Pakistan. Ce document RTF télécharge ensuite un autre fichier exploitant une autre vulnérabilité (CVE-2017-11882) pour exécuter du code JavaScript, dont l'objectif final semble être la collecte de renseignements. BlackBerry prédit que SideWinder continuera d'évoluer et de cibler de nouvelles régions.
Sources :
Une arnaque de phishing sur OneDrive incite les utilisateurs à exécuter un script PowerShell malveillant
Des chercheurs en cybersécurité mettent en garde contre une nouvelle campagne de phishing ciblant les utilisateurs de Microsoft OneDrive, visant à exécuter un script PowerShell malveillant. Cette campagne, nommée OneDrive Pastejacking, utilise des tactiques de manipulation pour inciter les utilisateurs à exécuter un script compromettant leurs systèmes. L'attaque commence par un e-mail contenant un fichier HTML qui simule une page OneDrive, affichant un message d'erreur sur la connexion au service cloud. Deux options sont proposées : "Comment réparer" et "Détails", cette dernière redirigeant vers une page légitime de Microsoft. En cliquant sur "Comment réparer", l'utilisateur est guidé à ouvrir le terminal PowerShell et à exécuter une commande encodée en Base64. Cette commande exécute plusieurs actions, y compris le téléchargement d'un fichier malveillant. La campagne a été observée dans plusieurs pays, dont les États-Unis et l'Allemagne. D'autres campagnes de phishing exploitent également des formulaires Microsoft Office pour voler des identifiants, en se faisant passer pour des demandes légitimes. Les attaquants cherchent constamment de nouvelles méthodes pour contourner les systèmes de sécurité des e-mails afin d'augmenter le succès de leurs attaques.
Sources :
Les États-Unis révèlent les visages de deux hackers qui ont (mal) ciblé la France
À la fin juillet 2024, le département du Trésor américain a sanctionné deux membres présumés d'un gang de pirates russes, Yuliya Pankratova et Denis Degtyarenko, accusés d'avoir ciblé des infrastructures énergétiques aux États-Unis et en Europe. Ces hackers, liés au groupe ultra-nationaliste Cyber Army of Russia Reborn, ont mené des attaques sur des châteaux d'eau au Texas et un moulin hydraulique en France, pensant s'en prendre à un barrage. Ils ont également visé des entreprises en Pologne. Selon la société de cybersécurité Mandiant, certains de ces hackers pourraient être directement missionnés par le Kremlin, utilisant le hacktivisme comme couverture. Bien que leurs actions aient causé peu de dégâts, un château d'eau a subi des perturbations informatiques pendant plusieurs jours. Les sanctions américaines, qui incluent le blocage de comptes bancaires et l'interdiction de voyager, sont souvent inefficaces, car ces hackers se cachent généralement en Russie. Ces événements s'inscrivent dans un contexte plus large de cyberattaques menées par des collectifs militants après l'invasion de l'Ukraine par la Russie, illustrant les tensions croissantes entre l'Occident et des groupes soutenus par le Kremlin.
Sources :
Une faille VMware ESXi exploitée par des groupes de ransomware pour l'accès administrateur
Une faille de sécurité récemment corrigée dans les hyperviseurs VMware ESXi a été exploitée par plusieurs groupes de ransomware, dont Storm-0506 et Black Basta, pour obtenir des permissions élevées et déployer des malwares de chiffrement de fichiers. Selon une analyse de Microsoft, ces acteurs ont utilisé des techniques post-compromission pour accéder aux hyperviseurs après avoir initialement infiltré des systèmes via une infection QakBot et exploité une vulnérabilité dans le pilote CLFS de Windows. Une attaque ciblant une entreprise d'ingénierie en Amérique du Nord a illustré cette méthode, où l'attaquant a déployé des outils comme Cobalt Strike et Pypykatz pour voler des identifiants d'administrateur de domaine. Les chercheurs soulignent que l'exploitation dépend de la configuration de l'Active Directory pour la gestion des utilisateurs. Malgré les barrières d'entrée, les groupes de ransomware continuent d'évoluer et d'adapter leurs techniques. Parallèlement, Mandiant a révélé que le groupe UNC4393 utilise un backdoor C/C++ nommé ZLoader pour livrer Black Basta, montrant une coopération entre différents clusters de distribution. Les organisations sont conseillées d'installer les mises à jour logicielles, de pratiquer une bonne hygiène des identifiants et de mettre en œuvre des plans de sauvegarde et de récupération.
Sources :
Le nouvel outil Specula utilise Outlook pour l'exécution de code à distance sous Windows
Un nouvel outil de cybersécurité, nommé "Specula", développé par TrustedSec, exploite Microsoft Outlook pour exécuter du code à distance. Ce cadre de post-exploitation utilise une vulnérabilité, CVE-2017-11774, qui permet de contourner une fonctionnalité de sécurité d'Outlook, bien que Microsoft ait corrigé cette faille en 2017. Les attaquants peuvent créer une page d'accueil Outlook personnalisée via des clés de registre, redirigeant vers un serveur web contrôlé par eux. En incitant les utilisateurs à ouvrir un document malveillant, ils peuvent exécuter des scripts VBScript ou JScript dans un contexte privilégié, accédant ainsi à des commandes arbitraires sur les systèmes Windows compromis. Bien que l'appareil doive d'abord être compromis pour configurer l'entrée de registre, cette méthode permet aux attaquants de maintenir leur accès et de se propager latéralement. Outlook, étant un processus de confiance, facilite l'évasion des logiciels de sécurité. Cette vulnérabilité a déjà été exploitée par des groupes de cyberespionnage soutenus par l'Iran, ciblant des agences gouvernementales américaines. TrustedSec a constaté que cette technique a été utilisée avec succès dans de nombreux cas malgré les mesures de prévention existantes.
Sources :
Un défaut de conception de GitHub maintient les dépôts supprimés et privés
Des chercheurs de Truffle Security ont mis en lumière une faille de sécurité sur GitHub, révélant que les dépôts privés et supprimés restent accessibles. Bien que cela semble être une nouvelle découverte, GitHub avait déjà mentionné ce problème dans sa politique de confidentialité. La faille, qualifiée de "Cross Fork Object Reference" (CFOR), permet à quiconque d'accéder aux données supprimées d'un dépôt après un fork, même si le dépôt d'origine a été effacé. Par exemple, si un utilisateur fork un dépôt, puis y ajoute des données avant de le supprimer, ces données demeurent accessibles via l'ID de commit. Ce problème ne concerne pas seulement les dépôts supprimés, mais aussi les forks privés, ce qui pose un risque particulier pour les organisations qui partagent des outils open-source tout en conservant des forks privés. Les chercheurs ont signalé cette vulnérabilité à GitHub, qui a confirmé qu'il s'agissait d'une caractéristique de conception. Par conséquent, les utilisateurs doivent être prudents lorsqu'ils partagent des informations sensibles sur GitHub, comme des clés privées, et envisager de les faire tourner en cas de fuite.
Sources :
Une faille dans le gestionnaire de mots de passe de Google Chrome a déclenché une panne
Récemment, les utilisateurs de Google Chrome ont rencontré des problèmes majeurs avec la fonctionnalité de gestion des mots de passe du navigateur, qui a été indisponible pendant environ 18 heures. Selon le rapport d'incident de Google, cette panne a affecté la visibilité des mots de passe enregistrés, rendant impossible leur récupération, même pour les nouveaux mots de passe sauvegardés. De plus, la fonction de remplissage automatique a également été impactée, obligeant les utilisateurs à remplir manuellement tous les formulaires en ligne. Bien que ce problème ait touché une version spécifique de Chrome (127.0.6533.57), il a concerné de nombreux utilisateurs, car la plupart avaient récemment mis à jour leur navigateur. Les plaintes ont rapidement afflué sur les réseaux sociaux, certains utilisateurs signalant des plantages lors de l'ouverture du gestionnaire de mots de passe. Google a finalement identifié le problème grâce aux retours des utilisateurs et a publié un rapport indiquant que la cause était un changement de comportement du produit sans protection adéquate. Une solution temporaire a été mise en place, conseillant aux utilisateurs de redémarrer leur navigateur avec un paramètre spécifique. Google continue de travailler sur une solution définitive pour ce bug.
Sources :
Une vulnérabilité du moteur Docker pourrait permettre le contournement d'AuthZ
Une vulnérabilité de sécurité sérieuse dans Docker Engine a récemment été corrigée, incitant les utilisateurs à mettre à jour rapidement leurs systèmes. Cette faille, qui permet un contournement des plugins d'autorisation et une élévation de privilèges, est exploitée par l'envoi d'une requête API malveillante. Bien que son exploitation soit relativement faible, la gravité de la vulnérabilité nécessite une attention particulière. Découverte en avril 2024, cette vulnérabilité, référencée CVE-2024-41110, n'est pas nouvelle, ayant été signalée pour la première fois en 2018 et corrigée dans la version 18.09.1 de Docker Engine en janvier 2019. Cependant, les versions ultérieures, à partir de la 19.03, restent vulnérables. Les versions Docker EE v19.03.x et toutes les versions de Mirantis Container Runtime ne sont pas affectées. La vulnérabilité a reçu une note de gravité critique avec un score CVSS de 10.0. Docker a publié un correctif dans les versions docker-ce v27.1.1 et les branches 19.0 à 26.1. En attendant la mise à jour, il est conseillé d'éviter l'utilisation des plugins AuthZ et de restreindre l'accès à l'API Docker aux parties de confiance.
Sources :
Les vulnérabilités d'exécution de code à distance de ServiceNow sont attaquées
Des acteurs malveillants exploitent activement des vulnérabilités de ServiceNow pour cibler diverses organisations, malgré le fait que ServiceNow ait déjà corrigé ces failles. Selon des chercheurs de Resecurity, trois vulnérabilités ont été identifiées, dont deux permettent l'exécution de code à distance, tandis que la troisième, moins sévère, peut être exploitée en chaîne. Les vulnérabilités concernent les versions de la plateforme Now à Vancouver et Washington DC, avec des identifiants CVE-2024-4879 et CVE-2024-5217, toutes deux ayant un score CVSS de 9.3. La troisième vulnérabilité, CVE-2024-5178, a un score de 6.9 et permet l'accès non autorisé à des fichiers sensibles pour un administrateur. Bien que ServiceNow ait publié des correctifs le 10 juillet 2024, le retard des utilisateurs à mettre à jour leurs systèmes a permis le développement d'exploits fonctionnels. En conséquence, des tentatives d'exploitation ont été détectées à l'échelle mondiale, ciblant des entités variées, y compris des entreprises énergétiques et des agences gouvernementales. ServiceNow a déclaré ne pas avoir détecté d'activité malveillante sur ses hôtes, mais exhorte tous les utilisateurs à appliquer immédiatement les mises à jour nécessaires pour se protéger contre ces menaces persistantes.
Sources :
La vulnérabilité du serveur de rapports Progress Telerik permet des attaques RCE
Les utilisateurs de Progress Telerik Report Server doivent rapidement mettre à jour leurs systèmes suite à la découverte d'une vulnérabilité critique d'exécution de code à distance (RCE). Cette faille, identifiée sous le CVE-2024-6327, est due à une désérialisation non sécurisée de données non fiables, permettant à un attaquant d'exécuter du code arbitraire. Avec un score CVSS de 9,9, cette vulnérabilité affecte la plupart des versions existantes de Telerik Report Server, y compris celles antérieures à la version 10.1.24.514. Progress a publié un correctif dans la version 2024 Q2 (10.1.24.709), et il est impératif que les utilisateurs mettent à jour vers cette version ou une version ultérieure pour se protéger contre d'éventuelles menaces. En attendant, pour ceux qui ne peuvent pas effectuer une mise à jour immédiate, la société recommande de modifier l'utilisateur du pool d'applications du serveur de rapports pour un compte avec des permissions limitées. Bien qu'il ne soit pas encore confirmé que cette vulnérabilité ait été exploitée activement, l'historique des vulnérabilités de Progress Telerik indique que cela reste une possibilité. La faille a été signalée par le chercheur Markus Wulftange de CODE WHITE GmbH.
Sources :
Sabotage des réseaux de fibres optiques en France
Des actes de sabotage ont touché les réseaux de fibre optique de plusieurs opérateurs en France, dans un contexte de tensions internationales exacerbées par un événement majeur à Paris. Ce vandalisme survient après une attaque contre le réseau ferré, soulignant une vulnérabilité croissante des infrastructures critiques. Jérôme Renoux, vice-président régional d’Akamai, explique que la réparation des fibres endommagées nécessite des équipements spécialisés, tels que des camions de réparation, capables de traiter des brins de fibre avec une grande précision. Les câbles de fibre optique, essentiels pour la connectivité, sont particulièrement exposés aux actes malveillants en raison de la concentration des infrastructures entre quelques fournisseurs et centres de données. Cette centralisation crée des points de blocage susceptibles d'être ciblés, entraînant des perturbations significatives. Renoux plaide pour un modèle d'infrastructure numérique plus décentralisé, où les ressources réseau et de calcul seraient mieux réparties à travers le pays. Une telle approche pourrait diminuer les risques d'attaques physiques ou cybernétiques, renforçant ainsi la résilience des systèmes de communication en France.
Sources :
La version bêta d'iOS 18.1 d'Apple présente pour la première fois Apple Intelligence
Apple a lancé la version bêta d'iOS 18.1 pour les développeurs, permettant un premier aperçu des fonctionnalités d'Apple Intelligence, présentées lors de la WWDC 2024. Cette nouvelle plateforme d'IA introduit des outils variés pour iOS et macOS, tels que la génération d'images, l'assistance à l'écriture, une recherche améliorée dans Photos, des améliorations de Siri et l'intégration de ChatGPT. Bien que ces fonctionnalités aient été attendues avec iOS 18, leur lancement a été reporté. La bêta d'iOS 18.1 permet aux développeurs de tester ces nouvelles fonctionnalités, qui incluent des outils d'écriture pour la correction et le résumé de textes, des améliorations pour Siri avec de nouvelles actions et une meilleure compréhension du langage, ainsi que des fonctionnalités de messagerie et de gestion des notifications. Les utilisateurs doivent avoir un compte développeur actif et configurer leur appareil en anglais américain pour accéder à ces nouvelles fonctionnalités. Actuellement, Apple Intelligence est disponible uniquement sur les iPhone 15 Pro et Pro Max, et n'est pas accessible dans l'UE ou en Chine. D'autres fonctionnalités, comme Image Playground et Genmoji, ne sont pas incluses dans cette version bêta.
Sources :
Un ancien employé d'Avaya condamné à 4 ans de prison pour un piratage de licences d'une valeur de 88 millions de dollars
Trois individus, Raymond Bradley "Brad" Pearce, Dusti O. Pearce et Jason M. Hines, ont été condamnés à des peines de prison pour avoir orchestré une vaste opération de piratage de logiciels, impliquant la vente de licences de logiciels de systèmes téléphoniques d'Avaya d'une valeur de plus de 88 millions de dollars. Les condamnations ont été prononcées après leur inculpation en juin 2022 en Oklahoma. Hines a plaidé coupable en juillet 2023, tandis que les Pearce ont fait de même en septembre 2023. Selon le ministère de la Justice, Brad et Dusti Pearce ont conspiré avec Hines pour commettre une fraude électronique en générant et en vendant des licences de logiciels Avaya Direct International (ADI) non autorisées. Ces licences permettaient de débloquer des fonctionnalités du système téléphonique "IP Office", utilisé par de nombreuses entreprises. Brad Pearce, ancien agent du service client chez Avaya, a abusé de ses privilèges administratifs pour créer des milliers de licences. Les trois hommes ont été condamnés à des peines de prison allant de un à quatre ans et ont été contraints de restituer des montants importants, allant de 2 à 4 millions de dollars.
Sources :
Microsoft : les gangs de ransomware exploitent le contournement de l'authentification VMware ESXi dans leurs attaques
Microsoft a averti que des groupes de ransomware exploitent activement une vulnérabilité d'authentification dans VMware ESXi, identifiée comme CVE-2024-37085. Découverte par des chercheurs de Microsoft, cette faille de sécurité permet aux attaquants d'ajouter un nouvel utilisateur au groupe 'ESX Admins', lui conférant des privilèges administratifs complets sur l'hyperviseur ESXi. Bien que l'attaque nécessite des privilèges élevés et une interaction utilisateur, plusieurs gangs de ransomware, tels que Storm-0506 et Akira, l'exploitent pour escalader leurs privilèges et accéder aux données sensibles des machines virtuelles (VM) hébergées. Microsoft a identifié trois tactiques d'exploitation, notamment la création ou la modification du groupe 'ESX Admins'. La vulnérabilité a été utilisée dans des attaques ayant conduit à des déploiements de ransomware, causant des interruptions majeures dans les opérations des entreprises. Les groupes de ransomware se concentrent de plus en plus sur les hyperviseurs ESXi, car leur compromission peut entraîner des pannes significatives et limiter les options de récupération des victimes. Microsoft a noté une augmentation des incidents liés aux hyperviseurs ESXi, soulignant la nécessité d'une vigilance accrue face à ces menaces croissantes.
Sources :
Une faille critique dans l'infrastructure cybernétique d'Acronis a été exploitée dans la nature
La société de cybersécurité Acronis a averti qu'une vulnérabilité critique, désormais corrigée, affectant son produit Cyber Infrastructure (ACI), a été exploitée dans la nature. Suivie sous le nom CVE-2023-45249 (score CVSS : 9.8), cette faille permet une exécution de code à distance en raison de l'utilisation de mots de passe par défaut. Les versions concernées d'Acronis Cyber Infrastructure incluent les builds inférieurs à 5.0.1-61, 5.1.1-71, 5.2.1-69, 5.3.1-53 et 5.4.4-132. La vulnérabilité a été corrigée dans les mises à jour récentes, notamment 5.4 update 4.2 et 5.2 update 1.3, publiées fin octobre 2023. Bien qu'Acronis ait confirmé des rapports d'exploitation active, les détails sur la manière dont cette faille est utilisée dans des cyberattaques réelles et l'identité des acteurs malveillants restent inconnus. Les utilisateurs des versions affectées sont fortement conseillés de mettre à jour vers les dernières versions pour se protéger contre d'éventuelles menaces. De plus, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté cette vulnérabilité à son catalogue des vulnérabilités exploitées, exigeant une remédiation d'ici le 19 août 2024 pour les agences fédérales.
Sources :
Selon HealthEquity, la violation de données affecte 4,3 millions de personnes
HealthEquity, un important fournisseur de comptes d'épargne santé (HSA) aux États-Unis, a révélé qu'une violation de données a touché 4,3 millions de personnes. L'incident, survenu le 9 mars 2024, a été confirmé le 26 juin 2024, après une enquête interne. Des acteurs malveillants ont accédé à des informations sensibles en utilisant des identifiants compromis d'un partenaire. Les données exposées incluent des noms complets, adresses, numéros de téléphone, informations d'employeur, numéros de sécurité sociale, ainsi que des informations sur les dépendants et des données de carte de paiement (sans les numéros). HealthEquity a sécurisé le dépôt de données compromis en bloquant les sessions non autorisées et en réinitialisant les mots de passe du fournisseur concerné. Les personnes touchées recevront une notification le 9 août 2024, accompagnée d'un service de surveillance de crédit et de protection contre le vol d'identité pendant deux ans via Equifax. Les individus sont conseillés de surveiller leurs relevés de compte pour détecter toute activité suspecte et de vérifier leurs informations personnelles sur leur compte HealthEquity. À ce jour, aucun groupe n'a revendiqué l'attaque et les données volées n'ont pas été divulguées en ligne.
Sources :
Un prêtre démis de ses fonctions accuse Grindr d’avoir divulgué ses informations personnelles
Jeffrey Burrill, un prêtre catholique américain, poursuit l'application de rencontres Grindr pour avoir divulgué ses données personnelles, ce qui a entraîné la perte de son emploi et de sa réputation. En tant qu'administrateur de la Conférence des évêques catholiques des États-Unis, il avait fait vœu de célibat, et l'Église condamne toute activité sexuelle des clercs. En 2021, le média The Pillar a révélé son profil Grindr, ce qui a conduit à sa démission. Burrill affirme que ses données ont été obtenues illégalement, ayant été vendues par Grindr à des entreprises entre 2017 et 2021. Ces informations auraient été fournies à The Pillar par le Catholic Laity and Clergy for Renewal, une organisation qui soutient l'engagement des prêtres à respecter les enseignements de l'Église. Burrill soutient qu'il n'a pas été informé que ses données étaient publiques. Le procès soulève des préoccupations sur la protection de la vie privée des utilisateurs de Grindr. Un porte-parole de l'application a déclaré qu'ils comptent répondre vigoureusement aux accusations, qui reposent selon eux sur une mauvaise interprétation de leurs pratiques de gestion des données. Grindr fait également face à une autre plainte concernant la fuite de données sur le statut VIH de ses utilisateurs.
