Des failles critiques dans le plugin anti-spam de WordPress exposent les sites à des attaques - Actus du 26/11/2024
Découvrez comment Microsoft renforce la sécurité avec les clés d'accès sous Windows 11, pourquoi les experts en cybersécurité se fient à MITRE ATT&CK, et comment des failles critiques dans un plugin WordPress menacent 200 000 sites. Ne manquez pas notre analyse approfondie!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Microsoft va ajouter la prise en charge des clés d'accès avec Windows 11
Microsoft teste le support des passkeys avec Windows 11, visant à créer un environnement opérationnel sans mot de passe. Dans une mise à jour récente, la société a annoncé l'intégration de services d'authentification tiers pour les utilisateurs de Windows 11, permettant de sécuriser les connexions via des passkeys en plus de Windows Hello. Pour cela, Microsoft a développé un modèle d'authentification par plugin et a amélioré les API WebAuthn, facilitant la création et l'authentification des passkeys. Cette initiative vise à offrir une expérience de connexion sécurisée et sans mot de passe, en collaboration avec des services comme 1Password et Bitwarden.
En parallèle, Microsoft introduit une nouvelle fonctionnalité pour OneDrive, permettant aux utilisateurs de reprendre l'édition de fichiers sur différents appareils sans perdre leur progression. Cette fonctionnalité, similaire à l'option "reprendre là où vous vous étiez arrêté" dans les produits Office, nécessite que les utilisateurs restent connectés à leur compte OneDrive. Ces améliorations sont disponibles dans la dernière version Insider Build 22635.4515 de Windows 11, accessible aux utilisateurs du canal Beta. Ces changements visent à améliorer l'expérience utilisateur et la sécurité sur la plateforme.
Sources :
Pourquoi les responsables de la cybersécurité font confiance aux évaluations MITRE ATT&CK
Les évaluations MITRE ATT&CK sont devenues une ressource essentielle pour les leaders en cybersécurité, leur permettant de prendre des décisions éclairées face à un paysage de menaces en constante évolution. Contrairement à d'autres évaluations, celles-ci simulent des menaces réelles pour évaluer la capacité des fournisseurs de cybersécurité à détecter et à répondre à des attaques concrètes. Le prochain webinaire, animé par Cynet, mettra en lumière les résultats très attendus de l'évaluation 2024, où Cynet a réalisé un exploit en atteignant 100 % de visibilité et de couverture analytique sans modifications de configuration. Les évaluations se distinguent par leur approche basée sur des conditions réelles, des résultats transparents et leur alignement avec le cadre MITRE ATT&CK, qui offre une base de connaissances sur les tactiques et techniques des adversaires. En 2024, les évaluations incluront des émulations plus ciblées, testant les solutions des fournisseurs contre des menaces spécifiques, telles que des variantes de ransomware et des tactiques sponsorisées par l'État nord-coréen. Les leaders en cybersécurité doivent suivre ces résultats pour affiner leurs défenses et renforcer leur résilience face aux menaces émergentes.
Sources :
Des failles critiques dans le plugin anti-spam de WordPress exposent plus de 200 000 sites à des attaques à distance
Deux vulnérabilités critiques affectant le plugin WordPress CleanTalk, utilisé pour la protection contre le spam, pourraient permettre à un attaquant non authentifié d'installer et d'activer des plugins malveillants sur des sites vulnérables, entraînant potentiellement une exécution de code à distance. Ces failles, identifiées comme CVE-2024-10542 et CVE-2024-10781, ont un score CVSS de 9,8 sur 10 et ont été corrigées dans les versions 6.44 et 6.45 publiées ce mois-ci. Le plugin, installé sur plus de 200 000 sites WordPress, est présenté comme un "plugin anti-spam universel". Selon Wordfence, les vulnérabilités concernent un contournement d'autorisation permettant l'installation de plugins arbitraires. István Márton, chercheur en sécurité, a précisé que CVE-2024-10781 est dû à un manque de vérification de valeur vide sur la clé API, tandis que CVE-2024-10542 provient d'un contournement d'autorisation via un spoofing DNS inversé. L'exploitation réussie de ces failles permettrait à un attaquant de gérer les plugins de manière malveillante. Les utilisateurs sont donc conseillés de mettre à jour leur plugin pour se protéger contre ces menaces, alors que Sucuri met en garde contre des campagnes exploitant des sites WordPress compromis pour injecter du code malveillant.
Sources :
Cyber et géopolitique : enjeux pour les dirigeants
Dans un contexte politique et géopolitique en constante évolution, les dirigeants d'entreprise doivent s'adapter à des transformations technologiques rapides et à des changements sociétaux, environnementaux et économiques. Le rapport "2025 Risk and Opportunity Outlook" de Diligent met en lumière les risques et opportunités émergents pour les entreprises. Parmi les points clés, l'IA générative est identifiée comme un moteur d'innovation, mais elle soulève des défis éthiques nécessitant un cadre de gouvernance solide. La cybersécurité est également cruciale, avec des recommandations pour renforcer la cyber hygiène et améliorer la gestion des incidents. Les risques géopolitiques, exacerbés par des tensions internationales, exigent des entreprises qu'elles diversifient leurs chaînes d'approvisionnement et communiquent avec les gouvernements. En matière de fraude financière, le rapport souligne l'importance d'un équilibre entre conformité et innovation, favorisant la transparence et la responsabilité. Pour 2025, les dirigeants sont encouragés à intégrer la gestion des risques dans leur planification stratégique, en mettant l'accent sur l'agilité et la résilience. Cela leur permettra de naviguer efficacement dans un environnement complexe et de saisir les opportunités qui se présentent.
Sources :
Des pirates informatiques exploitent un bug critique dans les produits VPN SSL d'Array Networks
Des hackers exploitent une vulnérabilité critique de type exécution de code à distance dans les produits SSL VPN d'Array Networks, identifiée sous le code CVE-2023-28461, avec un score de gravité de 9,8. Cette faille, liée à une authentification incorrecte, permet aux attaquants d'accéder au système de fichiers ou d'exécuter du code à distance via une URL vulnérable. Bien que la vulnérabilité ait été divulguée en mars 2023 et corrigée par Array Networks une semaine plus tard, elle reste active et exploitée. Les produits concernés, utilisés par plus de 5 000 clients à travers le monde, y compris des entreprises et des agences gouvernementales, sont les séries Array AG (matériel) et vxAG (virtuel). La CISA a ajouté cette vulnérabilité à son catalogue des vulnérabilités exploitées, sans fournir de détails sur les attaquants ou les cibles. Elle recommande aux agences fédérales et aux organisations d'infrastructure critique d'appliquer les mises à jour de sécurité d'ici le 16 décembre ou de cesser d'utiliser les produits concernés. Des mises à jour et des commandes de mitigation sont disponibles via le portail de support d'Array, mais des tests préalables sont conseillés pour éviter des impacts négatifs sur les fonctionnalités.
Sources :
Intruder lance Intel : une plateforme gratuite de veille sur les vulnérabilités pour anticiper les dernières menaces
Intruder, un leader en gestion de la surface d'attaque, a développé Intel, une plateforme gratuite d'intelligence sur les vulnérabilités, pour aider les organisations à se concentrer sur les menaces réelles. Intel a été créé pour combler le manque de ressources pour le suivi des vulnérabilités émergentes, surtout après la fermeture d'un outil clé l'année dernière. La plateforme suit les CVEs les plus tendance des dernières 24 heures et leur attribue un "hype score", une note sur 100 qui permet de mesurer l'attention qu'elles reçoivent. En plus des informations en temps réel, Intel propose des commentaires d'experts de l'équipe de sécurité d'Intruder et regroupe les dernières données provenant de sources fiables comme le NVD et le CISA. Intel aide les utilisateurs à rester informés des tendances, à comprendre l'importance des vulnérabilités grâce au hype score, à bénéficier d'analyses expertes pour évaluer les risques, à centraliser les informations sur les CVEs et à recevoir des mises à jour en temps réel via un flux RSS. En utilisant Intel, les organisations peuvent mieux se préparer et se concentrer sur les menaces les plus critiques.
Sources :
Des failles zero-day pour Firefox et Windows exploitées par des pirates russes de RomCom
Le groupe de cybercriminalité russe RomCom a récemment exploité deux vulnérabilités zero-day dans des attaques visant les utilisateurs de Firefox et de Tor Browser en Europe et en Amérique du Nord. La première faille, un bug de type use-after-free (CVE-2024-9680), permet l'exécution de code dans le navigateur Firefox. Mozilla a corrigé cette vulnérabilité le 9 octobre 2024, après qu'ESET l'ait signalée. La seconde faille, une élévation de privilèges (CVE-2024-49039) dans le service de planification des tâches de Windows, a été corrigée par Microsoft le 12 novembre. RomCom a utilisé ces vulnérabilités en chaîne pour exécuter du code à distance sans interaction de l'utilisateur, simplement en visitant un site malveillant. Les attaques ciblaient également les utilisateurs de Tor Browser, selon l'analyse d'ESET. Une fois le malware déployé, les attaquants pouvaient exécuter des commandes et déployer d'autres charges utiles. ESET estime que cette campagne était répandue, touchant potentiellement jusqu'à 250 victimes par pays. RomCom, également impliqué dans des campagnes de ransomware et d'extorsion, cible désormais des organisations en Ukraine, en Europe et en Amérique du Nord dans divers secteurs, y compris le gouvernement et la défense.
Sources :
RomCom exploite des failles zero-day de Firefox et de Windows dans des cyberattaques sophistiquées
Le groupe de cybermenaces aligné sur la Russie, connu sous le nom de RomCom, a été associé à l'exploitation de deux vulnérabilités zero-day, l'une dans Mozilla Firefox et l'autre dans Microsoft Windows, pour installer un backdoor sur les systèmes des victimes. Selon un rapport d'ESET, une attaque réussie permet à un adversaire d'exécuter du code arbitraire sans interaction de l'utilisateur, entraînant l'installation du backdoor RomCom. Les vulnérabilités concernées sont : CVE-2024-9680, une faille de type use-after-free dans Firefox, et CVE-2024-49039, une vulnérabilité d'escalade de privilèges dans le Planificateur de tâches Windows. RomCom, également connu sous plusieurs autres noms, a mené des opérations de cybercriminalité et d'espionnage depuis 2022. L'attaque utilise un site web frauduleux pour rediriger les victimes vers un serveur hébergeant le payload malveillant, exploitant les failles pour exécuter du code et déployer le RomCom RAT. Les données de télémétrie montrent que la majorité des victimes se trouvent en Europe et en Amérique du Nord. Cette sophistication dans l'exploitation des vulnérabilités souligne les capacités avancées de RomCom, qui a déjà exploité une autre vulnérabilité zero-day en juin 2023.
Sources :
Des pirates chinois utilisent le logiciel malveillant GHOSTSPIDER pour pirater les télécommunications dans plus de 12 pays
Le groupe de cybermenaces lié à la Chine, connu sous le nom d'Earth Estries, a été observé utilisant une porte dérobée inédite appelée GHOSTSPIDER pour cibler des entreprises de télécommunications en Asie du Sud-Est. Selon Trend Micro, ce groupe, qualifié de menace persistante avancée (APT), a également utilisé une autre porte dérobée, MASOL RAT, sur des systèmes Linux appartenant à des réseaux gouvernementaux de la région. Earth Estries aurait compromis plus de 20 entités dans divers secteurs, y compris les télécommunications, la technologie et les agences gouvernementales, touchant des victimes dans plus d'une douzaine de pays, dont les États-Unis et l'Inde. Actif depuis au moins 2020, le groupe utilise une variété de familles de malwares, notamment le rootkit Demodex et Deed RAT, pour mener des activités d'espionnage. Les attaques exploitent des vulnérabilités de sécurité dans des logiciels tels qu'Ivanti Connect Secure et Microsoft Exchange Server. Les chercheurs notent que Earth Estries opère de manière organisée, avec une infrastructure de commande et de contrôle complexe, rendant la détection difficile. Ces attaques illustrent l'évolution du programme cybernétique chinois, passant d'attaques isolées à une collecte de données à grande échelle.
Sources :
Améliorez la sécurité des accès distants avec une solution performante : TSplus
Dans un contexte où la sécurité des données est cruciale, TSplus se distingue avec sa solution Advanced Security, conçue pour protéger l'accès à distance et la transmission des données. Face à la montée des cyberattaques, notamment les ransomwares, il est essentiel pour les entreprises de renforcer leur sécurité. TSplus Remote Access utilise des technologies avancées comme le chiffrement SSL/TLS pour sécuriser les communications entre clients et serveurs. De plus, l'intégration d'une authentification à plusieurs facteurs renforce la vérification de l'identité des utilisateurs avant l'accès aux ressources sensibles. La flexibilité de TSplus permet aux administrateurs de définir des droits d'accès spécifiques, limitant ainsi les risques d'accès non autorisé et respectant le principe du moindre privilège. Les logiciels de TSplus, y compris Advanced Security, sont régulièrement mis à jour pour contrer les nouvelles menaces, garantissant des défenses robustes. En adoptant TSplus, les entreprises améliorent non seulement leur sécurité, mais aussi leur efficacité opérationnelle grâce à une installation rapide et une gestion simplifiée. En somme, TSplus se positionne comme un partenaire essentiel pour les entreprises souhaitant sécuriser leurs données et optimiser le télétravail. Pour plus d'informations, visitez leur site web.
Sources :
La CISA exhorte les agences à corriger la faille critique des « réseaux de tableaux » en pleine activité
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a récemment ajouté une vulnérabilité critique, CVE-2023-28461, affectant les passerelles de sécurité Array Networks AG et vxAG, à son catalogue des vulnérabilités exploitées. Cette faille, notée 9.8 sur l'échelle CVSS, permet une exécution de code à distance en raison d'une authentification manquante. Les correctifs ont été publiés en mars 2023. Selon Array Networks, cette vulnérabilité permet à un attaquant d'accéder au système de fichiers ou d'exécuter du code à distance via une URL vulnérable. La vulnérabilité a été exploitée par le groupe de cyberespionnage lié à la Chine, Earth Kasha, qui cible principalement des entités japonaises, mais s'attaque également à Taïwan, l'Inde et l'Europe. ESET a récemment révélé une campagne d'Earth Kasha visant une entité diplomatique de l'UE. Les agences fédérales américaines doivent appliquer les correctifs d'ici le 16 décembre 2024 pour sécuriser leurs réseaux. VulnCheck a identifié plus de 440 000 hôtes exposés sur Internet susceptibles d'être attaqués, soulignant l'importance d'une gestion rigoureuse des correctifs et d'une évaluation des risques.
Sources :
QNAP corrige des failles critiques dans les logiciels NAS et routeurs
QNAP a publié des bulletins de sécurité pour corriger plusieurs vulnérabilités, dont trois critiques, nécessitant une attention immédiate des utilisateurs. La première concerne QNAP Notes Station 3, avec deux failles majeures : CVE-2024-38643, qui permet aux attaquants d'accéder à des fonctions critiques sans authentification (CVSS v4 : 9.3), et CVE-2024-38645, une vulnérabilité SSRF exposant des données sensibles. QNAP recommande de mettre à jour vers la version 3.9.7 pour remédier à ces problèmes. Deux autres vulnérabilités, CVE-2024-38644 et CVE-2024-38646, sont également signalées, avec des scores de gravité élevés (8.7 et 8.4).
La troisième faille critique, CVE-2024-48860, affecte QuRouter 2.4.x, permettant l'exécution de commandes à distance (CVSS v4 : 9.5). QNAP a également corrigé d'autres produits, notamment QNAP AI Core et QuLog Center, avec des vulnérabilités notées entre 7.7 et 8.7. Les utilisateurs sont fortement conseillés d'installer les mises à jour rapidement et de déployer leurs appareils derrière un VPN pour éviter les exploitations à distance.
Sources :
Le nouveau correctif Windows 10 0x80073CFA nécessite l'installation de WinAppSDK 3 fois
Microsoft a récemment annoncé une nouvelle méthode pour résoudre un bug sur Windows 10 qui empêche la mise à jour ou la désinstallation d'applications empaquetées, comme Microsoft Teams, après l'installation du package WinAppSDK 1.6.2. Les utilisateurs concernés rencontrent le message d'erreur "Something happened on our end" dans le panneau 'Téléchargements' du Microsoft Store, tandis que les administrateurs IT voient des erreurs 0x80073CFA lors de la gestion des applications via PowerShell. Pour éviter que d'autres utilisateurs ne soient affectés, Microsoft a retiré le package WinAppSDK 1.6.2. Bien qu'une mise à jour de prévisualisation, KB5046714, ait été publiée pour corriger ce problème, Microsoft propose une solution alternative pour ceux qui ne souhaitent pas installer de mises à jour cumulatives optionnelles. Les utilisateurs touchés doivent installer la mise à jour WinAppSDK 1.6.3 trois fois pour résoudre les problèmes de mise à jour et d'installation des applications. Pour vérifier si leur système est affecté, ils peuvent exécuter une commande PowerShell spécifique. Ce problème s'inscrit dans un contexte plus large de gestion des mises à jour et des bugs sur Windows, y compris des problèmes récents avec des mises à jour de sécurité Exchange et des mises à jour de Windows 11.
Sources :
L'attaque du ransomware Blue Yonder perturbe la chaîne d'approvisionnement des épiceries
Le 21 novembre 2024, Blue Yonder, une entreprise de gestion de la chaîne d'approvisionnement, a subi une attaque par ransomware qui a perturbé ses services, affectant notamment des chaînes de supermarchés au Royaume-Uni. Anciennement connue sous le nom de JDA Software et maintenant filiale de Panasonic, Blue Yonder génère plus d'un milliard de dollars de revenus annuels et compte 6 000 employés. Elle fournit des solutions basées sur l'IA pour la prévision de la demande, l'optimisation des stocks et la gestion des transports à des clients prestigieux tels que DHL, Tesco et Starbucks. Suite à l'incident, l'entreprise a collaboré avec des sociétés de cybersécurité pour restaurer ses services, tout en n'ayant détecté aucune activité suspecte dans son environnement cloud public. Les clients, comme Morrisons et Sainsbury, ont dû recourir à des processus de secours pour gérer la situation. Bien que des mises à jour aient été fournies, aucune date précise pour la restauration complète des services n'a été communiquée. L'attaque a également touché Starbucks, qui a dû adopter des méthodes de paiement manuelles pour son personnel. À ce jour, aucune revendication n'a été faite par des groupes de ransomware concernant cette attaque.
Sources :
DOJ : Un homme a piraté des réseaux pour vendre des services de cybersécurité
Un homme de Kansas City, Nicholas Michael Kloster, a été inculpé pour avoir piraté des réseaux informatiques afin de promouvoir ses services de cybersécurité. Selon le ministère de la Justice, Kloster, âgé de 31 ans, aurait accédé à deux réseaux, dont celui d'une salle de sport et d'une organisation à but non lucratif. L'incident principal s'est produit le 26 avril 2024, lorsqu'il a pénétré dans le système d'une salle de sport, envoyant ensuite un courriel à l'un des propriétaires pour proposer ses services de sécurité après avoir démontré ses compétences en contournant les systèmes de sécurité. Kloster a également réduit son abonnement à la salle de sport à 1 $ et a volé une plaque nominative d'un employé. Le 20 mai, il a infiltré une organisation à but non lucratif, accédant à des informations sensibles et causant des dommages estimés à 5 000 $. De plus, il aurait utilisé des informations de carte de crédit volées pour acheter des dispositifs de piratage. S'il est reconnu coupable, Kloster risque jusqu'à 15 ans de prison, des amendes et des restitutions aux victimes.
Sources :
Les gestionnaires de mots de passe : un outil essentiel pour protéger vos données en ligne ?
Les gestionnaires de mots de passe sont des outils essentiels pour sécuriser nos données en ligne, surtout dans un contexte où la cybercriminalité est en hausse. Ces applications permettent de stocker, organiser et protéger tous vos mots de passe dans un coffre-fort numérique, ne nécessitant que la mémorisation d'un mot de passe principal. Elles offrent des fonctionnalités pratiques comme l'auto-remplissage des champs de connexion et la création de mots de passe forts grâce à des générateurs intégrés, rendant vos comptes plus résistants aux attaques. De plus, la synchronisation multiplateforme permet d'accéder à vos mots de passe sur différents appareils tout en garantissant une sécurité renforcée par le cryptage. Cependant, il est important de noter que si vous oubliez votre mot de passe principal, la récupération de vos données peut être impossible sans un plan de secours. Bien que certaines options soient gratuites, les versions complètes, offrant des fonctionnalités avancées, sont souvent payantes. En somme, adopter un gestionnaire de mots de passe est une démarche judicieuse pour protéger vos informations personnelles et simplifier la gestion de vos accès en ligne. C'est un investissement dans la sécurité numérique et la tranquillité d'esprit.
Sources :
La Capsule : une formation DevOps pour des carrières en plein essor
La Capsule propose une formation DevOps intensive de 10 semaines, lancée en octobre 2022, destinée aux débutants et aux personnes en reconversion. Face à la demande croissante de déploiements informatiques rapides et fiables, cette formation répond aux attentes des recruteurs en offrant une approche concrète et ciblée. Les participants acquièrent des compétences essentielles telles que l'automatisation, l'utilisation de conteneurs (Docker, Kubernetes) et les méthodes de déploiement continu (CI/CD), ce qui les rend rapidement opérationnels sur le marché du travail. Avec un taux de retour à l’emploi de 94% six mois après la formation, La Capsule a prouvé son efficacité en aidant de nombreux apprenants à décrocher des postes variés dans le secteur, tels qu'administrateur DevOps ou ingénieur DevOps junior. La formation est accessible à un large éventail de profils, y compris les jeunes diplômés et les professionnels en reconversion, et ouvre la voie à des carrières évolutives dans un domaine en forte demande. En somme, La Capsule offre une opportunité précieuse pour ceux qui souhaitent se lancer dans le secteur technologique, avec des perspectives de carrière attractives et diversifiées.
Sources :
Microsoft bloque Windows 11 24H2 sur certains PC équipés de scanners USB
Microsoft a décidé de bloquer la mise à jour de Windows 11 24H2 sur certains ordinateurs équipés de scanners USB utilisant le protocole eSCL, qui permet la numérisation sans pilote via Ethernet, Wi-Fi et USB. Cette décision fait suite à de nombreux rapports d'utilisateurs rencontrant des problèmes de détection de périphériques USB après l'installation de la mise à jour. Les appareils concernés incluent des scanners autonomes, des imprimantes multifonctions, des fax et d'autres dispositifs réseau compatibles avec le protocole eSCL. Les utilisateurs ont signalé des échecs de commutation du mode eSCL vers le mode USB, empêchant ainsi le bon fonctionnement des pilotes de scanner. Microsoft a confirmé que ce problème était à l'origine de l'incapacité à détecter les périphériques USB connectés. En conséquence, la société a mis en place un blocage de compatibilité pour éviter que la mise à jour ne soit proposée sur les systèmes concernés. Les clients sont également avertis de ne pas tenter de mettre à jour manuellement leurs appareils affectés. Par ailleurs, un autre blocage a été instauré pour les systèmes utilisant des jeux Ubisoft en raison de problèmes de plantage et de gel.
Sources :
Piratage de Free : voici une arnaque concrète utilisée par les escrocs pour vous tromper grâce aux données volées
Une récente cyberattaque contre Free a permis aux arnaqueurs d'accéder à des données personnelles, facilitant ainsi de nouvelles escroqueries. Pierre, client de Revolut, a reçu un appel d'un faux conseiller bancaire qui prétendait l'informer de prélèvements suspects sur son compte, liés à un casino en Allemagne. L'escroc, utilisant des informations précises, a tenté de manipuler Pierre en le culpabilisant pour obtenir des détails sur son compte bancaire. Bien que l'approche ait semblé professionnelle, Pierre a su réagir en posant des questions, en demandant des preuves et en mentant sur certaines informations. Les experts conseillent de toujours vérifier l'identité de l'interlocuteur et de privilégier les communications via les canaux officiels de la banque. Les banques contactent rarement leurs clients par téléphone, et en cas de doute, il est préférable de les joindre directement. Cette situation met en lumière l'importance de la vigilance face aux arnaques, surtout dans un contexte où les données personnelles sont de plus en plus ciblées par les cybercriminels. Adopter des réflexes de prudence peut éviter des pertes financières significatives.
