Des pirates exploitent un bug pour attaquer les serveurs Microsoft IIS - Actus du 08/02/2025
Découvrez comment une application de kayak dissimule un service de streaming illégal, les modèles ML exploitent le format pickle pour éviter la détection, et HPE informe ses employés après une violation de données liée au hack de Microsoft 365 en Russie. Ne manquez pas les détails!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Cette application de kayak cache un service de streaming illégal
Depuis fin 2024, l'App Store d'Apple est envahi par des applications de streaming illégal, toutes développées par un même individu utilisant de fausses identités. Ces applications, comme KayakTime, se présentent sous des prétextes anodins, attirant les utilisateurs grâce au bouche-à-oreille. KayakTime, qui prétend être un outil pour les passionnés de kayak, est en réalité un logiciel de streaming illégal, permettant d'accéder à des films et séries tout en affichant de nombreuses publicités. Malgré son succès, avec un pic de téléchargements en France le 8 février 2025, l'application ne respecte pas les conditions d'utilisation de l'App Store. Les équipes de validation d'Apple semblent régulièrement piégées, car ces applications cachent leur véritable interface, rendant leur détection difficile. Bien qu'Apple supprime ces applications et révoque les comptes des développeurs, le processus de création de nouveaux comptes sous de fausses identités permet à ces logiciels de réapparaître rapidement. KayakTime devrait être retirée de l'App Store sous peu, mais son développeur est déjà en train de préparer une nouvelle application. Cette situation soulève des questions sur l'efficacité des mesures de sécurité d'Apple.
Sources :
Modèles ML malveillants sur le format de cornichon de levier de face étreint pour échapper à la détection
Des chercheurs en cybersécurité ont découvert deux modèles d'apprentissage automatique malveillants sur Hugging Face, utilisant une technique inhabituelle de fichiers pickle "cassés" pour échapper à la détection. Selon Karlo Zanki de ReversingLabs, les fichiers pickle extraits des archives PyTorch contenaient un code Python malveillant au début du fichier, avec un payload typique de shell inversé se connectant à une adresse IP codée en dur. Cette méthode, appelée nullifAI, vise à contourner les protections existantes contre les modèles malveillants. Les modèles concernés, glockr1/ballr7 et who-r-u0000/0000000000000000000000000000000000000, semblent être davantage des preuves de concept que des attaques réelles. Le format de sérialisation pickle, couramment utilisé pour distribuer des modèles ML, présente des risques de sécurité, permettant l'exécution de code arbitraire lors de leur chargement. Les modèles détectés, compressés en 7z, ont échappé à la détection par Picklescan, un outil de Hugging Face. L'analyse a révélé que ces fichiers cassés peuvent encore être partiellement désérialisés, permettant l'exécution du code malveillant malgré les erreurs signalées par l'outil. Picklescan a depuis été mis à jour pour corriger cette vulnérabilité.
Sources :
HPE informe les employés de la violation de données après le bureau russe 365 Hack
Hewlett Packard Enterprise (HPE) a informé ses employés d'une violation de données survenue en mai 2023, lorsque des hackers soutenus par l'État russe ont accédé à son environnement de messagerie Office 365. Selon des documents déposés auprès des procureurs généraux du New Hampshire et du Massachusetts, HPE a commencé à envoyer des lettres de notification à au moins 16 personnes dont les permis de conduire, numéros de carte de crédit et numéros de sécurité sociale ont été volés. L'enquête forensic d'HPE a révélé que certaines informations personnelles avaient été accessibles de manière non autorisée. Un porte-parole a précisé que le nombre d'employés touchés était limité à un petit groupe de boîtes aux lettres. Le groupe responsable, Cozy Bear, est lié au Service de renseignement extérieur de la Russie et a été impliqué dans d'autres violations notables, comme l'attaque de la chaîne d'approvisionnement SolarWinds en 2020. HPE a également signalé une autre violation en mai 2023, où des fichiers ont été volés sur son serveur SharePoint. L'entreprise a connu plusieurs violations de sécurité par le passé, notamment en 2018 et 2021.
Sources :
Les pirates exploitent le bug de la ville de Cityworks pour briser les serveurs Microsoft IIS
Trimble a averti que des hackers exploitent une vulnérabilité de désérialisation dans son logiciel Cityworks, permettant l'exécution de commandes à distance sur des serveurs Microsoft IIS. Cette faille, identifiée comme CVE-2025-0994, a un score de gravité élevé (8.6) et affecte les versions de Cityworks antérieures à 15.8.9. Les attaquants peuvent accéder aux réseaux des clients en utilisant cette vulnérabilité, ce qui a conduit la CISA à émettre un avis urgent pour sécuriser les réseaux. Trimble a publié des mises à jour de sécurité le 28 et 29 janvier 2025, et recommande aux administrateurs de les appliquer immédiatement, en particulier pour les déploiements sur site, qui pourraient avoir des permissions excessives. De plus, des configurations incorrectes des répertoires d'attachement ont été signalées. Les clients doivent restreindre ces répertoires pour ne contenir que des pièces jointes. Trimble a également fourni des indicateurs de compromission (IOCs) pour aider à identifier les attaques, qui incluent l'utilisation d'outils comme WinPutty et des balises Cobalt Strike. Microsoft a également averti que des acteurs malveillants exploitent des failles similaires pour déployer des malwares via des attaques d'injection de code.
Sources :
Le système de santé américain informe 882 000 patients de violation d'août 2023
Le système de santé Hospital Sisters Health System (HSHS) a informé plus de 882 000 patients d'une violation de données survenue en août 2023, suite à une cyberattaque. Fondé en 1875, HSHS collabore avec plus de 2 200 médecins et emploie environ 12 000 personnes, gérant un réseau de pratiques médicales et 15 hôpitaux dans l'Illinois et le Wisconsin. La violation a été détectée le 27 août 2023, après que l'attaquant a accédé au réseau de HSHS. Cette attaque a également provoqué une panne généralisée des systèmes informatiques et téléphoniques dans les hôpitaux de la région. HSHS a engagé des experts en sécurité pour enquêter sur l'incident et restaurer les systèmes affectés. Bien que l'incident présente des caractéristiques d'une attaque par ransomware, aucune revendication n'a été faite à cet égard. Les fichiers compromis contenaient des informations personnelles et médicales, y compris des noms, adresses, numéros de sécurité sociale et informations d'assurance. HSHS a conseillé aux victimes de surveiller leurs comptes et a offert une année de surveillance de crédit gratuite. Ce cas s'inscrit dans un contexte plus large de violations de données dans le secteur de la santé aux États-Unis.
