Des pirates exploitent une faille Aviatrix pour déployer des portes dérobées et mineurs de crypto-monnaie - Actus du 13/01/2025
Découvrez comment des pirates exploitent une faille Aviatrix pour installer backdoors et mineurs de crypto. Plongez dans notre récap cyber hebdo pour tout savoir sur les menaces, outils et conseils, et explorez les ransomware ESXi qui transforment les attaques virtualisées.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Des pirates informatiques exploitent la vulnérabilité du contrôleur Aviatrix pour déployer des portes dérobées et des mineurs de crypto-monnaie
Une vulnérabilité critique récemment révélée affectant la plateforme de mise en réseau cloud Aviatrix Controller est actuellement exploitée pour déployer des portes dérobées et des mineurs de cryptomonnaie. La société de cybersécurité Wiz a signalé qu'elle répond à plusieurs incidents liés à l'exploitation de la faille CVE-2024-50603, qui a un score CVSS de 10.0, indiquant une gravité maximale. Cette vulnérabilité permet l'exécution de code à distance non authentifiée en raison d'une mauvaise validation des entrées utilisateur sur certains points d'API. Les versions 7.1.4191 et 7.2.4996 corrigent ce problème. Jakub Korepta, chercheur en sécurité, a découvert cette faille, et un exploit de preuve de concept est désormais disponible publiquement. Environ 3 % des environnements cloud d'entreprise utilisent Aviatrix Controller, dont 65 % présentent un chemin de mouvement latéral vers des permissions administratives, facilitant l'escalade des privilèges. Les attaques exploitant cette vulnérabilité utilisent l'accès initial pour miner des cryptomonnaies avec XMRig et déployer le cadre de commande et de contrôle Sliver. Les utilisateurs sont fortement conseillés d'appliquer les correctifs rapidement et de restreindre l'accès public à Aviatrix Controller.
Sources :
⚡ Récapitulatif hebdomadaire THN : principales menaces, outils et conseils en matière de cybersécurité [13 janvier]
L'article aborde plusieurs sujets liés à la cybersécurité. Tout d'abord, il mentionne une vulnérabilité critique (CVE-2025-0282, score CVSS : 9.0) qui pourrait permettre l'exécution de code à distance non authentifié via un débordement de tampon. Microsoft a également engagé des poursuites contre un groupe de hackers étrangers pour avoir abusé de clés API Azure volées, compromettant ainsi l'accès à son service Azure OpenAI. Par ailleurs, le gouvernement américain a lancé le Cyber Trust Mark, un label de sécurité pour les appareils IoT, visant à informer les consommateurs sur la sécurité de leurs dispositifs connectés. L'article évoque également des poursuites judiciaires contre plusieurs individus impliqués dans des activités criminelles, notamment la sextorsion. En outre, il met en lumière les risques croissants pour les plateformes MLOps, qui pourraient devenir des cibles pour des attaques visant à compromettre les modèles d'apprentissage automatique. Enfin, il souligne l'importance de la vigilance face aux extensions de navigateur malveillantes et propose des conseils pour sécuriser l'utilisation des outils numériques. Ces développements soulignent la nécessité d'une vigilance accrue dans un paysage numérique en constante évolution.
Sources :
Ransomware sur ESXi : la mécanisation des attaques virtualisées
En 2024, les attaques par ransomware ciblant les serveurs VMware ESXi ont atteint des niveaux alarmants, avec une demande de rançon moyenne de 5 millions de dollars. Environ 8 000 hôtes ESXi sont exposés directement à Internet, ce qui entraîne un impact opérationnel et commercial considérable. Les organisations font face à des menaces croissantes, notamment de nouvelles vulnérabilités et des réseaux criminels monétisés, soulignant l'urgence d'améliorer les mesures de sécurité. Le vCenter, qui gère plusieurs hôtes ESXi, utilise le compte par défaut "vpxuser" avec des permissions root pour les actions administratives. Les mots de passe des hôtes ESXi sont stockés de manière chiffrée dans le vCenter, rendant leur décryptage essentiel pour le contrôle des hôtes. Les campagnes de ransomware visent à compliquer la récupération des données, incitant les organisations à payer la rançon. La transition vers un vCenter basé sur VCSA peut renforcer la sécurité. Il est recommandé de mettre en place une authentification multi-facteurs (MFA), de surveiller les accès inhabituels et de séparer le réseau de gestion du vCenter des autres segments. Des tests réguliers et une collaboration avec des experts en sécurité sont essentiels pour identifier et corriger les failles de sécurité avant qu'elles ne deviennent critiques.
Sources :
Panne de Microsoft MFA bloquant l'accès aux applications Microsoft 365
Le 13 janvier 2025, Microsoft a signalé une panne de l'authentification multi-facteurs (MFA) qui empêchait certains utilisateurs d'accéder aux applications Microsoft 365. Les utilisateurs concernés ont également rencontré des problèmes lors de l'enregistrement et de la réinitialisation de la MFA. Dans une alerte publiée sur le centre d'administration, Microsoft a indiqué que l'incident touchait uniquement les utilisateurs utilisant la MFA pour s'authentifier. L'entreprise a redirigé le trafic vers une infrastructure alternative tout en enquêtant sur la cause de la panne. Parallèlement, des rapports faisaient état de plantages inattendus des applications Microsoft 365 sur des appareils Windows Server 2016. Microsoft a précisé qu'il examinait les données de surveillance pour isoler la cause et élaborer un plan de remédiation. Ce problème survient après plusieurs incidents récents, dont une panne mondiale en novembre qui avait affecté divers services, y compris Teams et Exchange Online. Cependant, à 05h51 EST, Microsoft a annoncé que la disponibilité du service avait été rétablie et que l'incident était résolu, précisant qu'une partie de l'infrastructure responsable des opérations MFA était devenue non réactive.
Sources :
Les skimmers WordPress échappent à la détection en s'injectant dans les tables de base de données
Des chercheurs en cybersécurité mettent en garde contre une nouvelle campagne discrète de skimming de cartes de crédit ciblant les pages de paiement des sites e-commerce WordPress. Cette attaque consiste à insérer un code JavaScript malveillant dans la base de données du CMS, permettant de voler des informations sensibles lors du processus de paiement. Le malware, découvert dans la table wp_options de WordPress, s'active uniquement sur les pages de paiement, en détournant des champs existants ou en injectant un faux formulaire de carte de crédit. Le code JavaScript crée une interface de paiement trompeuse imitant des processeurs légitimes comme Stripe, ou capture les données sur des écrans de paiement authentiques en temps réel. Les informations volées sont ensuite encodées et chiffrées pour échapper à l'analyse. Cette découverte fait suite à une campagne similaire et à une campagne de phishing utilisant des e-mails trompeurs pour inciter les victimes à se connecter à des pages PayPal frauduleuses. De plus, des techniques de simulation de transaction sont exploitées pour voler des cryptomonnaies, en profitant des délais entre simulation et exécution des transactions. Ces évolutions représentent une menace croissante dans le paysage de la cybersécurité.
Sources :
Les domaines expirés ont permis de contrôler plus de 4 000 portes dérobées sur des systèmes compromis
Une opération menée par watchTowr Labs a permis de détourner plus de 4 000 backdoors web uniques, auparavant déployés par divers acteurs malveillants, en prenant le contrôle d'infrastructures abandonnées et de domaines expirés pour aussi peu que 20 $ par domaine. En collaboration avec la Shadowserver Foundation, l'entreprise a enregistré plus de 40 noms de domaine utilisés pour le commandement et le contrôle (C2) des backdoors, les redirigeant vers des serveurs sinkhole. Cette manœuvre a permis de suivre les hôtes compromis lorsqu'ils "rapportaient", offrant ainsi la possibilité de les contrôler. Parmi les cibles identifiées figuraient des entités gouvernementales de pays comme le Bangladesh, la Chine et le Nigeria, ainsi que des institutions académiques en Chine, en Corée du Sud et en Thaïlande. Les backdoors, principalement des web shells, varient en fonctionnalités, allant de simples commandes PHP à des outils sophistiqués comme c99shell et r57shell. Certains de ces outils ont été compromis par leurs mainteneurs, révélant involontairement leur emplacement. Cette découverte fait suite à une précédente opération où watchTowr a identifié plus de 135 000 systèmes encore actifs après l'acquisition d'un domaine WHOIS ancien.
Sources :
Les SMS de phishing incitent les utilisateurs d'iMessage d'Apple à désactiver la protection
Des cybercriminels exploitent une faille pour désactiver la protection anti-phishing d'Apple iMessage, incitant les utilisateurs à réactiver des liens malveillants. Avec l'augmentation des activités quotidiennes sur mobile, les attaques de smishing (phishing par SMS) se multiplient. iMessage désactive automatiquement les liens des messages provenant d'expéditeurs inconnus. Cependant, Apple a indiqué que si l'utilisateur répond ou ajoute l'expéditeur à ses contacts, les liens sont réactivés. Récemment, des attaques de smishing ont tenté de tromper les utilisateurs en leur demandant de répondre par "Y" pour activer les liens. Ces messages, souvent liés à des faux problèmes d'expédition ou de péages impayés, incitent à répondre pour contourner la protection. Cette méthode, bien que connue, a connu une recrudescence depuis l'été dernier. Les attaquants profitent de la familiarité des utilisateurs avec les réponses courantes pour les inciter à interagir. Même sans cliquer sur le lien, répondre signale aux attaquants qu'ils ont une cible réceptive. Les personnes moins averties, comme les personnes âgées, sont particulièrement vulnérables. Il est conseillé de ne pas répondre à de tels messages et de vérifier directement auprès de l'organisation concernée.
