Europol démantèle le réseau criminel Matrix : une opération mondiale réussie - Actus du 04/12/2024
Découvrez comment le Japon alerte sur les failles zero-day des routeurs IO-Data, les nouvelles recommandations du NIST sur les mots de passe, et le mystère entourant les « Frérots K » après les récentes fuites de données. Protégez-vous face aux menaces cybernétiques actuelles !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Le Japon met en garde contre les failles zero-day du routeur IO-Data exploitées dans des attaques
Le CERT japonais a averti que des hackers exploitent des vulnérabilités zero-day dans les routeurs I-O Data, permettant de modifier les paramètres des appareils, d'exécuter des commandes ou de désactiver le pare-feu. Le fournisseur a reconnu ces failles dans un bulletin de sécurité, mais les correctifs ne seront disponibles que le 18 décembre 2024, laissant les utilisateurs exposés aux risques. Trois vulnérabilités ont été identifiées : CVE-2024-45841, qui permet à des utilisateurs avec des privilèges limités d'accéder à des fichiers sensibles ; CVE-2024-47133, qui permet l'exécution de commandes OS arbitraires par des utilisateurs administratifs ; et CVE-2024-52564, qui permet aux attaquants de désactiver le pare-feu à distance. Ces problèmes affectent les routeurs hybrides LTE UD-LT1 et UD-LT1/EX. Le fournisseur recommande de désactiver la gestion à distance, de restreindre l'accès aux réseaux VPN, de changer le mot de passe du compte invité et de surveiller régulièrement les paramètres des appareils. Les routeurs I-O Data sont principalement commercialisés au Japon et sont compatibles avec plusieurs opérateurs. Les clients ont déjà signalé des accès non autorisés.
Sources :
Six points à retenir sur les mots de passe issus du cadre de cybersécurité mis à jour du NIST
Les nouvelles directives du National Institute of Standards and Technology (NIST) sur la sécurité des mots de passe mettent en avant des pratiques plus efficaces, remplaçant les méthodes obsolètes. Voici six points clés à retenir pour élaborer des politiques de mots de passe adaptées. Premièrement, au lieu d'exiger des combinaisons complexes, encouragez les utilisateurs à créer des mots de passe ou des phrases de passe plus longs, faciles à mémoriser mais difficiles à deviner. Deuxièmement, NIST recommande de permettre jusqu'à 64 caractères, ce qui renforce la sécurité. Troisièmement, l'authentification multifactorielle (MFA) est désormais essentielle pour combler les failles de sécurité. Quatrièmement, bien que l'abandon des politiques d'expiration des mots de passe soit tentant, une approche équilibrée est préférable : prolonger les délais entre les changements tout en maintenant des protections essentielles. Cinquièmement, il est crucial de bloquer les mots de passe compromis, car les utilisateurs peuvent réutiliser des mots de passe déjà exposés. Enfin, NIST déconseille les méthodes de récupération traditionnelles, suggérant plutôt des liens de récupération sécurisés et la vérification MFA lors des réinitialisations de mots de passe. Ces recommandations visent à renforcer la sécurité des organisations face aux menaces actuelles.
Sources :
Fuites de données : que sont devenus les « Frérots K » ?
En juillet 2024, un groupe de pirates informatiques, surnommé les Frérots K, a commencé à revendre des bases de données de grandes enseignes comme Norauto et SFR. En septembre, un membre, identifié comme « M35 », a revendiqué une attaque contre Norauto.fr, affirmant avoir accédé aux données de 75 000 utilisateurs. Leur disparition à la fin septembre coïncide avec une vigilance accrue des entreprises face aux cyberattaques. Les Frérots K ciblaient également d'autres entreprises, et leurs activités incluaient des services inquiétants sur le dark web, comme le « Lookup Opérateur », permettant des intrusions ciblées. Ils proposaient également des « services canular », tels que l'envoi de forces de l'ordre à des adresses spécifiques, exploitant ainsi les systèmes d'urgence pour terroriser leurs cibles. Ces pratiques soulèvent des risques majeurs pour les victimes, notamment des atteintes à la vie privée et des impacts psychologiques dus à des canulars. L'affaire des Frérots K met en lumière la complexité du cybercrime organisé et les défis d'identification des responsables dans des environnements anonymisés. Bien que leur activité semble avoir diminué, il est possible qu'ils réapparaissent sous une autre forme.
Sources :
Europol démantèle le service de messagerie criminelle MATRIX dans le cadre d'une opération de démantèlement mondial de grande envergure
Europol a annoncé la fermeture de MATRIX, un service de messagerie cryptée invite-only, utilisé par des criminels pour des activités illégales. Cette opération, menée par les autorités françaises et néerlandaises sous le nom de Passionflower, fait suite à une enquête lancée en 2021 après la découverte de MATRIX sur le téléphone d'un criminel impliqué dans le meurtre du journaliste néerlandais Peter R. de Vries. Les autorités ont intercepté plus de 2,3 millions de messages en trois mois, liés à des crimes graves tels que le trafic de drogue et le blanchiment d'argent. MATRIX, qui avait au moins 8 000 utilisateurs payant entre 1 360 et 1 700 dollars en cryptomonnaie, offrait des fonctionnalités avancées comme les appels vidéo et la navigation anonyme. L'infrastructure de MATRIX était plus complexe que d'autres services similaires, avec plus de 40 serveurs principalement en France et en Allemagne. Dans le cadre de cette opération, plusieurs arrestations ont eu lieu, dont celle du propriétaire présumé, et des biens d'une valeur significative ont été saisis. Parallèlement, la police allemande a démantelé Crimenetwork, une plateforme de cybercriminalité, et arrêté un de ses administrateurs.
Sources :
7 bonnes pratiques PAM pour sécuriser les environnements hybrides et multi-cloud
La décentralisation des environnements multi-cloud peut entraîner une visibilité limitée sur l'activité des utilisateurs et une gestion des accès insuffisante. Les comptes privilégiés, ayant accès à des systèmes critiques et à des données sensibles, sont particulièrement vulnérables. Une mauvaise gestion de ces comptes peut conduire à des accès non autorisés et à des violations de données. La gestion des accès privilégiés (PAM) est essentielle pour relever ces défis de sécurité en imposant des contrôles d'accès stricts et en gérant le cycle de vie des comptes privilégiés. En intégrant PAM dans des environnements hybrides et cloud, les organisations protègent non seulement leurs actifs sensibles, mais respectent également les exigences de conformité. L'application du principe du moindre privilège (PoLP) et l'utilisation de l'accès juste à temps (JIT PAM) permettent de réduire la surface d'attaque. La gestion des accès basée sur les rôles (RBAC) simplifie également cette gestion. Pour améliorer la visibilité, il est crucial d'implémenter des solutions PAM avec des capacités de surveillance des activités des utilisateurs. Syteca, par exemple, propose des fonctionnalités telles que la découverte de comptes, la gestion des mots de passe et l'authentification à deux facteurs, tout en prenant en charge divers environnements cloud et de virtualisation.
Sources :
Le côté obscur du contenu viral : comment les critiques négatives peuvent faire boule de neige
Les avis négatifs viraux peuvent rapidement entraîner une vague de critiques publiques, des pertes de ventes et nuire à la réputation d'une entreprise. Par exemple, une compagnie aérienne a vu son action chuter de près de 4 %, entraînant une perte de près de 1 milliard de dollars en valeur de marché, suite à des clients frustrés qui se sont tournés vers les réseaux sociaux. Une étude de l'American Psychological Association révèle que les gens partagent plus facilement des nouvelles négatives. Pour gérer ces situations, il est crucial de répondre rapidement sans céder à la panique. Chipotle, après une crise liée à la sécurité alimentaire, a reconnu ses erreurs et a mis en place de nouvelles mesures, tout en communiquant ouvertement avec le public. Des entreprises comme erase.com montrent que répondre calmement aux critiques peut transformer des clients mécontents en clients fidèles. L'engagement proactif avec les clients, comme le fait un détaillant de cosmétiques, aide à maintenir une bonne réputation en ligne. Des outils de surveillance, tels que Google Alerts, permettent de détecter les avis négatifs avant qu'ils ne deviennent une crise. En fin de compte, la manière dont une entreprise réagit à une crise peut influencer sa réputation à long terme.
Sources :
3 avantages de la location d’iPad pour les professionnels ?
La location d’iPad présente trois avantages majeurs pour les professionnels. Tout d'abord, elle offre une flexibilité et une adaptabilité essentielles. Les besoins en équipements varient selon les projets et événements, et la location permet d'ajuster le nombre d’iPads requis sans investissement lourd. Par exemple, pour une conférence, il est possible de louer uniquement le nombre d’appareils nécessaires pour la durée de l’événement, simplifiant ainsi la logistique.
Ensuite, la location donne accès aux dernières technologies. Les iPads récents, dotés de fonctionnalités avancées comme des écrans Retina et des processeurs puissants, garantissent une expérience utilisateur optimale. Cela renforce également l'image de professionnalisme de l'entreprise lors des présentations et événements.
Enfin, la location contribue à la réduction des coûts. Pour les PME, acheter plusieurs iPads pour un usage ponctuel peut être prohibitif. En louant, l'entreprise ne paie que pour la durée d'utilisation, évitant ainsi les frais de maintenance et de mise à jour. En cas de panne, la société de location prend en charge les réparations, permettant à l'entreprise de se concentrer sur d'autres projets. Ces avantages font de la location une option stratégique pour les professionnels.
Sources :
Cyber, IA, éthique : tendances 2025 en matière de gouvernance d’entreprises, selon Diligent
À l’aube de 2025, la gouvernance d’entreprise est confrontée à des défis majeurs liés aux avancées technologiques et aux enjeux éthiques. L’IA générative et les menaces de cybersécurité exigent une gouvernance efficace, mais une enquête de Deloitte révèle que 45 % des conseils d’administration n’ont pas encore intégré l’IA dans leurs priorités. Diligent identifie plusieurs tendances clés pour l’avenir : l’intégration de l’IA dans la gouvernance, la nécessité d’une infrastructure robuste face aux cybermenaces, et l’importance de l’éthique pour garantir transparence et responsabilité. Les conseils d’administration doivent également s’adapter à l’évolution de la main-d’œuvre, en attirant les talents des générations millénaire et Z, tout en adoptant des modèles de travail flexibles. Par ailleurs, la gouvernance de l’IA est compliquée par des réglementations disparates à l’échelle mondiale, tandis que des tensions géopolitiques, comme le conflit israélo-palestinien et la guerre en Ukraine, impactent les chaînes d’approvisionnement et la sécurité énergétique. Ces enjeux obligent les entreprises à aligner leurs stratégies de gouvernance sur un environnement mondial en mutation, afin de rester compétitives, éthiques et résilientes.
Sources :
Protection des données, complexité des environnements technologiques et interruption des activités : les entreprises face aux principaux problèmes liés à la sécurité informatique
Le rapport annuel de Kaspersky sur l’Économie de la Sécurité Informatique (IT Security Economics) révèle que les entreprises sont particulièrement préoccupées par la perte de productivité, la sécurisation des environnements technologiques complexes et la protection des données. L'enquête, réalisée dans 27 pays, souligne que 38 % des entreprises estiment que les temps d'arrêt dus à une sécurité informatique insuffisante sont leur principale préoccupation, en raison des délais nécessaires pour détecter et répondre aux menaces. La sécurisation des environnements technologiques complexes est également une préoccupation majeure pour 33 % des répondants, qui soulignent les défis posés par l'intégration d'appareils non sécurisés et les dysfonctionnements des solutions de cybersécurité. Parallèlement, la protection des données, également citée par 33 % des entreprises, est menacée par la perte d'appareils professionnels et les fuites de données, tant internes qu'externes. Alexey Vovk, directeur de la sécurité de l'information chez Kaspersky, insiste sur la nécessité d'une approche globale et systématique pour faire face à la sophistication croissante des cyberattaques, qui exploitent des vulnérabilités variées. Les entreprises doivent donc renforcer leur vigilance et leur stratégie de cybersécurité.
Sources :
Comment planifier une nouvelle (et améliorée !) politique de mot de passe pour les défis de sécurité du monde réel
De nombreuses organisations rencontrent des difficultés avec des politiques de mots de passe qui semblent solides sur le papier, mais qui échouent en pratique en raison de leur rigidité, de leur imprécision ou de leur déconnexion par rapport aux besoins réels en matière de sécurité. Certaines sont si complexes que les employés notent leurs mots de passe sur des post-it. Pour les organisations dans des secteurs réglementés comme la santé ou la finance, il est crucial de suivre des normes de gestion des mots de passe adaptées à leur secteur afin de garantir la sécurité des données et la conformité légale. Il est essentiel de créer une politique de mots de passe qui répond aux obligations réglementaires tout en offrant une protection maximale. Beaucoup d'organisations incluent des exigences de mots de passe dans divers accords commerciaux, souvent de manière incohérente. Une révision des contrats et documents internes est nécessaire. Avant d'établir des règles, il est recommandé de réaliser un audit approfondi de l'Active Directory pour identifier les faiblesses. Une politique efficace nécessite une application rigoureuse et visible, avec des conséquences pour les non-conformités. Enfin, une politique de mots de passe doit être dynamique, nécessitant des ajustements réguliers pour s'adapter aux défis de sécurité.
Sources :
Des chercheurs découvrent une porte dérobée dans la bibliothèque npm Web3.js de Solana
Des chercheurs en cybersécurité ont alerté sur une attaque de la chaîne d'approvisionnement logicielle visant la bibliothèque npm populaire @solana/web3.js. Deux versions malveillantes, 1.95.6 et 1.95.7, ont été publiées, permettant de voler les clés privées des utilisateurs pour vider leurs portefeuilles de cryptomonnaies. Ces versions compromises contiennent un code malveillant conçu pour exfiltrer les clés privées via des en-têtes CloudFlare apparemment légitimes. Le serveur de commande et de contrôle, vers lequel les clés étaient envoyées, est actuellement hors ligne. Il est suspecté que les mainteneurs de la bibliothèque aient été victimes d'une attaque de phishing, permettant aux attaquants de publier ces versions malveillantes. Steven Luscher, un des mainteneurs, a précisé que seuls les projets manipulant directement les clés privées et mis à jour entre 15h20 et 20h25 UTC le 2 décembre 2024 sont affectés. Les utilisateurs sont conseillés de mettre à jour vers la dernière version et de changer leurs clés d'autorité si elles sont compromises. Cet incident survient après des avertissements concernant d'autres paquets npm frauduleux, soulignant la vulnérabilité des développeurs face aux abus dans l'écosystème open-source.
Sources :
La police met fin à Matrix, l’application confidentielle des réseaux criminels
La messagerie chiffrée Matrix a été démantelée par Europol, avec l'aide des forces de l'ordre françaises, suite à une enquête qui a révélé son rôle dans la cybercriminalité. Annoncé le 3 décembre 2024, ce démantèlement a permis d'intercepter 2,3 millions de messages en trois mois, montrant l'ampleur de cette plateforme, qui était liée à des crimes graves tels que le trafic de drogue, d'armes et le blanchiment d'argent. Découverte par les autorités néerlandaises lors de l'examen du téléphone d'un suspect de meurtre, Matrix fonctionnait sur invitation et se vantait d'être l'une des plateformes les plus sécurisées, utilisant une infrastructure complexe de 40 serveurs dans plusieurs pays. Parmi les personnes arrêtées, un citoyen lituanien de 52 ans et un Néerlandais de 30 ans, avec la saisie de 145 000 € en espèces et 500 000 € en crypto-monnaies. Le Colonel Hervé Pétry a souligné que ces messageries sont des outils essentiels pour la criminalité, souvent méconnus du grand public jusqu'à des opérations policières majeures.
Sources :
Vous attendez vos cadeaux pour les fêtes ? Méfiez-vous de ces arnaques par SMS à la livraison des colis
Le mois de décembre, période de Noël, est propice aux arnaques en ligne, notamment par le biais de messages de phishing liés à des faux avis de livraison. Nicolas Pawlak, ingénieur civil et administrateur du blog « Red Flags Domain », a observé une augmentation des noms de domaines usurpant des services de livraison, comme « livraison-mondialrelay[.fr] ». Ces sites frauduleux visent à tromper les clients impatients en leur faisant croire qu'ils doivent reprogrammer la livraison de leurs colis. Les cybercriminels, en particulier, ciblent le service Mondial Relay, en modifiant légèrement les noms de domaine pour créer des clones malveillants. Les utilisateurs sont souvent dirigés vers des sites frauduleux via des SMS trompeurs, parfois personnalisés avec leur nom pour paraître plus légitimes. Pour éviter de tomber dans le piège, il est conseillé de vérifier l’expéditeur, de ne pas cliquer sur des liens suspects et de consulter directement le site officiel du service de livraison. La vigilance est essentielle, surtout en cette période de forte activité commerciale. Des solutions comme U-Cyber 360° de Mailinblack offrent des outils pour renforcer la cybersécurité des organisations et éduquer les employés.
Sources :
Un comité consultatif conjoint met en garde contre un cyberespionnage soutenu par la RPC ciblant les réseaux de télécommunications
Un avis conjoint d'Australie, du Canada, de Nouvelle-Zélande et des États-Unis met en garde contre une vaste campagne d'espionnage cybernétique menée par des acteurs menaçants liés à la République populaire de Chine (RPC), ciblant les fournisseurs de télécommunications. Les agences gouvernementales ont indiqué que les exploitations identifiées s'alignent sur des vulnérabilités existantes des infrastructures victimes, sans activité nouvelle observée. Des responsables américains ont signalé que ces acteurs demeurent infiltrés dans les réseaux de télécommunications américains, six mois après le début d'une enquête. Les attaques sont attribuées à un groupe d'État-nation chinois, Salt Typhoon, actif depuis au moins 2020. T-Mobile a récemment reconnu des tentatives d'intrusion sans accès aux données des clients. En réponse, des agences de cybersécurité ont émis des recommandations pour renforcer les réseaux d'entreprise, incluant la surveillance des modifications de configuration, la mise en œuvre de solutions de gestion de réseau robustes, et l'utilisation de l'authentification multi-facteurs. Ce développement survient dans un contexte de tensions commerciales croissantes entre la Chine et les États-Unis, avec des restrictions réciproques sur les exportations de technologies critiques.
Sources :
Veeam publie un correctif pour une vulnérabilité critique RCE dans la console du fournisseur de services
Veeam a publié des mises à jour de sécurité pour corriger une vulnérabilité critique affectant la Console de Service Provider (VSPC), qui pourrait permettre une exécution de code à distance sur les instances vulnérables. Cette faille, identifiée sous le nom CVE-2024-42448, a un score CVSS de 9,9 sur 10. Veeam a précisé que le problème a été découvert lors de tests internes. Selon l'entreprise, si l'agent de gestion est autorisé sur le serveur, il est possible d'exécuter du code à distance sur la machine du serveur VSPC. Une autre vulnérabilité, CVE-2024-42449, avec un score CVSS de 7,1, pourrait permettre de divulguer un hachage NTLM du compte de service du serveur VSPC et de supprimer des fichiers sur cette machine. Ces vulnérabilités touchent la version 8.1.0.21377 de Veeam Service Provider Console et toutes les versions antérieures des builds 7 et 8. Elles ont été corrigées dans la version 8.1.0.21999. Veeam a souligné qu'il n'existe pas de solutions de contournement et que la seule option est de mettre à jour vers la dernière version. Il est crucial que les utilisateurs agissent rapidement pour sécuriser leurs instances, surtout face aux menaces de ransomware.
Sources :
Une vulnérabilité critique de SailPoint IdentityIQ expose les fichiers à un accès non autorisé
Une vulnérabilité critique a été révélée dans le logiciel de gestion des identités et des accès (IAM) IdentityIQ de SailPoint, permettant un accès non autorisé au contenu stocké dans le répertoire de l'application. Cette faille, identifiée sous le code CVE-2024-10905, possède un score CVSS de 10.0, indiquant une gravité maximale. Elle affecte les versions 8.2, 8.3, 8.4 et d'autres versions antérieures. Selon la description de la faille sur la base de données des vulnérabilités du NIST, IdentityIQ "permet l'accès HTTP à du contenu statique dans le répertoire de l'application qui devrait être protégé". La vulnérabilité est due à une mauvaise gestion des noms de fichiers identifiant des ressources virtuelles (CWE-66), ce qui pourrait permettre la lecture de fichiers autrement inaccessibles. Actuellement, aucun détail supplémentaire n'est disponible et SailPoint n'a pas publié d'avis de sécurité. Les versions affectées incluent : 8.4 et tous les niveaux de correctifs antérieurs à 8.4p2, 8.3 et tous les niveaux de correctifs antérieurs à 8.3p5, 8.2 et tous les niveaux de correctifs antérieurs à 8.2p8, ainsi que toutes les versions précédentes. The Hacker News a contacté SailPoint pour obtenir des commentaires.
Sources :
Les pirates informatiques utilisent des fichiers ZIP et des documents Office corrompus pour échapper aux défenses antivirus et de messagerie électronique
Des chercheurs en cybersécurité ont mis en lumière une nouvelle campagne de phishing utilisant des documents Microsoft Office corrompus et des archives ZIP pour contourner les défenses par email. Selon ANY.RUN, cette attaque en cours parvient à éviter les logiciels antivirus, empêche les téléchargements vers des environnements de test et contourne les filtres anti-spam d'Outlook, permettant ainsi aux emails malveillants d'atteindre les boîtes de réception. Les emails contiennent des pièces jointes corrompues, incitant les utilisateurs à les ouvrir sous de faux prétextes, tels que des promesses de primes. La corruption des fichiers les rend indétectables par les outils de sécurité. Cependant, les attaquants exploitent les mécanismes de récupération intégrés de programmes comme Word et WinRAR pour relancer ces fichiers endommagés. Cette technique est utilisée par des acteurs malveillants depuis au moins août 2024 et pourrait représenter une vulnérabilité zero-day. L'objectif est de tromper les utilisateurs pour qu'ils ouvrent des documents piégés, intégrant des QR codes redirigeant vers des sites frauduleux pour le vol de données ou l'installation de logiciels malveillants. Cette situation souligne la nécessité d'améliorer les procédures de détection des fichiers corrompus par les solutions de sécurité.
Sources :
Le fabricant de vodka Stoli se déclare en faillite aux États-Unis après une attaque par ransomware
Le groupe Stoli, fabricant de vodka, a déposé le bilan aux États-Unis après une attaque par ransomware en août 2024 et la saisie de ses distilleries restantes en Russie par les autorités russes. Chris Caldwell, PDG de Stoli USA et Kentucky Owl, a indiqué que cette cyberattaque avait gravement perturbé les systèmes informatiques de l'entreprise, notamment sa plateforme de planification des ressources d'entreprise (ERP), entraînant des opérations manuelles et des problèmes dans des processus clés comme la comptabilité. La récupération complète des systèmes n'est pas attendue avant début 2025. De plus, cette situation a empêché les filiales américaines de fournir des rapports financiers à leurs créanciers, qui ont affirmé que les entreprises avaient fait défaut sur une dette de 78 millions de dollars. En juillet 2024, deux distilleries, évaluées à 100 millions de dollars, avaient déjà été confisquées en raison de la désignation du groupe Stoli et de son fondateur, Yuri Shefler, comme "extrémistes" pour leurs efforts d'aide humanitaire en faveur des réfugiés ukrainiens. Shefler, qui a fui la Russie en 2002, a depuis obtenu l'asile en Suisse et la citoyenneté britannique.
Sources :
Les domaines de développement de Cloudflare sont de plus en plus utilisés à mauvais escient par les acteurs malveillants
Les domaines 'pages.dev' et 'workers.dev' de Cloudflare, utilisés pour le déploiement de pages web et l'informatique sans serveur, sont de plus en plus exploités par des cybercriminels pour des activités malveillantes telles que le phishing. Selon la société de cybersécurité Fortra, l'abus de ces domaines a augmenté de 100 % à 250 % par rapport à 2023. Les chercheurs estiment que cette exploitation vise à renforcer la légitimité des campagnes malveillantes, en profitant de la réputation de Cloudflare et de ses options de proxy inversé qui compliquent la détection. Fortra a observé une augmentation de 198 % des attaques de phishing sur Cloudflare Pages, passant de 460 incidents en 2023 à 1 370 en octobre 2024. De même, les abus de Cloudflare Workers ont également augmenté, avec une hausse de 104 % des attaques de phishing, atteignant 4 999 incidents cette année. Les cybercriminels utilisent des tactiques comme le "bccfoldering" pour dissimuler l'ampleur de leurs campagnes. Pour se protéger, les utilisateurs doivent vérifier l'authenticité des URL et activer des mesures de sécurité supplémentaires, telles que l'authentification à deux facteurs.
Sources :
Les États-Unis partagent des conseils pour bloquer les pirates informatiques à l'origine des récentes violations des télécommunications
Le 3 décembre 2024, la CISA a publié des recommandations pour aider les défenseurs des réseaux à protéger leurs systèmes contre les attaques du groupe de hackers chinois Salt Typhoon, responsable de violations de données chez plusieurs grands fournisseurs de télécommunications, dont AT&T, T-Mobile et Verizon. Ces attaques, confirmées par la CISA et le FBI fin octobre, ont permis aux hackers d'accéder à des communications privées de fonctionnaires gouvernementaux et de voler des enregistrements d'appels clients. Bien que l'origine des violations reste floue, il est rapporté que les hackers ont eu accès aux réseaux pendant plusieurs mois. La CISA, en collaboration avec le FBI et la NSA, a souligné l'importance de la vigilance et a fourni des conseils pour renforcer la sécurité des dispositifs et des réseaux. Parmi les meilleures pratiques, il est recommandé de mettre à jour rapidement les appareils, de désactiver les protocoles non utilisés, de limiter les connexions privilégiées, et d'utiliser une cryptographie robuste. Les défenseurs des réseaux doivent également surveiller le trafic des partenaires de confiance, car les attaques peuvent provenir de fournisseurs connectés. La vigilance est essentielle pour prévenir les compromissions de réseau.
Sources :
Exploit publié pour une faille critique de WhatsUp Gold RCE, correctif maintenant
Un exploit de preuve de concept (PoC) pour une vulnérabilité critique d'exécution de code à distance (RCE) dans Progress WhatsUp Gold a été publié, rendant urgent l'installation des dernières mises à jour de sécurité. Cette faille, identifiée sous le nom CVE-2024-8785 (score CVSS v3.1 : 9.8), a été découverte par Tenable en août 2024 et affecte les versions de WhatsUp Gold allant de 2023.1.0 à 24.0.1. La vulnérabilité réside dans le processus NmAPI.exe, qui, en raison d'une validation insuffisante des données entrantes, permet à des attaquants d'envoyer des requêtes spécialement conçues pour modifier des clés de registre Windows sensibles. Cela pourrait permettre à un attaquant non authentifié de rediriger des fichiers de configuration vers un partage contrôlé par l'attaquant, facilitant ainsi l'exécution de code malveillant. Les administrateurs système doivent mettre à jour vers la version 24.0.1 immédiatement, car des mises à jour de sécurité ont été publiées le 24 septembre 2024. Compte tenu des récentes attaques exploitant des vulnérabilités critiques dans WhatsUp Gold, il est impératif d'appliquer ces mises à jour sans délai.
Sources :
Veeam met en garde contre un bug critique RCE dans la console du fournisseur de services
Veeam a publié des mises à jour de sécurité pour corriger deux vulnérabilités dans sa Console de Fournisseur de Services (VSPC), dont une critique de type exécution de code à distance (RCE) identifiée lors de tests internes. La VSPC, qui permet aux fournisseurs de services de gérer la santé et la sécurité des sauvegardes clients, est essentielle pour les environnements BaaS et DRaaS. La première vulnérabilité, notée CVE-2024-42448 avec un score de gravité de 9,9/10, permet aux attaquants d'exécuter du code arbitraire sur des serveurs non corrigés. La seconde vulnérabilité (CVE-2024-42449) permet le vol du hachage NTLM du compte de service du serveur VSPC, donnant accès à la suppression de fichiers. Ces failles ne peuvent être exploitées que si l'agent de gestion est autorisé sur le serveur ciblé. Les versions impactées incluent VPSC 8.1.0.21377 et toutes les versions antérieures. Veeam recommande aux fournisseurs utilisant des versions prises en charge de mettre à jour vers le dernier correctif. L'urgence de ces mises à jour est accentuée par des attaques récentes exploitant des vulnérabilités similaires dans d'autres produits Veeam.
Sources :
La police saisit le plus grand marché criminel en ligne allemand et arrête un administrateur
Les autorités allemandes ont démantelé le plus grand marché en ligne de cybercriminalité du pays, "Crimenetwork", et arrêté son administrateur, un homme de 29 ans connu sous le nom de "Techmin". Cette opération, menée par le Parquet de Francfort, le ZIT et le BKA, a eu lieu le 3 décembre 2024. Crimenetwork, actif depuis 2012, était un site de langue allemande où des criminels vendaient des données volées, des drogues et des services illégaux, attirant plus de 100 000 utilisateurs et 100 vendeurs. Les transactions sur la plateforme, entre 2018 et 2024, ont totalisé environ 93 millions d'euros, avec des paiements en Bitcoin et Monero. Le site prélevait une commission de 5 % sur les ventes et des frais d'abonnement mensuels, générant au moins 5 millions de dollars de revenus. L'administrateur fait face à des accusations liées à l'exploitation de marchés criminels en ligne et à des infractions à la loi sur les stupéfiants. Le BKA a également sécurisé des données sur les membres, ce qui pourrait entraîner d'autres arrestations. Cette opération s'inscrit dans une série d'actions récentes contre la cybercriminalité en Allemagne.
