Ingénierie sociale alimentée par AI: menaces réinventées - Actus du 07/02/2025
Découvrez comment Microsoft résout les problèmes de mise à jour de sécurité Windows, explorez la nouvelle version 2025 du protocole d’alerte ZATAZ, et restez informé sur les alertes de la CISA concernant les vulnérabilités de Trimble Cityworks. Ne manquez pas notre article!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Microsoft partage la solution de contournement pour les problèmes de mise à jour de la sécurité Windows
Microsoft a partagé une solution de contournement pour les utilisateurs de Windows 11 version 24H2 rencontrant des problèmes de mise à jour de sécurité. Ce problème, reconnu en décembre, survient lors de l'installation de Windows 11 à partir de CD ou de clés USB contenant les mises à jour cumulatives d'octobre ou de novembre 2024. Dans ces cas, l'appareil peut rester dans un état où il ne peut plus recevoir de mises à jour de sécurité. Cependant, les mises à jour de sécurité fournies via Windows Update ou le Microsoft Update Catalog ne sont pas affectées, tout comme les médias d'installation contenant des mises à jour de sécurité publiées en décembre 2024 ou après. Microsoft a conseillé aux utilisateurs concernés de réinstaller Windows 11 version 24H2 en utilisant des médias incluant les mises à jour de sécurité de décembre 2024 ou ultérieures pour éviter ces problèmes. De plus, la société a annoncé que les mises à jour optionnelles de janvier 2025 résolvent un autre problème empêchant les utilisateurs non administrateurs de modifier leur fuseau horaire. En attendant la mise à jour pour tous, les utilisateurs peuvent utiliser le Panneau de configuration comme solution de contournement.
Sources :
Le protocole d’alerte ZATAZ : version 2025
Le protocole d’alerte ZATAZ, lancé il y a 25 ans, a pour mission de prévenir les menaces de cybersécurité en alertant rapidement les entreprises concernées. En date du 8 février 2025, le PAZ a déjà aidé plus de 80 000 entités, avec un objectif clair : prévenir plutôt que subir. Ce système gratuit et indépendant permet aux victimes et partenaires de suivre en temps réel l’évolution des alertes, garantissant ainsi transparence et réactivité. La plateforme a récemment été mise à jour pour offrir une interface simplifiée, un accès direct à l’équipe ZATAZ, et un code d’identification pour chaque incident. Les utilisateurs peuvent contacter ZATAZ via divers moyens, tels que courriel et réseaux sociaux. Avec l’augmentation des cyberattaques, cette approche proactive permet aux entreprises d’agir rapidement pour colmater les failles. ZATAZ s’engage à respecter un cadre éthique strict, en ne rendant jamais publiques les informations sur les problèmes signalés, même après leur résolution. Grâce à ces améliorations, ZATAZ.COM renforce son rôle essentiel dans la cybersécurité, contribuant à un internet plus sûr et responsable. La mise à jour du protocole d’alerte souligne l’importance d’une cybersécurité collaborative et transparente.
Sources :
CISA prévient les exploits actifs ciblant la vulnérabilité de Trimble Cityworks
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a alerté sur une vulnérabilité dans le logiciel de gestion des actifs géographiques Trimble Cityworks, identifiée comme CVE-2025-0994, avec un score CVSS v4 de 8.6. Cette faille, liée à une désérialisation de données non fiables, permettrait à un attaquant d'exécuter du code à distance sur le serveur web Microsoft Internet Information Services (IIS) d'un utilisateur authentifié. Les versions affectées incluent toutes les versions de Cityworks antérieures à 15.8.9 et celles de Cityworks avec Office Companion antérieures à 23.10. Bien que Trimble ait publié des correctifs le 29 janvier 2025, CISA a signalé que la vulnérabilité est activement exploitée dans des attaques réelles. Trimble a également reçu des rapports concernant des tentatives non autorisées d'accès aux déploiements de Cityworks de certains clients. Les indicateurs de compromission (IoCs) révèlent que cette vulnérabilité est utilisée pour déployer un chargeur basé sur Rust, lançant Cobalt Strike et un outil d'accès à distance nommé VShell. Les utilisateurs des versions concernées sont fortement conseillés de mettre à jour leur logiciel pour garantir une protection optimale.
Sources :
Microsoft a finalement corrigé le bogue de la date et de l'heure dans Windows 11
Microsoft a enfin résolu un bug lié à la date et à l'heure dans Windows 11 avec la mise à jour optionnelle du 28 janvier 2025. Ce problème, qui empêchait les utilisateurs non administrateurs de modifier leur fuseau horaire dans les paramètres Date et Heure, a été confirmé par Microsoft en novembre 2024. La mise à jour KB5050094 corrige ce dysfonctionnement, qui n'affectait que les utilisateurs sans droits d'administrateur, tandis que les administrateurs pouvaient toujours accéder à cette fonctionnalité. Pour ceux qui ne souhaitent pas installer cette mise à jour, il existe une solution de contournement : ouvrir le Panneau de configuration, rechercher "changer le fuseau horaire" et suivre les instructions pour modifier les paramètres. Une autre méthode consiste à utiliser la commande "timedate.cpl" via Windows Run pour accéder directement à la fenêtre Date et Heure. Bien que la mise à jour soit optionnelle, tous les utilisateurs recevront la correction lors des mises à jour Patch Tuesday de février 2025, prévues pour le 11 février. Cette résolution est attendue avec impatience par les utilisateurs affectés, qui pourront enfin ajuster leurs paramètres de temps sans restrictions.
Sources :
50 milliards pour l’IA : la France signe un plan ambitieux avec les Émirats
Le 6 février, Emmanuel Macron a rencontré Mohammed ben Zayed Al Nahyane pour discuter d'un investissement majeur dans un data center en France, estimé entre 30 et 50 milliards d'euros. Ce projet, qui sera développé par un consortium franco-émirati, vise à créer un campus dédié à l'intelligence artificielle, le plus grand en Europe. Le financement sera assuré par le fonds MGX, spécialisé dans l'IA, qui fait également partie du projet Stargate des États-Unis, évalué à 500 milliards. Bien que l'emplacement du data center reste à déterminer, une annonce concernant les premiers investissements est prévue lors du Sommet Choose France 2025 en mai. Ce campus pourrait consommer autant d'électricité que celle nécessaire pour un million de Français, avec une électricité à 95 % bas carbone prévue pour 2024, renforçant ainsi l'attrait de la France pour ce type de projet. Parallèlement, le gouvernement français a annoncé que 35 sites sont prêts à accueillir des centres de données, dont les emplacements seront révélés lors du Sommet pour l'IA. Ce développement s'inscrit dans une volonté de la France de rivaliser avec les États-Unis et la Chine dans le domaine de l'intelligence artificielle.
Sources :
Microsoft Edge Update ajoute un bloqueur de Scareware propulsé par AI
La mise à jour de Microsoft Edge 133, déployée mondialement le 7 février 2025, introduit plusieurs améliorations, dont un nouveau bloqueur de scareware alimenté par l'IA. Les scams de scareware, également appelés scams de support technique, trompent les victimes avec des pages web alarmantes prétendant que leur appareil est infecté, les incitant à appeler un faux numéro de support pour obtenir un accès à distance. Ce bloqueur, testé par Microsoft, peut être activé dans les paramètres d'Edge et fonctionne en temps réel grâce à l'intelligence artificielle et à l'apprentissage automatique, en analysant le contenu des pages web. Microsoft a expliqué que le modèle utilise la vision par ordinateur pour comparer les pages à des milliers d'exemples de scams, tout en préservant la confidentialité des utilisateurs en ne sauvegardant ni n'envoyant d'images vers le cloud. En outre, l'interface des téléchargements a été réécrite avec WebUI 2.0, offrant des performances améliorées sans changements visuels notables. Cette nouvelle architecture permet à Microsoft de déployer plus rapidement de nouvelles fonctionnalités. Pour bénéficier de ces améliorations, il suffit de mettre à jour Edge vers la version 133 via les paramètres.
Sources :
Ingénierie sociale alimentée par AI: menaces réinventées
Les attaques par usurpation d'identité, notamment via des technologies avancées comme le clonage vocal et les deepfakes, représentent une menace croissante pour la sécurité des données. Selon Thomson Reuters, l'ingénierie sociale est à l'origine de la plupart des violations de données. Des fraudeurs ont réussi à extorquer plus de 55 millions d'euros en se faisant passer pour un ministre français, utilisant un décor crédible et des mises en scène. De même, un deepfake d'un directeur financier a permis de réaliser une escroquerie de 25 millions de dollars à Hong Kong. Les attaquants exploitent la confiance en se faisant passer pour des personnes connues, rendant difficile la vérification de leur identité. Les nouvelles méthodes d'attaque incluent des conversations réalistes à grande échelle, où l'intelligence artificielle permet de personnaliser les messages et de cibler des victimes spécifiques. Les employés, soumis à des pressions telles que l'urgence ou la peur, sont souvent manipulés pour contourner les protocoles de sécurité. Face à cette réalité, il est crucial de former les employés à reconnaître ces menaces par le biais de simulations d'attaques d'ingénierie sociale, car les méthodes traditionnelles de sensibilisation ne suffisent plus.
Sources :
Microsoft identifie 3 000 clés ASP.NET divulguées permettant des attaques d'injection de code
Microsoft met en garde contre une pratique dangereuse où des développeurs intègrent des clés machine ASP.NET publiquement divulguées, exposant ainsi leurs applications à des attaques. En décembre 2024, l'équipe de renseignement sur les menaces de Microsoft a observé un acteur malveillant utilisant une clé statique accessible pour injecter du code malveillant via le cadre Godzilla. Plus de 3 000 clés divulguées ont été identifiées, pouvant être utilisées pour des attaques par injection de code ViewState. Contrairement aux clés compromises vendues sur le dark web, ces clés accessibles publiquement présentent un risque accru, car elles peuvent être intégrées dans le code de développement sans modification. Le ViewState, utilisé pour conserver des valeurs entre les postbacks dans ASP.NET, peut être manipulé si ces clés sont compromises. Microsoft a averti que la simple rotation des clés ne suffira pas si les attaquants ont déjà établi une persistance sur le serveur. Pour atténuer les risques, il est conseillé de ne pas copier de clés à partir de sources publiques et de les faire tourner régulièrement. En parallèle, des chercheurs ont signalé des vulnérabilités dans Kubernetes, soulignant des risques de contournement de politiques de sécurité.
Sources :
L'Inde RBI présente le domaine exclusif "Bank.in" pour lutter contre la fraude bancaire numérique
La Reserve Bank of India (RBI) a annoncé l'introduction d'un domaine internet exclusif "bank.in" pour les banques du pays, visant à lutter contre la fraude financière numérique. Cette initiative a pour objectif de réduire les menaces de cybersécurité et les activités malveillantes telles que le phishing, tout en simplifiant les services financiers sécurisés et en renforçant la confiance dans les services bancaires et de paiement numériques. L'Institut pour le Développement et la Recherche en Technologie Bancaire (IDRBT) sera l'enregistreur exclusif de ces domaines, dont les inscriptions débuteront en avril 2025. De plus, le RBI prévoit de lancer un domaine "fin.in" pour d'autres entités non bancaires du secteur financier. Dans le cadre de ses efforts pour renforcer la confiance dans les paiements en ligne, le RBI introduit également un système d'Authentification à Facteur Additionnel (AFA) pour les transactions en ligne internationales sans carte. L'AFA, ou authentification multi-facteurs, utilise plusieurs éléments pour authentifier les utilisateurs lors des transactions numériques. Bien que le RBI n'ait pas imposé de facteur spécifique pour l'AFA, les mots de passe à usage unique par SMS sont largement adoptés dans l'écosystème des paiements numériques en Inde.
Sources :
JFROG Security Research: Les Principales DÉCOUVERTES EN 2024
En 2024, JFrog Security Research a mis en lumière plusieurs découvertes majeures concernant la sécurité des logiciels. Parmi celles-ci, une porte dérobée a été identifiée dans XZ Utils, un package utilisé dans les distributions Linux, permettant un accès SSH non autorisé grâce à un code obscurci par un attaquant se faisant passer pour un développeur open source. L’équipe a également étudié les vulnérabilités des plateformes MLOps, révélant des risques d'attaques sur ces systèmes. De plus, environ 4,6 millions de dépôts sur Docker Hub ont été trouvés sans images, exposant les utilisateurs à des risques de sécurité. Une méthode de la bibliothèque Vanna.AI a permis l'exécution de code à distance, compromettant ainsi les machines des utilisateurs. Une menace similaire a été détectée sur Hugging Face, où un modèle malveillant a permis à un attaquant de prendre le contrôle des machines via une porte dérobée. Enfin, JFrog a alerté sur le détournement de 22 000 packages sur PyPI, où des attaquants exploitent des noms de packages supprimés pour infecter les utilisateurs. Ces découvertes soulignent l'importance d'une vigilance accrue face aux menaces de sécurité dans l'écosystème open source.
Sources :
Les forces de police ont marqué un point : les hackers gagnent moins d’argent désormais
Un rapport de Chainalysis, publié le 5 février, révèle une baisse significative de 35 % des paiements liés aux ransomwares en 2024, passant de 1,16 milliard d'euros à 755 millions d'euros. Cette diminution est attribuée à des actions renforcées des forces de l'ordre contre des groupes notoires comme LockBit et AlphV/BlackCat, qui ont perturbé l'écosystème du cybercrime. Bien que de nouveaux acteurs émergent, aucun n'a encore réussi à combler le vide laissé par ces groupes. Les entreprises, notamment les grandes, se montrent désormais plus résilientes face aux cyberattaques, investissant dans la cybersécurité et formant leurs employés. Beaucoup refusent de payer des rançons, s'appuyant sur des sauvegardes et des assurances pour récupérer leurs données. La méfiance envers les nouveaux gangs, qui manquent de la réputation de professionnalisme de leurs prédécesseurs, s'est également accrue. Cependant, malgré ces progrès, les ransomwares restent une menace sérieuse, comme en témoignent les récentes attaques contre des entreprises et des entités publiques en France. La vigilance demeure essentielle, car de nouveaux groupes, tels que Ransomhub, cherchent à s'imposer sur ce marché.
Sources :
Revolut va récompenser vos enfants et ados s’ils mettent de l’argent de côté
Revolut lance une nouvelle fonctionnalité d'épargne pour les jeunes de 6 à 17 ans, leur permettant de bénéficier de taux d'intérêt attractifs allant jusqu'à 2,75 %. Cette initiative vise à encourager les adolescents à économiser intelligemment plutôt qu'à laisser leur argent de poche sur un compte courant. Les intérêts sont crédités quotidiennement, offrant ainsi une visibilité sur la croissance de leur épargne. Les comptes sont supervisés par les parents, et les taux d'intérêt varient selon le statut de l'abonnement parental, allant de 1 % à 2,75 %. Bien que les taux d'intérêt de Revolut soient compétitifs par rapport au livret A, il est important de noter que les gains sont soumis à une flat tax de 30 %, ce qui réduit le rendement net. Malgré cela, l'offre de Revolut peut être un complément intéressant à un compte courant, permettant aux jeunes d'apprendre à gérer leur argent. En somme, cette nouvelle fonctionnalité de Revolut pourrait séduire les jeunes épargnants tout en leur offrant une expérience éducative sur la gestion financière.
Sources :
Hackers exploitant SimpleHelp RMM Flaws pour un accès persistant et des ransomwares
Des acteurs malveillants exploitent des vulnérabilités récemment révélées dans le logiciel de gestion à distance SimpleHelp pour préparer des attaques par ransomware. Selon un rapport de la société de cybersécurité Field Effect, ces failles, identifiées comme CVE-2024-57726, CVE-2024-57727 et CVE-2024-57728, permettent l'accès initial à un réseau cible et la création de comptes administrateurs, facilitant ainsi des actions post-exploitation. Les vulnérabilités ont été corrigées dans les versions 5.3.9, 5.4.10 et 5.5.8 de SimpleHelp, publiées en janvier 2025. Cependant, une campagne observée par Arctic Wolf a montré que des accès non autorisés étaient obtenus via le logiciel SimpleHelp. Field Effect a analysé une intrusion où l'accès initial a été réalisé à partir d'une instance vulnérable en Estonie, permettant des opérations de reconnaissance et l'installation d'un tunnel Cloudflare pour diriger le trafic vers des serveurs contrôlés par l'attaquant. Bien que l'attaque ait été détectée, elle aurait pu permettre le déploiement de ransomwares. Les chercheurs soulignent l'importance pour les organisations de mettre à jour leurs clients RMM et d'adopter des solutions de cybersécurité pour se protéger contre de telles menaces.
Sources :
Microsoft dit que les attaquants utilisent des clés ASP.NET exposées pour déployer des logiciels malveillants
Microsoft a récemment alerté sur des attaques de malware utilisant des clés ASP.NET exposées, notamment les clés validationKey et decryptionKey, qui sont conçues pour protéger le ViewState contre la falsification et la divulgation d'informations. Ces clés, souvent trouvées sur des plateformes de documentation et de dépôt de code, sont utilisées par des attaquants pour mener des attaques par injection de code. Le ViewState, essentiel pour maintenir l'état des applications ASP.NET, peut être manipulé par des acteurs malveillants qui exploitent ces clés pour créer des payloads malveillants. En décembre 2024, un attaquant a utilisé une clé machine connue pour déployer le framework Godzilla sur un serveur IIS ciblé, permettant l'exécution de code à distance. Microsoft a identifié plus de 3 000 clés publiquement divulguées susceptibles d'être utilisées dans ces attaques. Pour se protéger, l'entreprise recommande aux développeurs de générer des clés de manière sécurisée, d'éviter l'utilisation de clés par défaut, de chiffrer les éléments machineKey et connectionStrings, et de mettre à jour les applications vers ASP.NET 4.8. Microsoft a également fourni des instructions pour remplacer les clés dans le fichier de configuration web.config et a retiré des exemples de clés de sa documentation publique.
Sources :
Les pirates Kimsuky utilisent un nouveau wrapper RDP personnalisé pour un accès à distance
Le groupe de hackers nord-coréen Kimsuky a récemment été observé utilisant un RDP Wrapper personnalisé pour accéder à distance aux machines infectées, marquant un changement de tactique selon le Centre d'Intelligence de Sécurité AhnLab (ASEC). Au lieu de se fier uniquement à des portes dérobées bruyantes comme PebbleDash, Kimsuky emploie désormais une gamme diversifiée d'outils d'accès à distance. La chaîne d'infection commence par un email de spear-phishing contenant un fichier .LNK malveillant déguisé en document PDF ou Word, ciblant spécifiquement les victimes après une reconnaissance préalable. L'ouverture du fichier déclenche PowerShell ou Mshta pour récupérer des charges utiles supplémentaires, y compris PebbleDash et une version modifiée de RDP Wrapper, permettant un accès RDP persistant tout en contournant les mesures de sécurité. Ce RDP Wrapper personnalisé évite la détection antivirus et permet un contrôle à distance plus convivial, tout en contournant les restrictions de réseau. Une fois leur accès sécurisé, Kimsuky déploie des charges secondaires, telles qu'un keylogger et un infostealer, renforçant leur statut de menace persistante et évolutive dans le cyber-espionnage. Les dernières découvertes d'ASEC soulignent l'adoption de méthodes d'accès à distance plus discrètes pour prolonger leur présence dans les réseaux compromis.
Sources :
Bug RCE critique dans Microsoft Outlook maintenant exploité dans les attaques
Le 6 février 2025, la CISA a averti les agences fédérales américaines de sécuriser leurs systèmes contre des attaques exploitant une vulnérabilité critique de Microsoft Outlook, identifiée comme CVE-2024-21413. Découverte par le chercheur Haifei Li de Check Point, cette faille permet une exécution de code à distance (RCE) en raison d'une validation d'entrée incorrecte lors de l'ouverture d'e-mails contenant des liens malveillants. Les attaquants peuvent contourner la Protected View, qui est censée bloquer le contenu nuisible, et ouvrir des fichiers Office malveillants en mode édition. Microsoft avait déjà averti que le volet de prévisualisation pouvait être un vecteur d'attaque. La vulnérabilité, surnommée Moniker Link, permet aux acteurs malveillants de contourner les protections intégrées d'Outlook en utilisant le protocole file:// et en ajoutant un point d'exclamation dans les URL. CVE-2024-21413 affecte plusieurs produits Office et peut entraîner le vol d'identifiants NTLM et l'exécution de code arbitraire. La CISA a ajouté cette vulnérabilité à son catalogue des vulnérabilités exploitées, demandant aux agences fédérales de sécuriser leurs réseaux d'ici le 27 février. Les organisations privées sont également encouragées à corriger cette faille.
Sources :
Les pirates exploitent SimpleHelp RMM Flaws pour déployer des logiciels malveillants Sliver
Des hackers exploitent des vulnérabilités dans le client SimpleHelp RMM pour créer des comptes administrateurs, installer des portes dérobées et préparer des attaques par ransomware. Les failles, identifiées comme CVE-2024-57726, CVE-2024-57727 et CVE-2024-57728, ont été signalées comme potentiellement exploitées par Arctic Wolf, bien que la confirmation manque. La société de cybersécurité Field Effect a confirmé l'exploitation active de ces vulnérabilités et a publié un rapport sur les activités post-exploitation. Les chercheurs ont noté des signes d'attaques de ransomware Akira, sans toutefois pouvoir établir une attribution définitive. Les attaquants ont d'abord exploité les vulnérabilités pour établir une connexion non autorisée à un endpoint cible, puis ont exécuté des commandes de découverte pour collecter des informations sur l'environnement. Ils ont créé un compte administrateur nommé "sqladmin" et installé le framework Sliver, qui permet de maintenir l'accès et d'exécuter des commandes. Les utilisateurs de SimpleHelp sont conseillés d'appliquer les mises à jour de sécurité disponibles et de vérifier les comptes administrateurs suspects. Il est également recommandé de restreindre l'accès à SimpleHelp aux plages IP de confiance pour éviter les accès non autorisés.
Sources :
6 étapes incontournables pour gérer les certificats PKI sans stress
Keyfactor propose six conseils pour une gestion efficace et sans stress des certificats PKI. Premièrement, il est crucial de créer un inventaire complet des certificats, en utilisant un outil automatisé pour analyser l'infrastructure et centraliser les données. Deuxièmement, l'automatisation et la centralisation des certificats sont essentielles pour éviter les erreurs lors des renouvellements manuels, en particulier pour les entreprises ayant des déploiements complexes. Troisièmement, la crypto-agilité est nécessaire pour adapter en permanence les méthodes de chiffrement face aux vulnérabilités et aux expirations de certificats. Quatrièmement, il est recommandé de constituer une équipe expérimentée, car la gestion des certificats PKI nécessite des compétences spécifiques. Cinquièmement, l'intégration de technologies modernes comme DevOps et l'IoT est indispensable, car elles augmentent la nécessité de certificats numériques sécurisés. Enfin, un outil PKI d'entreprise peut simplifier la maintenance des certificats, en offrant une solution adaptée aux défis croissants liés à la sécurité numérique. En suivant ces conseils, les entreprises peuvent améliorer leur gestion des certificats PKI tout en réduisant le stress associé à cette tâche complexe.
Sources :
La réglementation DORA : une nouvelle ère pour la résilience numérique du secteur financier européen
L'Union européenne a introduit le DORA (Digital Operational Resilience Act), une législation essentielle entrée en vigueur en novembre 2022, visant à renforcer la résilience opérationnelle du secteur financier face aux cybermenaces croissantes. DORA impose aux institutions financières de l'UE d'adopter des mesures strictes de cybersécurité et de gestion des risques liés aux technologies de l'information et de la communication (TIC). La réglementation se concentre sur cinq domaines clés : gestion des risques TIC, sécurité des données, journalisation, gestion des identités et détection des incidents. OpenText Cybersecurity se positionne comme un partenaire stratégique pour aider ces institutions à se conformer à DORA, en offrant des solutions telles que cyDNA pour la gestion des menaces, NetIQ pour la gestion des identités, ArcSight pour la détection des cybermenaces, Fortify pour la sécurité des applications et Voltage pour le chiffrement des données. En intégrant ces outils, les institutions financières peuvent non seulement respecter les exigences de DORA, mais aussi établir un cadre de sécurité robuste. Cette législation représente une avancée significative pour un secteur financier européen plus résilient, préparé à faire face aux défis de la transformation numérique.
Sources :
Étude Bitdefender : Escroquerie au recrutement sur LinkedIn du groupe Lazarus
Bitdefender a récemment révélé une campagne active sur LinkedIn orchestrée par le groupe Lazarus (APT38), associé à la Corée du Nord. Cette opération vise à voler des informations d'identification et à propager des malwares via de fausses offres d'emploi. Bien que LinkedIn soit un outil précieux pour les professionnels, il est devenu une cible pour les cybercriminels qui exploitent la confiance des utilisateurs. La campagne commence par une offre de collaboration sur un projet de crypto-monnaie, attirant les victimes potentielles. Une fois intéressées, les cibles sont invitées à fournir leur CV ou un lien vers leur dépôt GitHub, permettant aux attaquants de collecter des informations personnelles. Les cybercriminels partagent ensuite un dépôt contenant un « produit minimum viable » et un lien vers une démo, incitant les victimes à cliquer et à exécuter un code malveillant. Ce code inclut une porte dérobée, un voleur d'informations, un enregistreur de frappe et un cryptomineur. Bitdefender exhorte les utilisateurs et les organisations à faire preuve de vigilance face à ces menaces sophistiquées. L'étude complète est accessible sur le site de Bitdefender.
Sources :
Le bug critique Cisco ISE peut laisser les attaquants exécuter les commandes comme racine
Cisco a publié des correctifs pour deux vulnérabilités critiques dans sa plateforme de gestion des politiques de sécurité, l'Identity Services Engine (ISE). Ces failles, identifiées comme CVE-2025-20124 et CVE-2025-20125, peuvent être exploitées par des attaquants distants authentifiés disposant de privilèges d'administrateur en lecture seule, leur permettant d'exécuter des commandes arbitraires en tant que root et de contourner l'autorisation sur des appareils non corrigés. La première vulnérabilité est due à une désérialisation non sécurisée de flux Java, tandis que la seconde résulte d'un manque d'autorisation dans une API spécifique. Cisco recommande aux administrateurs de migrer ou de mettre à jour leurs appareils ISE vers des versions corrigées. Bien que ces vulnérabilités aient été signalées par des chercheurs de Deloitte, aucune preuve d'exploitation publique n'a été trouvée jusqu'à présent. Par ailleurs, Cisco a également averti d'autres vulnérabilités de haute sévérité affectant ses logiciels IOS et NX-OS, qui pourraient permettre des attaques par déni de service. Des mises à jour pour ces problèmes sont prévues en février et mars.
