La bibliothèque XMLRPC npm devient malveillante, vole des données et déploie un mineur de crypto-monnaie - Actus du 28/11/2024
Découvrez l'avenir de la sécurité sans serveur en 2025, les risques liés à la bibliothèque XMLRPC npm devenue malveillante, et comment une cyberattaque a paralysé un réseau hospitalier britannique, forçant le report des interventions. Protégez-vous dès maintenant !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
L'avenir de la sécurité sans serveur en 2025 : des journaux à la protection d'exécution
Les environnements serverless, comme AWS Lambda, offrent des avantages en termes de scalabilité et d'efficacité, mais présentent des défis en matière de sécurité. Les pratiques actuelles se concentrent principalement sur la surveillance des journaux et l'analyse statique du code. Cependant, ces méthodes peuvent échouer à détecter des intrusions, comme l'injection de code malveillant dans une fonction serverless qui n'interagit pas avec des ressources externes. Les outils traditionnels, basés sur les journaux, ne capturent pas les actions internes, laissant les attaques invisibles. Pour remédier à cela, il est essentiel d'utiliser des outils qui surveillent les opérations internes en temps réel. Sweet Security a développé un capteur innovant pour AWS Lambda, capable de détecter et de bloquer les comportements anormaux au sein des fonctions. Ce capteur surmonte les limites des outils de sécurité traditionnels en offrant une surveillance approfondie et en temps réel, permettant ainsi de prévenir les menaces avant qu'elles ne compromettent le système. Dans un contexte où l'informatique serverless devient essentielle, la capacité à sécuriser ces environnements en temps réel est cruciale pour les organisations souhaitant adopter cette technologie tout en protégeant leurs données.
Sources :
La bibliothèque XMLRPC npm devient malveillante, vole des données et déploie un mineur de crypto-monnaie
Des chercheurs en cybersécurité ont découvert une attaque de la chaîne d'approvisionnement logicielle sur le registre npm, active depuis plus d'un an. Le paquet malveillant, nommé @0xengine/xmlrpc, a été publié le 2 octobre 2023 comme une bibliothèque innocente pour Node.js, mais a ensuite intégré du code malveillant dans sa version 1.3.4. Ce code vole des données sensibles, telles que des clés SSH et des variables d'environnement, et mine des cryptomonnaies sur les systèmes infectés. Le paquet a été téléchargé 1 790 fois et est accessible sur le registre. L'attaque s'est propagée via des installations directes et comme dépendance cachée dans un projet GitHub, yawpp, qui prétend être un outil pour WordPress. Une fois installé, le malware collecte des informations système, établit une persistance et déploie un mineur de Monero, affectant jusqu'à 68 systèmes. Les chercheurs soulignent que la longévité d'un paquet ne garantit pas sa sécurité, appelant à une vigilance constante. Parallèlement, Datadog Security Labs a identifié une campagne malveillante ciblant les utilisateurs Windows avec des paquets contrefaits sur npm et PyPI, visant à déployer des malwares tels que Blank-Grabber.
Sources :
Un réseau hospitalier britannique reporte ses interventions après une cyberattaque
Le Wirral University Teaching Hospital (WUTH), un important fournisseur de soins de santé au Royaume-Uni, a subi une cyberattaque qui a entraîné une panne de systèmes, forçant le report de rendez-vous et de procédures programmées. L'incident a été rendu public le lundi 28 novembre 2024, et les perturbations persistent. WUTH, qui fait partie de la NHS Foundation Trust, gère plusieurs hôpitaux, dont l'hôpital Arrowe Park, et offre des services d'urgence, de soins critiques, de chirurgie, ainsi que des soins pédiatriques et oncologiques. En raison de l'attaque, l'organisation a dû mettre certains systèmes informatiques hors ligne et revenir à des opérations manuelles, ce qui a causé des retards et des interruptions de service. Bien que les services restent disponibles, les temps d'attente pour les traitements d'urgence ont augmenté, et les patients sont invités à se rendre aux urgences uniquement en cas d'urgence réelle. Un membre du personnel a décrit la situation comme "très difficile", soulignant que l'accès aux dossiers et résultats est impossible, rendant les opérations manuelles compliquées. À ce jour, aucun groupe de ransomware n'a revendiqué l'attaque.
Sources :
Cybersécurité : cinq tendances à prévoir en 2025 selon les prédictions du FortiGuard Labs
L'article met en lumière les tendances émergentes en cybersécurité pour 2025 et au-delà, soulignant la nécessité pour les entreprises de renforcer leur résilience face aux cybermenaces. Parmi les principales tendances, on note une montée en compétences des cybercriminels, qui perfectionnent leurs attaques grâce à des services de type CaaS (Cybercrime as a Service), offrant des outils variés pour mener des attaques ciblées. Les environnements cloud deviennent des cibles privilégiées, avec une exploitation accrue des vulnérabilités par les assaillants, incitant les entreprises à redoubler de vigilance. De plus, l'utilisation croissante d'outils de piratage automatisés sur le Dark Web, ainsi que l'intégration de menaces physiques dans les stratégies d'attaque, rendent la situation encore plus préoccupante. Pour contrer ces évolutions, il est crucial que la communauté de la cybersécurité élargisse ses cadres de lutte et favorise la collaboration entre organisations. Le déploiement de programmes de sensibilisation et de formation à la cybersécurité est essentiel pour gérer les risques. En somme, une approche collective et proactive est indispensable pour faire face à la cybercriminalité croissante et protéger efficacement les entreprises.
Sources :
Des cybercriminels exploitent le moteur de jeu populaire Godot pour distribuer des logiciels malveillants multiplateformes
Le moteur de jeu open-source Godot Engine est détourné dans une campagne de malware nommée GodLoader, infectant plus de 17 000 systèmes depuis juin 2024. Selon Check Point, les cybercriminels exploitent Godot pour exécuter du code GDScript malveillant, contournant presque tous les antivirus. Godot, qui permet de créer des jeux 2D et 3D sur plusieurs plateformes, est devenu une cible attrayante pour les attaquants, élargissant ainsi leur surface d'attaque. La campagne utilise le Stargazers Ghost Network, constitué d'environ 200 dépôts GitHub et plus de 225 faux comptes, pour distribuer GodLoader, rendant les dépôts malveillants apparemment légitimes. Les attaques, observées en septembre et octobre 2024, utilisent des exécutables Godot pour déployer des malwares comme RedLine Stealer et le mineur de cryptomonnaie XMRig. GodLoader est principalement conçu pour cibler Windows, mais peut facilement être adapté à macOS et Linux. Les attaquants pourraient également compromettre des jeux légitimes en manipulant des fichiers .PCK. Cette situation souligne l'importance de télécharger des logiciels uniquement à partir de sources fiables, car les acteurs malveillants exploitent des services légitimes pour échapper aux mécanismes de sécurité.
Sources :
Mesurer l’expérience numérique de vos utilisateurs avec le DEM
La transformation numérique a modifié les attentes des utilisateurs, qui recherchent des connexions fiables et performantes, que ce soit au bureau ou en télétravail. Les responsables informatiques doivent donc relever le défi d'obtenir une visibilité précise de l'expérience utilisateur dans des infrastructures réseau complexes. Le Digital Experience Monitoring (DEM) de Cato Networks répond à ce besoin en offrant une supervision continue et innovante. Contrairement aux outils traditionnels, le DEM analyse chaque interaction utilisateur et surveille le trafic de bout en bout, permettant un diagnostic précis des performances applicatives et réseau. Grâce à des analyses « hop-by-hop », il identifie rapidement l'origine des problèmes, comme la latence sur une application SaaS. L'intégration de l'intelligence artificielle permet une analyse proactive des incidents, corrélant les anomalies pour anticiper les problèmes. Les alertes en temps réel fournissent des recommandations d'action, optimisant ainsi la gestion du trafic. En s'intégrant à la plateforme SASE de Cato, le DEM assure sécurité et performance dans des environnements hétérogènes. SASETY, en tant que partenaire stratégique, accompagne les organisations dans l'intégration de cette solution, garantissant une transformation numérique réussie.
Sources :
Le géant américain des télécommunications T-Mobile détecte des tentatives d'intrusion sur son réseau provenant d'un fournisseur de services fixes
T-Mobile, un fournisseur de services de télécommunications américain, a récemment détecté des tentatives d'intrusion dans ses systèmes, mais a confirmé qu'aucune donnée sensible n'avait été compromise. Jeff Simon, responsable de la sécurité chez T-Mobile, a indiqué que ces tentatives provenaient d'un réseau d'un fournisseur de services filaires connecté au sien. L'entreprise a réussi à empêcher les acteurs malveillants de perturber ses services ou d'accéder aux informations des clients, et a coupé la connectivité avec le réseau concerné. Bien qu'aucun groupe spécifique n'ait été désigné, T-Mobile a partagé ses découvertes avec le gouvernement américain. Simon a précisé que les attaquants exécutaient des commandes de découverte sur les routeurs pour explorer la topographie du réseau, mais que les attaques avaient été contenues avant qu'elles ne se propagent. Cet incident survient peu après des rapports sur un groupe d'espionnage cybernétique lié à la Chine, Salt Typhoon, qui a ciblé plusieurs entreprises de télécommunications américaines. T-Mobile a souligné que ses défenses avaient fonctionné comme prévu, empêchant les attaquants d'accéder à des informations sensibles.
Sources :
Microsoft réédite les mises à jour d'Exchange après avoir corrigé la distribution du courrier
Microsoft a relancé les mises à jour de sécurité de novembre 2024 pour Exchange Server après les avoir retirées en raison de problèmes de livraison des e-mails. Ces mises à jour avaient été suspendues suite à des rapports d'administrateurs signalant que les e-mails ne circulaient plus dans leurs organisations, en particulier pour ceux utilisant des règles de flux de transport ou de protection des données. L'équipe Exchange a conseillé aux administrateurs ayant installé la première version des mises à jour (Nov 2024 SUv1) de déployer la version corrigée (Nov 2024 SUv2), qui résout ces problèmes. Un tableau a été fourni pour guider les administrateurs selon leur situation. Par ailleurs, Microsoft recommande d'exécuter le script Exchange Health Checker après l'installation des mises à jour pour détecter d'éventuels problèmes de configuration. La disponibilité de la version SUv2 via Windows Update a été retardée jusqu'en décembre pour éviter des installations automatiques pendant les vacances de Thanksgiving. Cette mise à jour inclut également un meilleur contrôle pour la détection des en-têtes P2 FROM non conformes aux RFC, visant à avertir sur les e-mails malveillants exploitant une vulnérabilité critique (CVE-2024-49040).
Sources :
Des pirates informatiques abusent du moteur de jeu populaire Godot pour infecter des milliers de PC
Des hackers ont exploité le malware GodLoader pour infecter plus de 17 000 systèmes en trois mois, en utilisant le moteur de jeu Godot. Selon Check Point Research, ce malware permet aux cybercriminels de cibler les joueurs sur toutes les plateformes majeures, y compris Windows, macOS, Linux, Android et iOS. En tirant parti de la flexibilité de Godot et de son langage de script GDScript, les attaquants peuvent exécuter du code arbitraire et contourner les systèmes de détection en intégrant des scripts malveillants dans des fichiers .pck. Une fois chargés, ces fichiers déclenchent du code malveillant sur les appareils des victimes, permettant le vol de données d'identification ou le téléchargement de logiciels supplémentaires, comme le mineur de crypto-monnaie XMRig. Entre septembre et octobre 2024, plus de 200 dépôts contrôlés par des comptes fantômes ont été utilisés pour déployer le malware, exploitant la confiance des victimes envers les plateformes open-source. Bien que les chercheurs aient principalement découvert des échantillons ciblant Windows, des preuves de concept montrent que le malware peut facilement être adapté pour attaquer d'autres systèmes. Le mainteneur de Godot a précisé que la vulnérabilité n'est pas spécifique à Godot et que les utilisateurs ne sont pas en danger s'ils n'installent pas de logiciels malveillants.
Sources :
Des pirates informatiques exploitent la faille ProjectSend pour exposer les serveurs par porte dérobée
Des hackers exploitent une faille critique d'authentification dans ProjectSend, identifiée comme CVE-2024-11680, pour accéder à distance à des serveurs vulnérables. Cette faille, affectant les versions antérieures à r1720, permet aux attaquants d'envoyer des requêtes HTTP malveillantes pour modifier la configuration de l'application via 'options.php'. Bien que le correctif ait été publié le 16 mai 2023, il n'a été référencé qu'hier, laissant de nombreux utilisateurs dans l'ignorance de sa gravité. Selon VulnCheck, 99 % des instances de ProjectSend restent vulnérables, avec environ 4 000 instances exposées en ligne. Les chercheurs notent que 55 % des serveurs utilisent une version r1605, tandis que seulement 1 % est à jour avec la version r1750. L'exploitation active de cette faille a été observée depuis septembre 2024, avec des outils comme Metasploit et Nuclei facilitant les attaques. Les hackers modifient les fichiers de configuration pour changer les titres des pages d'accueil des serveurs compromis. VulnCheck avertit que des webshells sont stockés dans le répertoire 'upload/files', rendant l'accès direct à ces fichiers un signe d'exploitation active. Une mise à jour urgente vers la version r1750 est fortement recommandée.
Sources :
Zello demande aux utilisateurs de réinitialiser leurs mots de passe après un incident de sécurité
Zello, un service de communication mobile comptant 140 millions d'utilisateurs, a averti ses clients de réinitialiser leurs mots de passe si leur compte a été créé avant le 2 novembre 2024, suite à un incident de sécurité potentiel. Au cours des deux dernières semaines, de nombreux utilisateurs ont reçu une notification de sécurité les incitant à changer leur mot de passe. Zello a précisé dans son message : "Par précaution, nous demandons de réinitialiser votre mot de passe pour tout compte créé avant le 2 novembre 2024." L'entreprise recommande également de modifier les mots de passe d'autres services en ligne utilisant les mêmes identifiants. Bien que la nature exacte de l'incident reste floue, il pourrait s'agir d'une violation de données ou d'une attaque par "credential stuffing", suggérant que des acteurs malveillants pourraient avoir eu accès aux mots de passe des utilisateurs. Les clients concernés n'ont pas reçu d'informations supplémentaires, et les tentatives de contact avec Zello par BleepingComputer sont restées sans réponse. Ce n'est pas la première fois que Zello fait face à un problème de sécurité, ayant déjà subi une violation de données en 2020.
Sources :
Microsoft affirme qu'il n'utilise pas vos données Word et Excel pour la formation de l'IA
Microsoft a démenti les allégations selon lesquelles elle utiliserait les données des applications Microsoft 365, telles que Word et Excel, pour former ses modèles d'intelligence artificielle (IA). Cette déclaration fait suite à un article sur Tumblr affirmant que la fonctionnalité "Connected Experiences" permettait à l'entreprise de collecter des données des utilisateurs pour l'entraînement de l'IA. Un porte-parole de Microsoft a précisé que les données des applications Microsoft 365, tant pour les consommateurs que pour les entreprises, ne sont pas utilisées à cette fin. La fonctionnalité "Connected Experiences", introduite en avril 2019, est activée par défaut et permet des fonctionnalités telles que la co-écriture, des suggestions grammaticales en temps réel et l'accès à des ressources en ligne. Microsoft a également souligné que cette option peut être désactivée par les utilisateurs à tout moment. Les fonctionnalités d'IA intégrées dans Microsoft 365, comme Designer dans PowerPoint et Editor dans Word, reposent sur des algorithmes d'apprentissage automatique simples, et non sur des modèles de langage génératifs. Les administrateurs d'entreprise peuvent gérer les paramètres de confidentialité pour les utilisateurs de Microsoft 365 dans leurs organisations.
Sources :
Des chercheurs découvrent le premier malware bootkit UEFI pour Linux
Des chercheurs ont découvert le premier bootkit UEFI ciblant spécifiquement les systèmes Linux, nommé 'Bootkitty'. Ce malware, encore au stade de preuve de concept, fonctionne uniquement sur certaines versions et configurations d'Ubuntu, et n'est pas encore déployé dans des attaques réelles. Les bootkits infectent le processus de démarrage d'un ordinateur, permettant au malware de prendre le contrôle à un niveau très bas, échappant ainsi aux outils de sécurité au niveau du système d'exploitation. ESET, l'entreprise à l'origine de cette découverte, souligne que Bootkitty représente une évolution significative des menaces de bootkits UEFI, bien que ses implications actuelles soient limitées. Bootkitty utilise un certificat auto-signé, ce qui l'empêche de s'exécuter sur des systèmes avec Secure Boot activé. Il exploite des fonctions GRUB pour manipuler les vérifications d'intégrité et injecte des bibliothèques malveillantes lors du démarrage. Malgré ses capacités, le malware présente de nombreux bogues et des problèmes de compatibilité, ce qui limite son utilisation. La découverte de Bootkitty illustre l'évolution des menaces Linux, alors que ce système devient de plus en plus adopté par les entreprises. Des indicateurs de compromission associés à Bootkitty sont disponibles sur un dépôt GitHub.
Sources :
Des pirates informatiques chinois ont piraté les routeurs de T-Mobile pour surveiller le réseau
Des hackers chinois, connus sous le nom de "Salt Typhoon", ont récemment compromis les systèmes de T-Mobile en accédant à certains de ses routeurs pour explorer le réseau. Cependant, l'entreprise a réussi à bloquer ces acteurs malveillants avant qu'ils ne puissent accéder aux informations des clients. Ce groupe, également suivi sous d'autres noms, est actif depuis 2019 et cible principalement des entités gouvernementales et des entreprises de télécommunications en Asie du Sud-Est. Jeff Simon, le directeur de la sécurité de T-Mobile, a indiqué que l'attaque provenait d'un fournisseur de services filaires connecté et a été stoppée grâce à des défenses cybernétiques efficaces, incluant une surveillance proactive et une segmentation du réseau. T-Mobile a détecté des comportements suspects sur ses routeurs, mais a assuré que les données sensibles des clients, telles que les appels et les messages, n'avaient pas été compromises. L'entreprise a rapidement coupé la connectivité avec le réseau du fournisseur suspecté d'être compromis. Les agences fédérales américaines, CISA et FBI, ont confirmé que d'autres fournisseurs de télécommunications avaient également été ciblés par des attaques similaires, entraînant des violations de données sensibles.
