La progression de l’IA dans les attaques de phishing : pourquoi même les plus expérimentés peuvent en être victimes - Actus du 14/01/2025
Découvrez comment une faille zero-day menace les pare-feu Fortinet, l'escroquerie de prêt immobilier UBS révélée par ZATAZ, et les applications Microsoft 365 qui se bloquent après une mise à jour sur Windows Server. Ne manquez pas ces alertes cruciales!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Fortinet met en garde contre une faille zero-day de contournement d'authentification exploitée pour pirater les pare-feu
Fortinet a alerté sur une vulnérabilité zero-day d'authentification par contournement (CVE-2024-55591) exploitée pour détourner ses pare-feu FortiOS et FortiProxy, affectant plusieurs versions de ces systèmes. Les attaquants peuvent obtenir des privilèges de super-administrateur en envoyant des requêtes malveillantes au module websocket de Node.js. Ils créent des comptes administratifs aléatoires sur les dispositifs compromis, les ajoutent à des groupes d'utilisateurs SSL VPN existants ou en créent de nouveaux, et modifient les politiques de pare-feu. Une campagne d'attaques a été identifiée par Arctic Wolf, qui a observé des connexions administratives non autorisées et des modifications de configuration sur des pare-feu exposés à Internet depuis novembre 2024. Fortinet recommande de désactiver l'accès à l'interface de gestion des pare-feu sur les interfaces publiques et de restreindre les adresses IP autorisées. Arctic Wolf a fourni une chronologie des phases d'exploitation de cette vulnérabilité, soulignant la nécessité d'une vigilance accrue. En parallèle, Fortinet a publié des correctifs pour une autre vulnérabilité critique (CVE-2023-37936) permettant à des attaquants non authentifiés d'exécuter du code non autorisé.
Sources :
Arnaque 3.0 : le faux prêt immobilier UBS dévoilé par ZATAZ
Une arnaque sophistiquée ciblant les consommateurs français a été révélée, impliquant de faux prêts immobiliers prétendument offerts par la banque UBS. Les escrocs, utilisant des documents falsifiés et des adresses électroniques usurpées, trompent leurs victimes grâce à un système bien organisé. La fraude se manifeste principalement par des appels téléphoniques, où les malfaiteurs demandent des pièces justificatives sensibles telles que des pièces d'identité, des bulletins de salaire et des relevés bancaires. L'adresse électronique utilisée par les fraudeurs, bien que semblant légitime, est associée à un domaine récemment créé, rendant la détection difficile. Peu de sites anti-spam identifient cette adresse comme suspecte, ce qui augmente le risque pour les victimes. UBS a confirmé que des individus avaient réussi à obtenir des documents personnels en se faisant passer pour des employés de la banque. Pour se protéger, il est conseillé de vérifier les sources des appels, d'analyser attentivement les adresses électroniques, de ne pas partager de documents sans garanties et de signaler toute tentative suspecte aux autorités. Ces précautions peuvent aider à limiter l'impact de telles escroqueries.
Sources :
Les applications Microsoft 365 se bloquent sur Windows Server après la mise à jour d'Office
Microsoft a confirmé un problème connu provoquant des plantages des applications Classic Outlook et Microsoft 365 sur les systèmes Windows Server 2016 et 2019, suite à une mise à jour récente d'Office. De nombreux utilisateurs ont signalé que des applications telles qu'Excel, Word, Outlook et PowerPoint se fermaient dans les 15 secondes suivant leur lancement. La cause principale est l'intégration du framework React Native pour certaines fonctionnalités des applications Microsoft 365. Ce problème affecte les utilisateurs ayant mis à jour leurs applications vers la version 2412 (Build 18324.20168). Pour atténuer l'impact, Microsoft a rétabli la version 2411 pour les utilisateurs de Windows Server 2016 et est en train d'évaluer une solution similaire pour Windows Server 2019. Les utilisateurs non automatiquement rétablis peuvent suivre une procédure manuelle pour revenir à la version précédente. En parallèle, Microsoft a également résolu une panne d'authentification à deux facteurs (MFA) qui empêchait l'accès aux applications Microsoft 365. Ce problème s'ajoute à d'autres incidents récents, notamment des erreurs de "Produit désactivé" et une panne généralisée due à des problèmes de génération de jetons.
Sources :
Fuites de 30 millions d’identifiants de localisation GPS : quels risques ?
Plus de 30 millions d’identifiants de localisation ont été volés et publiés sur un forum de hackers russes, suite à un piratage de Gravy Analytics, une entreprise spécialisée dans la collecte et la revente de données de géolocalisation. Les informations compromises incluent des coordonnées GPS, des historiques de déplacement et des horaires précis, représentant environ 10 téraoctets de données. Benoit Grunemwald, expert en cybersécurité chez ESET France, souligne que ces données sont sensibles et peuvent être utilisées non seulement à des fins marketing, mais aussi pour l'espionnage, notamment dans des contextes géopolitiques. Les particuliers, bien que souvent indifférents à ces fuites, sont exposés à des risques accrus de cyberattaques, notamment des attaques de phishing ciblées. De plus, la fuite de ces informations peut engendrer un sentiment de violation de la vie privée, provoquant stress et méfiance envers le numérique et les institutions. Grunemwald insiste sur l'importance de protéger ces données personnelles, qui révèlent non seulement les habitudes des individus, mais aussi des informations sur leur entourage et leur mode de vie. Cette situation met en lumière les enjeux cruciaux de la sécurité des données à l'ère numérique.
Sources :
Les clients de Kiabi et Showroomprivé victimes de credential stuffing : quels risques ?
Showroomprivé et Kiabi ont récemment averti leurs clients d'une cyberattaque ciblant leurs comptes en ligne, où des cybercriminels ont utilisé la méthode du credential stuffing pour accéder aux données. Cette technique consiste à tenter de se connecter à des comptes en ligne en utilisant des identifiants volés ou devinés, exploitant la tendance des utilisateurs à réutiliser les mêmes mots de passe sur plusieurs sites. Bien que les enseignes aient rapidement détecté ces tentatives et conseillé à leurs clients de changer leurs mots de passe, des données personnelles ont tout de même été compromises. Benoit Grunemwald, expert en cybersécurité chez ESET France, souligne que les fuites de données en 2024 ont facilité la création de bases de données d'identifiants. Pour contrer ces attaques, il est recommandé aux entreprises d'instaurer des limites sur le nombre de tentatives de connexion, d'ajouter une authentification multi-facteur et d'envisager des méthodes de connexion sans mot de passe. Les utilisateurs sont également encouragés à utiliser des gestionnaires de mots de passe pour générer des mots de passe complexes et uniques, à activer l'authentification multi-facteur et à rester vigilants face aux fuites de données.
Sources :
La progression de l’IA dans les attaques de phishing : pourquoi même les plus expérimentés peuvent en être victimes
Les avancées de l'intelligence artificielle (IA) transforment les pratiques des cybercriminels, notamment à travers le phishing. Selon une étude de Kaspersky, les cyberattaques ont augmenté de près de 50 % en un an, avec le phishing en tête des menaces. L'IA permet aux escrocs de personnaliser leurs courriels d'hameçonnage en utilisant des informations publiques, rendant ces attaques plus difficiles à détecter. Par exemple, un directeur financier pourrait recevoir un message frauduleux imitant le style de son PDG, ce qui complique la distinction entre communications légitimes et malveillantes. De plus, les deepfakes sont utilisés pour créer des messages audio et vidéo réalistes, augmentant le risque d'escroqueries. Même les employés expérimentés peuvent tomber dans le piège, car l'IA exploite des émotions humaines telles que l'urgence ou la peur. Pour contrer ces menaces, les organisations doivent adopter une approche de cybersécurité multicouche, incluant une formation régulière sur l'IA et des outils de détection des anomalies. Un modèle de sécurité Zero Trust est également recommandé pour limiter l'accès aux données sensibles, garantissant ainsi une protection renforcée contre les attaques. Ces mesures combinées forment une stratégie de défense efficace contre le phishing alimenté par l'IA.
Sources :
Ransomware LockBit : arrestation du développeur clé, Rostislav Panev
Les autorités américaines ont arrêté Rostislav Panev, 51 ans, en Israël, accusé d'être le développeur clé du ransomware LockBit, actif de 2019 à 2024. Une plainte déposée dans le New Jersey l'accuse de violations de la loi sur la fraude informatique. Panev, citoyen russe et israélien, aurait conçu LockBit, un ransomware sophistiqué capable d'échapper aux systèmes de sécurité, permettant à ses affiliés de mener des attaques ciblées. Son arrestation en août 2024 a été le résultat d'une opération internationale, nommée Kronos, impliquant Interpol et les services de renseignement israéliens, qui a permis de retracer ses activités en ligne et ses communications avec d'autres membres du groupe, notamment Dmitry Khoroshev, l'administrateur principal. Bien que cette arrestation soit une avancée significative dans la lutte contre le cybercrime, LockBit continue de représenter une menace persistante. La collaboration internationale demeure cruciale face à l'évolution des menaces, et LockBit 4.0 pourrait rendre 2025 particulièrement difficile pour la cybersécurité. L'arrestation de Panev marque un tournant, mais ne met pas fin à l'activité du ransomware.
Sources :
4 raisons pour lesquelles votre surface d'attaque SaaS ne peut plus être ignorée
L'essor des comptes SaaS dans les entreprises entraîne une multiplication des identités à sécuriser et des risques liés aux tiers. Avec la montée en puissance des outils SaaS, les employés, agissant comme des "CIO citoyens", créent en moyenne un nouveau compte toutes les deux semaines, ce qui complique la gestion de la sécurité. Selon le rapport 2024 de Verizon, les applications web, principalement SaaS, représentent environ 50 % des incidents de sécurité, tandis que 80 % des violations de données impliquent des identités compromises. Gartner souligne que d'ici 2027, les organisations qui ne gèrent pas centralement leurs cycles de vie SaaS seront cinq fois plus vulnérables aux cyberincidents. La visibilité sur la surface d'attaque SaaS est essentielle pour sécuriser proactivement les comptes et les données. Nudge Security offre une découverte automatisée des applications SaaS, y compris celles liées à l'IA générative, dont l'adoption a explosé depuis 2023. De plus, les nouvelles règles de la SEC exigent des entreprises publiques qu'elles divulguent rapidement les incidents de cybersécurité, soulignant l'importance de la sécurité pour la stabilité financière. Nudge Security aide à identifier les risques tiers et à optimiser la gestion des applications SaaS, contribuant ainsi à une meilleure gouvernance et à des économies potentielles.
Sources :
Une vulnérabilité de Nuclei pourrait permettre de contourner la vérification de signature
Des chercheurs de Wiz ont découvert une vulnérabilité critique dans le scanner de vulnérabilités Nuclei, permettant l'injection de code malveillant. Nuclei, un outil open-source de ProjectDiscovery, est largement utilisé pour le scan de vulnérabilités grâce à ses modèles basés sur YAML. La faille, identifiée comme un contournement de la vérification de signature (CVE-2024-43405), pourrait permettre à un attaquant d'inclure des codes malveillants dans les modèles cibles. Le processus de vérification de signature de Nuclei implique l'extraction de la signature via des expressions régulières, suivie d'un hachage du contenu restant et de la validation de ce hachage. Cependant, un conflit entre l'analyse par regex et le parsing YAML a été identifié : la ligne de signature est traitée comme un commentaire par le parser YAML, ce qui permet à des codes malveillants de passer inaperçus. Cette vulnérabilité a reçu une note de gravité élevée avec un score CVSS de 7.8. Les développeurs ont corrigé le problème dans la version 3.3.2 de Nuclei. Les utilisateurs sont donc encouragés à mettre à jour vers cette version ou ultérieure, et à utiliser Nuclei dans des environnements isolés si une mise à jour immédiate n'est pas possible.
Sources :
Telegram sous le feu des projecteurs : partage accéléré des données utilisateurs
Telegram a récemment modifié sa politique de confidentialité en raison d'une pression réglementaire accrue et d'une arrestation marquante de son PDG, Pavel Durov, en août 2024 en France. Après sa libération, Durov a promis de rendre la plateforme plus accessible aux enquêtes légales, ce qui a conduit à un partage accru de données sensibles avec les forces de l'ordre. Historiquement, Telegram était reconnu pour sa protection de la vie privée, mais cette nouvelle orientation suscite des inquiétudes quant à une surveillance massive. Pour apaiser les critiques, Telegram a lancé un bot nommé « Transparency Reports », qui résume les demandes officielles reçues par pays. Les données du dernier trimestre 2024 montrent une concentration des requêtes dans des pays comme le Royaume-Uni, l'Espagne et la Belgique. Bien que certains voient cela comme un pas vers la responsabilité, d'autres craignent des abus, notamment dans des régimes autoritaires. Cette situation soulève des questions éthiques sur l'utilisation des données et met en lumière le dilemme entre sécurité publique et protection de la vie privée. Telegram doit naviguer entre conformité légale et respect des droits humains, tout en maintenant sa promesse de transparence.
Sources :
Le marché illicite de Telegram sur HuiOne dépasse Hydra et atteint 24 milliards de dollars de transactions cryptographiques
HuiOne Guarantee, un marché en ligne basé sur Telegram, a reçu au moins 24 milliards de dollars en cryptomonnaie, devenant ainsi le plus grand marché illicite jamais opéré, selon la société d'analyse blockchain Elliptic. Les flux mensuels ont augmenté de 51 % depuis juillet 2024. Exposé comme un centre de fraude, HuiOne Guarantee propose des services de blanchiment d'argent et des données volées, et est lié à des activités criminelles transnationales. En réponse à ces révélations, Tether a gelé 29,62 millions de dollars de cryptomonnaie associés au marché. Fondé en 2021 pour vendre des voitures et des biens immobiliers, il entretient des liens étroits avec la famille dirigeante du Cambodge. Malgré des tentatives de se distancier de ces activités, le marché continue de croître, avec des entrées de fonds dépassant 4 milliards de dollars au quatrième trimestre 2024. HuiOne Pay, une autre filiale, a reçu plus de 150 000 dollars de la part du groupe de hackers nord-coréen Lazarus. HuiOne a également lancé plusieurs produits liés à la cryptomonnaie, tentant de réduire les risques de déplatformisation par des entreprises comme Tether.
Sources :
Renforcer la sécurité des entreprises grâce à la création de mécanismes d'authentification robustes
Cet article aborde la sécurité des entreprises face à l'augmentation des cyberattaques et des violations de données. Il met en avant l'importance de l'authentification forte, notamment l'authentification multifactorielle (MFA), qui combine plusieurs éléments de sécurité : un mot de passe, un appareil et des données biométriques. Ces mécanismes dynamiques renforcent les contrôles d'accès et protègent les informations sensibles des clients. L'authentification basée sur la possession, comme les jetons de sécurité et les applications mobiles générant des codes temporisés, offre une couche de protection supplémentaire. Les entreprises utilisant des bases de données centralisées améliorent leur sécurité avec la MFA pour les annuaires actifs. De plus, l'intelligence artificielle et l'apprentissage automatique permettent d'analyser le comportement des utilisateurs pour détecter les activités suspectes en temps réel. Les solutions d'authentification basées sur le cloud offrent flexibilité et évolutivité, essentielles pour les équipes à distance. Pour contrer les risques, il est crucial de chiffrer les données et de réaliser des audits réguliers. L'éducation des employés sur les tentatives de phishing et l'amélioration de l'hygiène des mots de passe sont également essentielles. Des études de cas montrent que des systèmes d'authentification robustes ont considérablement réduit la fraude et amélioré l'expérience utilisateur.
Sources :
Vulnérabilité zero-day suspectée dans des attaques contre des pare-feux Fortinet avec des interfaces exposées
Des chasseurs de menaces alertent sur une nouvelle campagne visant des dispositifs de pare-feu Fortinet FortiGate dont les interfaces de gestion sont exposées sur Internet. Selon Arctic Wolf, cette campagne a débuté à la mi-novembre 2024, impliquant des connexions administratives non autorisées, la création de nouveaux comptes et des modifications de configuration. Les attaquants ont exploité une vulnérabilité zero-day pour accéder aux interfaces de gestion des pare-feu, affectant les versions de firmware 7.0.14 à 7.0.16. Les activités malveillantes se sont déroulées en quatre phases distinctes, allant de la reconnaissance à des changements de configuration et à des mouvements latéraux. Les chercheurs ont noté l'utilisation extensive de l'interface jsconsole depuis des adresses IP inhabituelles, suggérant l'implication de plusieurs acteurs. Les attaquants ont créé de nouveaux comptes super administrateurs et ont modifié les paramètres pour établir des tunnels SSL VPN, permettant l'extraction de données via la technique DCSync. Les objectifs finaux des attaquants restent inconnus, mais il est crucial que les organisations ne laissent pas leurs interfaces de gestion exposées et restreignent l'accès aux utilisateurs de confiance. La campagne a touché divers secteurs, indiquant un ciblage opportuniste.
Sources :
Des pirates informatiques liés à la Russie ciblent le Kazakhstan dans le cadre d'une campagne d'espionnage avec le logiciel malveillant HATVIBE
Des acteurs de menace liés à la Russie sont impliqués dans une campagne d'espionnage cybernétique ciblant le Kazakhstan, dans le cadre des efforts du Kremlin pour recueillir des informations économiques et politiques en Asie centrale. Cette campagne est attribuée à un groupe d'intrusion nommé UAC-0063, qui présente des similitudes avec APT28, un groupe d'État associé au GRU russe. UAC-0063 a été documenté pour la première fois par le CERT-UA en 2023, ciblant des entités gouvernementales avec des malwares spécifiques. Les attaques récentes utilisent des documents Microsoft Office légitimes du ministère des Affaires étrangères du Kazakhstan comme appâts de spear-phishing, déclenchant une chaîne d'infection complexe appelée Double-Tap, qui déploie le malware HATVIBE. Ce dernier agit comme un chargeur, permettant l'exécution de modules VBS et d'un backdoor Python nommé CHERRYSPY. Les chercheurs de Sekoia notent que cette chaîne d'infection utilise des techniques sophistiquées pour contourner les solutions de sécurité. Parallèlement, plusieurs pays d'Asie centrale et d'Amérique latine ont acquis la technologie de surveillance SORM de la Russie, permettant aux agences de renseignement russes d'intercepter des communications, renforçant ainsi l'influence de Moscou dans ces régions.
Sources :
Cybercriminalité : SentinelLABS analyse les principales tendances 2024
En 2024, la cybercriminalité, l'espionnage et la géopolitique se sont révélés étroitement liés, selon un rapport de SentinelLABS. Les hacktivistes, comme Ikaruz Red Team, ont utilisé des ransomwares pour des causes politiques, tandis que des groupes soutenus par des États ont détourné des outils légitimes pour des fins malveillantes, illustrant une convergence des intérêts. Les défis d'attribution des attaques se sont intensifiés, avec des infrastructures partagées entre hackers, rendant difficile la distinction entre différents groupes, comme observé dans l'opération Digital Eye. L'utilisation croissante des plateformes cloud et SaaS à des fins malveillantes, ainsi que la banalisation des outils de cybercriminalité, a permis à des acteurs moins expérimentés d'accéder à des capacités sophistiquées. Les États-nations ont également montré une avancée dans le développement de malwares et de campagnes de désinformation, visant des objectifs géopolitiques. Malgré les perturbations, l'écosystème de la cybercriminalité a fait preuve de résilience, s'adaptant aux nouvelles technologies et formant de nouveaux partenariats. Les recherches soulignent l'importance d'une approche collaborative pour renforcer la cybersécurité en 2025.
Sources :
La CISA ajoute une deuxième faille BeyondTrust au catalogue KEV au milieu d'attaques actives
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté une nouvelle vulnérabilité, CVE-2024-12686, au catalogue des vulnérabilités exploitées, concernant les produits BeyondTrust Privileged Remote Access (PRA) et Remote Support (RS). Cette faille, notée 6.6 sur l'échelle CVSS, permet à un attaquant disposant de privilèges administratifs d'injecter des commandes et d'exécuter des actions en tant qu'utilisateur du site. CISA a signalé que cette vulnérabilité est activement exploitée. Elle a été découverte lors d'une enquête sur un incident cybernétique survenu en décembre 2024, où des acteurs malveillants ont utilisé une clé API compromise pour accéder à des instances et réinitialiser des mots de passe. Bien que la clé ait été révoquée, les détails de sa compromission restent flous. Ce piratage a également touché le département du Trésor américain, attribué à un groupe soutenu par l'État chinois, Silk Typhoon. En outre, CISA a ajouté une autre vulnérabilité critique, CVE-2023-48365, affectant Qlik Sense, qui permet d'escalader les privilèges. Les agences fédérales doivent appliquer les correctifs nécessaires d'ici le 3 février 2024 pour protéger leurs réseaux.
Sources :
OneBlood confirme que des données personnelles ont été volées lors d'une attaque de ransomware en juillet
OneBlood, une organisation à but non lucratif fournissant du sang à plus de 250 hôpitaux aux États-Unis, a confirmé que des données personnelles de donneurs ont été volées lors d'une attaque par ransomware en juillet 2024. L'attaque, révélée le 31 juillet, a entraîné l'encryption des machines virtuelles de l'organisation, la forçant à recourir à des processus manuels, ce qui a causé des retards dans la collecte, les tests et la distribution de sang, déclenchant des protocoles de pénurie critique dans certaines cliniques. OneBlood a lancé un appel urgent pour des dons de sang O positif, O négatif et de plaquettes. La notification de violation de données envoyée aux personnes concernées a révélé que l'incident s'est produit entre le 14 et le 29 juillet 2024, période durant laquelle des fichiers contenant des noms et des numéros de sécurité sociale ont été copiés sans autorisation. Bien que d'autres informations aient été collectées, seules les noms et SSNs ont été exposés, augmentant le risque de vol d'identité. Pour atténuer ce risque, OneBlood offre un service de surveillance de crédit gratuit d'un an. Les personnes touchées sont également conseillées de mettre en place des alertes de fraude et des gels de crédit.
Sources :
La CISA ordonne aux agences de corriger le bug BeyondTrust exploité dans les attaques
La CISA a identifié une vulnérabilité de commande à distance (CVE-2024-12686) dans les produits BeyondTrust, exploitée lors d'attaques. Conformément à la Directive Opérationnelle Liante (BOD) 22-01, les agences fédérales américaines doivent corriger cette faille dans un délai de trois semaines, soit avant le 3 février. En décembre, la CISA avait également signalé une autre vulnérabilité critique (CVE-2024-12356) dans les mêmes logiciels. Ces failles ont été découvertes par BeyondTrust lors d'une enquête sur une violation de ses instances de support à distance, où un clé API a été volée, permettant aux attaquants de réinitialiser des mots de passe. Les hackers, liés à l'État chinois et connus sous le nom de Silk Typhoon, ont utilisé cette clé pour compromettre le réseau du Département du Trésor, ciblant des entités comme l'Office of Foreign Assets Control (OFAC). Bien que BeyondTrust ait appliqué des correctifs pour ces vulnérabilités sur ses instances cloud, les utilisateurs d'instances auto-hébergées doivent les déployer manuellement. L'impact de ces incidents sur les systèmes du Trésor est encore en cours d'évaluation.
Sources :
Compte administrateur volé de Path of Exile 2 utilisé pour pirater des comptes de joueurs
Les développeurs de Path of Exile 2 ont confirmé qu'un compte administrateur piraté a permis à des attaquants d'accéder à au moins 66 comptes de joueurs, expliquant ainsi les violations de sécurité signalées depuis novembre. Ce compte compromis a permis de modifier les mots de passe d'autres comptes, entraînant la perte d'achats en jeu, y compris des objets précieux. Les joueurs ont rapporté des hacks de comptes sans que la vérification en deux étapes ne soit déclenchée, se retrouvant déconnectés de leurs comptes Steam et PoE. Les victimes ont découvert que leurs objets, tels que des Divine Orbs, avaient été volés, et le support de PoE a indiqué qu'aucune restauration des objets n'était possible. Le directeur du jeu, Jonathan Rogers, a révélé que le piratage avait été réalisé via un ancien compte Steam lié à un compte administrateur, les attaquants ayant utilisé des informations partielles pour convaincre le support de réinitialiser les identifiants. Des erreurs dans la gestion des logs ont également compliqué l'analyse de l'incident. Bien que des mesures de sécurité aient été mises en place, Grinding Gear Games n'a pas prévu de compensation pour les joueurs touchés, affirmant qu'il n'y avait pas de moyen de restaurer les objets volés.
Sources :
Microsoft : un bug de macOS permet aux pirates d'installer des pilotes de noyau malveillants
Apple a récemment corrigé une vulnérabilité dans macOS permettant aux attaquants de contourner la Protection de l'Intégrité du Système (SIP) et d'installer des pilotes de noyau malveillants via des extensions tierces. Le SIP, une fonctionnalité de sécurité de macOS, limite les capacités du compte root pour protéger certains fichiers et dossiers critiques. La faille, identifiée comme CVE-2024-44243, nécessite des privilèges root et une interaction de l'utilisateur, ce qui la rend exploitable uniquement par des attaquants locaux. Elle a été découverte dans le démon Storage Kit, responsable de la gestion de l'état des disques. Si elle est exploitée, cette vulnérabilité pourrait permettre l'installation de rootkits, la création de logiciels malveillants persistants et le contournement des vérifications de sécurité TCC pour accéder aux données des victimes. Apple a publié un correctif dans les mises à jour de sécurité pour macOS Sequoia 15.2, le 11 décembre 2024. Microsoft a souligné l'importance du SIP comme protection essentielle contre les menaces informatiques, notant que le contournement de cette sécurité pourrait avoir des conséquences graves pour l'ensemble du système d'exploitation. Des vulnérabilités similaires ont été découvertes par Microsoft ces dernières années.
Sources :
Des pirates informatiques exploitent une faille critique du contrôleur Aviatrix RCE dans leurs attaques
Des hackers exploitent une vulnérabilité critique d'exécution de commandes à distance, identifiée comme CVE-2024-50603, dans les instances d'Aviatrix Controller pour installer des portes dérobées et des mineurs de cryptomonnaie. Cette vulnérabilité, découverte par Jakub Korepta le 17 octobre 2024, résulte d'une mauvaise utilisation des fonctions de désinfection des entrées dans certaines actions API, permettant aux attaquants d'injecter des commandes malveillantes. Elle affecte toutes les versions d'Aviatrix Controller de 7.x à 7.2.4820. Les utilisateurs sont conseillés de mettre à jour vers les versions 7.1.4191 ou 7.2.4996, qui corrigent cette faille. Selon Wiz Research, un exploit de preuve de concept publié sur GitHub le 8 janvier 2025 a intensifié l'exploitation de cette vulnérabilité. Bien que seulement 3 % des environnements cloud d'entreprise utilisent Aviatrix Controller, 65 % d'entre eux présentent un risque de mouvement latéral et d'escalade de privilèges. Bien qu'aucune preuve de mouvement latéral n'ait été trouvée, les attaquants pourraient utiliser cette vulnérabilité pour explorer les permissions cloud et les opportunités d'exfiltration de données. Des correctifs sont disponibles, et les utilisateurs doivent suivre des recommandations de sécurité supplémentaires.
Sources :
Le registre de domaines britannique Nominet confirme la violation via Ivanti zero-day
Nominet, le registre officiel des domaines .UK, a confirmé une violation de son réseau due à une vulnérabilité zero-day dans le VPN d'Ivanti. Cette attaque, survenue il y a deux semaines, a été signalée aux autorités compétentes, dont le National Cyber Security Centre (NCSC). Nominet gère plus de 11 millions de noms de domaine et a précédemment opéré le service de protection des noms de domaine du Royaume-Uni jusqu'en septembre 2024. Bien que l'incident soit en cours d'investigation, la société n'a trouvé aucune preuve de portes dérobées dans ses systèmes. L'entrée des hackers s'est faite via un logiciel VPN tiers d'Ivanti, mais Nominet assure qu'il n'y a pas eu de fuite de données. Les systèmes de gestion des domaines fonctionnent normalement, avec des protocoles d'accès restreints en place. Selon Ivanti, des hackers exploitent une vulnérabilité critique (CVE-2025-0282) depuis décembre, liée à un groupe d'espionnage présumé chinois. Des malwares tels que Spawn, Dryhook et Phasejam ont été déployés sur des appareils VPN compromis. Ivanti a rapidement publié un correctif pour cette vulnérabilité et collabore avec Nominet pour assurer la sécurité de ses clients.
