Les attaques de la chaîne d'approvisionnement ciblent Python, npm et open source - Actus du 14/10/2024
Découvrez comment les États-nations exploitent les failles Ivanti CSA et suivez nos 5 étapes pour renforcer votre sécurité cloud multicouche. Protégez-vous contre les attaques de la chaîne d'approvisionnement ciblant Python, npm et les écosystèmes open source. Ne laissez aucune faille ouverte!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Des attaquants d'États-nations exploitent les failles d'Ivanti CSA pour infiltrer leur réseau
Des chercheurs de Fortinet FortiGuard Labs ont découvert qu'un adversaire présumé d'État a exploité trois vulnérabilités critiques dans l'Ivanti Cloud Service Appliance (CSA) pour mener des actions malveillantes. Ces failles, dont deux sont des injections de commandes et une est une vulnérabilité de traversée de chemin, ont permis un accès non authentifié au CSA, l'énumération des utilisateurs et la tentative d'accès à leurs identifiants. Les vulnérabilités identifiées sont : CVE-2024-8190 (score CVSS : 7.2), CVE-2024-8963 (9.4) et CVE-2024-9380 (7.2). Après avoir volé des identifiants, les attaquants ont exploité ces failles pour installer un shell web sur le CSA. Le 10 septembre 2024, Ivanti a publié un correctif pour l'une des vulnérabilités, mais les attaquants avaient déjà "patché" les failles pour empêcher d'autres intrusions. En outre, ils ont exploité une autre vulnérabilité dans Ivanti Endpoint Manager (CVE-2024-29824) pour exécuter du code à distance. Des activités supplémentaires incluent la création d'un nouvel utilisateur et l'exfiltration de données via un tunnel DNS. Les chercheurs estiment que l'objectif était de maintenir une persistance au niveau du noyau sur le dispositif CSA compromis.
Sources :
5 étapes pour améliorer la détection et la réponse dans un cloud multicouche
L'article souligne l'importance d'améliorer les capacités de détection et de réponse en temps réel face aux attaques dans le cloud, en raison d'une dépendance excessive à divers outils de récupération après sinistre. Il propose cinq étapes ciblées pour renforcer la sécurité. Bien que les outils de surveillance natifs du cloud et les solutions de sécurité des conteneurs soient utiles, ils se concentrent souvent sur des couches spécifiques. L'eBPF, en revanche, permet une observabilité approfondie à travers l'ensemble de l'infrastructure sans perturber les environnements de production. Parmi les capacités clés à exploiter, on trouve les graphes de topologie, qui montrent comment les actifs hybrides ou multi-cloud interagissent, et la détection d'anomalies, qui utilise l'apprentissage automatique pour identifier les comportements suspects. L'article insiste également sur la nécessité de détecter à la fois les menaces connues et inconnues, en fournissant un contexte essentiel pour comprendre les vulnérabilités. La priorisation des risques et la validation des correctifs sont cruciales pour se concentrer sur les menaces significatives. Enfin, des playbooks et des interventions d'attaque sur mesure permettent aux équipes de sécurité d'agir rapidement et efficacement pour neutraliser les menaces en temps réel.
Sources :
Les attaques de la chaîne d'approvisionnement peuvent exploiter les points d'entrée dans Python, npm et les écosystèmes open source
Des chercheurs en cybersécurité ont identifié des vulnérabilités dans plusieurs écosystèmes de programmation, tels que PyPI, npm et Ruby Gems, qui pourraient être exploitées pour mener des attaques sur la chaîne d'approvisionnement logicielle. Selon un rapport de Checkmarx, ces attaques par points d'entrée permettent aux attaquants d'exécuter du code malveillant lors de l'exécution de commandes spécifiques, contournant ainsi les défenses de sécurité traditionnelles. Les points d'entrée, qui permettent aux développeurs d'exposer certaines fonctionnalités, peuvent être détournés pour distribuer des codes malveillants via des techniques telles que le "command-jacking" et la création de plugins malveillants. Le "command-jacking" se produit lorsque des paquets contrefaits imitent des outils tiers populaires, récoltant des informations sensibles lors de leur installation. Une méthode plus discrète, le "command wrapping", exécute silencieusement du code malveillant tout en invoquant la commande légitime, rendant la détection difficile. Checkmarx souligne l'importance de développer des mesures de sécurité robustes pour contrer ces risques, alors qu'un rapport de Sonatype révèle une augmentation de 156 % des paquets malveillants dans les écosystèmes open-source depuis novembre 2023.
Sources :
Récapitulatif de la cybersécurité THN : principales menaces, outils et tendances (du 7 au 13 octobre)
Cette semaine, le paysage de la cybersécurité est marqué par des événements préoccupants. Des chercheurs d'ESET ont découvert que des outils personnalisés étaient utilisés pour infiltrer des systèmes informatiques hautement sécurisés, ciblant des victimes de haut niveau, y compris une ambassade sud-asiatique et une organisation gouvernementale de l'UE. Parallèlement, la campagne de piratage nord-coréenne "Contagious Interview" continue de frapper le secteur technologique. OpenAI a interrompu plus de 20 opérations malveillantes utilisant son chatbot ChatGPT pour développer des logiciels malveillants et mener des attaques de phishing. L'FBI a créé un token de cryptomonnaie pour démanteler une opération frauduleuse de "wash trading". De plus, le botnet Gorilla a lancé plus de 300 000 attaques DDoS dans 100 pays, ciblant divers secteurs. Google a annoncé que sa version Manifest V3 des extensions de navigateur pourrait contourner certaines failles de sécurité. Enfin, un expert en cybersécurité a mis en garde contre les attaques d'identité, tandis que des conseils pratiques pour protéger les appareils mobiles et les extensions de navigateur ont été fournis. Restez vigilant et vérifiez toujours l'adresse e-mail de l'expéditeur avant de cliquer sur des liens.
Sources :
Près de la moitié des entreprises industrielles rencontrent des problèmes de réseau tous les mois
Un rapport de Kaspersky révèle que plus d'un tiers des entreprises industrielles rencontrent régulièrement des problèmes de réseau, avec 45 % d'entre elles faisant face à ces défis plusieurs fois par mois. Les entreprises géo-distribuées, avec des installations sur différents sites, doivent gérer des problèmes logistiques, de communication et de coordination, ainsi que des défis en matière de cybersécurité. Près de 30 % des sondés signalent des interruptions de réseau, affectant la performance des services et la connectivité. La majorité des entreprises mettent entre 1 et 5 heures pour restaurer leur réseau après une panne, ce qui peut entraîner des pertes financières significatives. Les conséquences de ces interruptions incluent des retards, une baisse de la production et des risques pour la réputation. Maxim Kaminsky de Kaspersky souligne l'importance pour les entreprises de comprendre les causes des problèmes de réseau et d'adopter des mesures préventives pour assurer la continuité des opérations. Le rapport complet, intitulé « Managing geographically distributed businesses: challenges and solutions », aborde ces enjeux et propose des solutions pour sécuriser les processus des entreprises.
Sources :
Une vulnérabilité critique de Veeam exploitée pour propager les ransomwares Akira et Fog
Des acteurs malveillants exploitent activement une vulnérabilité récemment corrigée dans Veeam Backup & Replication pour déployer des ransomwares Akira et Fog. Selon Sophos, ces attaques, survenues au cours du dernier mois, utilisent des identifiants VPN compromis et la vulnérabilité CVE-2024-40711, qui permet une exécution de code à distance non authentifiée. Cette faille, notée 9,8 sur l'échelle CVSS, a été corrigée par Veeam dans la version 12.2 en septembre 2024. Les attaquants accédaient initialement aux cibles via des passerelles VPN sans authentification multifactorielle. Ils exploitaient Veeam sur le port 8000, créant un compte local pour déployer le ransomware. Dans un cas, le ransomware Fog a été déposé sur un serveur Hyper-V non protégé. Parallèlement, Palo Alto Networks a signalé l'émergence d'un nouveau ransomware, Lynx, qui cible divers secteurs aux États-Unis et au Royaume-Uni. Ce ransomware est lié à la vente du code source d'INC sur le marché criminel. D'autres ransomwares, comme Trinity et BabyLockerKZ, continuent d'émerger, utilisant diverses techniques d'infiltration, y compris le phishing et l'exploitation de vulnérabilités logicielles.
Sources :
Google prévient qu'uBlock Origin et d'autres extensions pourraient bientôt être désactivées
Google a récemment averti les utilisateurs que l'extension uBlock Origin pourrait être désactivée pour des raisons de confidentialité et de sécurité, en raison de la dépréciation de la spécification Manifest v2 (MV2) qu'elle utilise. Ce changement a été signalé par des utilisateurs sur X, qui ont remarqué que l'extension n'était plus disponible sur le Chrome Web Store. En août, Google avait déjà commencé à alerter les utilisateurs sur la nécessité de trouver des alternatives. Le nouveau Manifest v3 pose des défis techniques importants pour les développeurs d'extensions, notamment pour celles qui nécessitent un contrôle avancé des fonctions du navigateur, comme les bloqueurs de publicités. Bien que uBlock Origin Lite puisse convenir à certains, ceux qui ont besoin de filtrage avancé pourraient rencontrer des limitations. Tandis que uBlock Origin fonctionne toujours sur Firefox, Brave et Vivaldi continuent de soutenir MV2, offrant ainsi des alternatives aux utilisateurs. Cependant, il n'est pas garanti que ce soutien soit indéfini. Les commentaires des utilisateurs soulignent des préoccupations concernant la monétisation par la publicité de Google et la recherche d'autres navigateurs plus respectueux de la vie privée.
