Les failles critiques de CUPS sur Linux permettent l'exécution à distance - Actus du 27/09/2024
Découvrez les dernières alertes de sécurité : des failles critiques dans CUPS sur Linux, des bugs urgents à corriger dans WhatsUp Gold, et la mise à jour Windows 11 KB5043145 avec 13 améliorations. Protégez vos systèmes dès maintenant !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Des failles critiques du système d'impression CUPS de Linux pourraient permettre l'exécution de commandes à distance
Un ensemble de vulnérabilités de sécurité a été découvert dans le système d'impression CUPS (Common Unix Printing System) sur les systèmes Linux, permettant potentiellement l'exécution de commandes à distance. Selon le chercheur en sécurité Simone Margaritelli, un attaquant distant non authentifié peut remplacer silencieusement les URL IPP des imprimantes existantes par des URL malveillantes, entraînant l'exécution de commandes arbitraires lors de l'envoi d'une tâche d'impression. Les vulnérabilités identifiées incluent des failles dans les composants cups-browsed, libcupsfilters, libppd et cups-filters, permettant l'injection de données contrôlées par un attaquant. Bien que toutes les versions de Red Hat Enterprise Linux soient affectées, elles ne le sont pas dans leur configuration par défaut. Les experts en cybersécurité soulignent que l'impact réel est probablement faible, car les systèmes vulnérables doivent avoir le port UDP 631 accessible. Des correctifs sont en cours de développement, et il est recommandé de désactiver le service cups-browsed si non nécessaire. Bien que ces vulnérabilités soient sérieuses, elles ne sont pas comparables à des failles majeures comme Log4Shell ou Heartbleed, et la vigilance reste essentielle face à la multitude de vulnérabilités encore non découvertes.
Sources :
Progress exhorte les administrateurs à corriger les bugs critiques de WhatsUp Gold dès que possible
Progress Software a averti ses clients de corriger d'urgence plusieurs vulnérabilités critiques et de haute sévérité dans son outil de surveillance réseau WhatsUp Gold. Bien que la version 24.0.1, qui corrige ces problèmes, ait été publiée le 20 septembre, l'entreprise n'a pas fourni de détails sur les failles. Progress a identifié six vulnérabilités dans les versions antérieures à 24.0.1, incitant les utilisateurs à mettre à jour leur environnement pour éviter toute exposition. Les vulnérabilités, signalées par des chercheurs de Summoning Team, Trend Micro et Tenable, ont reçu des identifiants CVE et des scores CVSS variant de 8.8 à 9.8. Pour effectuer la mise à jour, les utilisateurs doivent télécharger l'installateur de la version 24.0.1 et suivre les instructions. Par ailleurs, des attaques exploitant des vulnérabilités SQL dans WhatsUp Gold ont été signalées depuis le 30 août, avec des codes d'exploitation publiés peu après leur correction. D'autres tentatives d'exploitation de vulnérabilités critiques ont également été observées, soulignant l'urgence de la mise à jour pour protéger les systèmes. Progress n'a pas encore répondu aux demandes de précisions sur ces failles.
Sources :
Mise à jour Windows 11 KB5043145 publiée avec 13 modifications et correctifs
Microsoft a publié la mise à jour cumulative préliminaire KB5043145 pour Windows 11 23H2 et 22H2, apportant 13 améliorations et corrections de bugs, notamment des résolutions pour les blocages de Microsoft Edge et du gestionnaire de tâches. Cette mise à jour, optionnelle et mensuelle, permet aux administrateurs de tester les correctifs avant leur déploiement lors du Patch Tuesday d'octobre 2024. Parmi les nouveautés, on trouve une méthode améliorée pour partager des fichiers locaux via la barre des tâches et des modifications dans la fenêtre de partage de Windows. La mise à jour corrige également des problèmes de gel, notamment un blocage d'Edge en mode IE et un problème de réponse du gestionnaire de tâches lors du changement de thème. Les utilisateurs d'Outlook n'auront plus à entrer leurs identifiants plusieurs fois pour accéder à des emails chiffrés. De plus, la gestion de l'abonnement Copilot Pro est désormais accessible dans les paramètres. Microsoft rappelle que les éditions Home et Pro de Windows 11 22H2 cesseront de recevoir des mises à jour après le 8 octobre 2024, tandis que les éditions Enterprise et Éducation continueront d'être prises en charge. Les utilisateurs sont encouragés à mettre à jour vers la dernière version pour bénéficier des mises à jour futures.
Sources :
Comment planifier et préparer les tests de pénétration
L'amélioration des technologies de sécurité et de la sensibilisation aux menaces chez les organisations s'accompagne d'une évolution des techniques utilisées par les cybercriminels, notamment le ransomware et le malware. Les attaques de type "big game hunting" (BGH) et l'utilisation croissante de techniques d'intrusion interactive sont préoccupantes. Pour contrer ces menaces, les organisations peuvent recourir à des services de tests d'intrusion, qui permettent d'identifier les activités normales et malveillantes. Ces tests, menés par des experts certifiés, simulent des cyberattaques sur les réseaux et les actifs d'une organisation. Une évaluation régulière des risques permet aux équipes DevSecOps d'obtenir des informations exploitables pour renforcer les défenses et prévenir les violations de sécurité. Les vulnérabilités courantes incluent des annuaires actifs mal configurés, des mots de passe faibles et des logiciels obsolètes. Les tests d'intrusion manuels, bien que coûteux, offrent une assurance aux parties prenantes. En combinant des méthodes automatisées et manuelles, les organisations peuvent obtenir une couverture complète de leur surface d'attaque. Des cadres comme NIST, OWASP et TIBER-EU fournissent des recommandations pour améliorer la résilience cybernétique, tandis que des réglementations comme HIPAA encadrent la sécurité des informations sensibles.
Sources :
Microsoft identifie Storm-0501 comme une menace majeure dans les attaques de ransomware sur le cloud hybride
Le groupe de cybercriminalité connu sous le nom de Storm-0501 a ciblé divers secteurs aux États-Unis, notamment le gouvernement, la fabrication, le transport et les forces de l'ordre, en menant des attaques par ransomware. Actif depuis 2021, ce groupe, motivé financièrement, a évolué d'attaques ciblant des entités éducatives avec le ransomware Sabbath à un modèle de ransomware-as-a-service (RaaS), utilisant des outils open-source pour ses opérations. Storm-0501 exploite des identifiants faibles et des comptes sur-privilégiés pour se déplacer des infrastructures locales vers le cloud, facilitant ainsi l'exfiltration de données, le vol de crédentiels et l'accès persistant. Les méthodes d'accès initial incluent l'exploitation de vulnérabilités sur des serveurs non corrigés et l'utilisation de comptes compromis par d'autres acteurs de menace. Une fois à l'intérieur, Storm-0501 utilise des outils comme Cobalt Strike pour se déplacer latéralement dans le réseau, créant des portes dérobées et déployant des ransomwares, notamment Embargo. Ce dernier utilise des tactiques de double extorsion, menaçant de divulguer des données sensibles si la rançon n'est pas payée. Cette menace s'inscrit dans un contexte plus large d'attaques par ransomware ciblant des infrastructures hybrides.
Sources :
Certifications en cybersécurité : la porte d’entrée vers l’avancement professionnel
Dans le paysage numérique actuel, la cybersécurité est essentielle pour la résilience des organisations face à des menaces de plus en plus sophistiquées. La demande de professionnels qualifiés en cybersécurité n'a jamais été aussi forte. S'inscrire à la newsletter GIAC permet de rester informé des évolutions du secteur. Les certifications en cybersécurité sont un moyen efficace de démontrer son expertise, servant de référence pour les compétences et différenciant les candidats sur un marché du travail compétitif. Elles sont reconnues par les employeurs comme un indicateur fiable des capacités d'un professionnel, signalant qu'il possède les compétences nécessaires pour protéger les informations sensibles. Selon un rapport, 27 % des candidats certifiés ont obtenu des promotions, tandis que 35 % ont reçu des augmentations de plus de 20 %. Ces certifications ne sont pas seulement des jalons professionnels, mais aussi des investissements stratégiques pour l'avenir. Les employés certifiés apportent des compétences améliorées, augmentant la productivité et l'innovation. En outre, 74 % des professionnels certifiés bénéficient d'une plus grande autonomie au travail. Ainsi, les certifications sont un atout tant pour les individus que pour les organisations, renforçant la sécurité et la résilience face aux menaces cybernétiques.
Sources :
Une nouvelle campagne de contrebande HTML diffuse le malware DCRat aux utilisateurs russophones
Une nouvelle campagne malveillante cible les utilisateurs russophones en distribuant un cheval de Troie appelé DCRat (ou DarkCrystal RAT) via une technique appelée HTML smuggling. C'est la première fois que ce malware est déployé de cette manière, contrairement aux méthodes précédentes comme les sites compromis ou les emails de phishing. Selon Nikhil Hegde de Netskope, le HTML smuggling est un mécanisme de livraison de charge utile, qui peut être intégré dans le code HTML ou récupéré à partir d'une ressource distante. Les fichiers HTML peuvent être diffusés via des sites frauduleux ou des campagnes de malspam. Une fois ouverts, ces fichiers téléchargent automatiquement une archive ZIP protégée par mot de passe, contenant un archive RarSFX qui déploie finalement le DCRat. Ce malware, lancé en 2018, agit comme une porte dérobée, capable d'exécuter des commandes, de capturer des frappes et d'exfiltrer des fichiers. Les organisations sont conseillées de surveiller leur trafic HTTP et HTTPS pour éviter les communications avec des domaines malveillants. Cette campagne s'inscrit dans un contexte plus large d'attaques ciblant des entreprises russes, utilisant des techniques sophistiquées, y compris l'intelligence artificielle générative pour créer des scripts malveillants.
Sources :
Les États-Unis sanctionnent deux plateformes d'échange de crypto-monnaies pour avoir facilité la cybercriminalité et le blanchiment d'argent
Le gouvernement américain a sanctionné deux échanges de cryptomonnaies, Cryptex et PM2BTC, et a inculpé un ressortissant russe, Sergey Ivanov, pour son rôle présumé dans des services de blanchiment d'argent destinés aux cybercriminels. Ces échanges auraient facilité le blanchiment de cryptomonnaies obtenues par des activités criminelles. Cette opération, menée en collaboration avec la police néerlandaise, fait partie d'une répression plus large appelée Opération Endgame. Les sites web des échanges ont été saisis et remplacés par un message de saisie. Selon le Trésor américain, PM2BTC a facilité une proportion significative de transactions liées à des activités de blanchiment d'argent, en ne respectant pas les lois anti-blanchiment et de connaissance du client. Cryptex aurait reçu plus de 51,2 millions de dollars de produits illicites liés à des attaques par ransomware. Ivanov, actif depuis près de deux décennies, a également été impliqué dans le traitement de paiements pour des sites de carding. Le Département d'État américain a annoncé des récompenses allant jusqu'à 10 millions de dollars pour des informations menant à l'arrestation d'Ivanov et d'un autre suspect, Timur Shakhmametov. Ces actions visent à rendre Internet plus sûr en fermant les services frauduleux.
Sources :
Une vulnérabilité critique de NVIDIA Container Toolkit pourrait donner aux attaquants un accès complet à l'hôte
Une vulnérabilité critique a été révélée dans le NVIDIA Container Toolkit, permettant à des acteurs malveillants de s'échapper d'un conteneur et d'accéder au système hôte. Suivie sous le nom CVE-2024-0132, cette faille a un score CVSS de 9.0 et a été corrigée dans les versions v1.16.2 du Toolkit et 24.6.2 de l'opérateur GPU. La vulnérabilité, présente dans les versions v1.16.1 et antérieures, est due à un problème de Time-of-Check Time-of-Use (TOCTOU) dans la configuration par défaut, permettant à une image de conteneur malveillante d'accéder au système de fichiers hôte. Les conséquences d'une exploitation réussie incluent l'exécution de code, la divulgation d'informations et l'escalade de privilèges. Découverte par la société de sécurité cloud Wiz, cette faille pourrait être exploitée via des images de conteneurs compromises, entraînant des attaques de type chaîne d'approvisionnement. Les chercheurs soulignent que cette vulnérabilité représente un risque majeur dans les environnements multi-locataires, permettant l'accès aux données d'autres applications sur le même nœud. Il est fortement recommandé aux utilisateurs d'appliquer les correctifs pour se protéger contre ces menaces.
Sources :
Les failles CUPS permettent l’exécution de code à distance sous Linux, mais il y a un hic
Des vulnérabilités dans le système d'impression open-source CUPS permettent, sous certaines conditions, l'exécution de code à distance sur des machines vulnérables. Identifiées comme CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 et CVE-2024-47177 par Simone Margaritelli, ces failles ne touchent pas les systèmes configurés par défaut. CUPS, largement utilisé sur les systèmes Linux et Unix-like, inclut un démon appelé cups-browsed, qui recherche des imprimantes sur le réseau. Si ce service est activé, il écoute sur le port UDP 631 et permet des connexions distantes pour ajouter de nouvelles imprimantes. Margaritelli a découvert qu'un attaquant pouvait créer une description d'imprimante malveillante qui, une fois ajoutée, exécuterait des commandes lors de l'impression. Cependant, l'impact réel est limité, car l'activation de cups-browsed n'est pas courante par défaut, et l'attaquant doit tromper un utilisateur pour imprimer depuis un serveur d'imprimante malveillant. Red Hat a classé ces vulnérabilités comme ayant un impact "Important" plutôt que critique. Des mesures d'atténuation sont disponibles, notamment désactiver le service cups-browsed pour prévenir l'exploitation.
Sources :
Une nouvelle variante du malware RomCom, « SnipBot », détectée dans des attaques de vol de données
Une nouvelle variante de malware RomCom, nommée SnipBot, a été identifiée dans des attaques de vol de données. Les chercheurs de Palo Alto Network, via leur unité 42, ont découvert cette version après avoir analysé un module DLL utilisé dans les attaques SnipBot. Ce malware cible divers secteurs, notamment les services informatiques, le droit et l'agriculture, en permettant aux attaquants de voler des données et de se déplacer sur le réseau. SnipBot, considéré comme RomCom 5.0, offre un ensemble élargi de 27 commandes, permettant un contrôle précis sur les opérations d'exfiltration de données. Il utilise des techniques d'obfuscation et de contournement de sandbox, ainsi que des vérifications de hachage pour éviter la détection. Les vecteurs d'attaque commencent généralement par des emails de phishing contenant des liens vers des fichiers apparemment innocents. Une fois qu'un système est compromis, l'attaquant collecte des informations sur le réseau de l'entreprise et exfiltre des fichiers spécifiques. Les chercheurs estiment que l'objectif des attaquants pourrait avoir évolué vers des opérations d'espionnage, plutôt que de simples gains financiers.
Sources :
Une faille dans le portail des concessionnaires Kia pourrait permettre aux pirates de pirater des millions de voitures
Des chercheurs en sécurité ont découvert des vulnérabilités critiques dans le portail des concessionnaires de Kia, permettant à des hackers de localiser et de voler des millions de voitures Kia fabriquées après 2013 en utilisant simplement le numéro de plaque d'immatriculation. En juin 2024, Sam Curry et son équipe ont révélé que ces failles pouvaient être exploitées pour contrôler n'importe quel véhicule Kia équipé de matériel à distance en moins de 30 secondes, sans nécessiter d'abonnement Kia Connect actif. Les vulnérabilités exposaient également des informations personnelles sensibles des propriétaires, telles que leur nom, numéro de téléphone et adresse, et permettaient aux attaquants de s'ajouter comme second utilisateur des véhicules ciblés sans que les propriétaires en soient informés. En accédant au portail des concessionnaires, les chercheurs ont pu générer un jeton d'accès valide, leur donnant accès aux API de gestion des véhicules. Cela leur a permis de suivre, déverrouiller ou démarrer les voitures à distance. Bien que ces vulnérabilités aient été corrigées et qu'aucune exploitation malveillante n'ait été signalée, cet incident souligne l'importance de la sécurité dans les systèmes connectés des véhicules.
Sources :
Découverte livre/ebook : « Cyber Cache-Cache – Règles d’or de la vie privée » de Stéphane Fosse
« Cyber Cache-Cache – Règles d’or de la vie privée » de Stéphane Fosse aborde les enjeux cruciaux de la vie privée à l'ère numérique, souvent négligés par le grand public. Ce livre, à la fois informatif et accessible, explore la définition de la vie privée, les lois qui la protègent et les moyens de la préserver face à une surveillance croissante. L'introduction souligne que la vie privée est un droit fondamental, essentiel pour maintenir la dignité et l'autonomie des individus. Fosse distingue plusieurs dimensions de la vie privée : physique, des informations et en ligne, chacune ayant ses propres enjeux et menaces, comme les dispositifs de suivi et la surveillance des gouvernements. L'auteur encourage les lecteurs à adopter des pratiques de protection, en comprenant les lois et en reconnaissant les menaces potentielles. Le livre est structuré en chapitres qui allient théorie et applications pratiques, rendant le contenu accessible tant aux novices qu'aux experts. En conclusion, Fosse invite à repenser notre rapport à la vie privée dans un monde interconnecté, en fournissant les outils nécessaires pour renforcer notre autonomie face aux risques numériques. Disponible en format broché et epub sur Amazon, ce livre de 150 pages se veut une ressource précieuse pour tous.
Sources :
Tails OS fusionne avec le projet Tor pour une meilleure confidentialité et sécurité
Le 26 septembre 2024, le projet Tor et Tails OS annoncent leur fusion pour renforcer la protection des utilisateurs contre la surveillance et la censure sur Internet. Cette décision, initiée par Tails, vise à améliorer la structure opérationnelle de l'organisation, permettant à l'équipe de se concentrer sur l'amélioration de Tails OS tout en bénéficiant des ressources plus larges du projet Tor. Tor, connu pour son navigateur qui anonymise l'activité en ligne, et Tails, un système d'exploitation portable basé sur Linux qui utilise le navigateur Tor pour garantir l'anonymat, collaborent depuis neuf ans. La fusion facilitera une meilleure collaboration, une durabilité accrue et des programmes de formation élargis pour contrer les menaces numériques. Tails, qui a fonctionné de manière indépendante pendant 15 ans, a exprimé sa satisfaction quant à cette intégration, soulignant que la gestion des tâches critiques comme le financement et les ressources humaines était un défi majeur. Cette union vise également à améliorer la sensibilisation des utilisateurs de Tails, qui est moins populaire que le projet Tor. Ensemble, ils offriront une solution complète de sécurité au niveau du réseau et du système d'exploitation, renforçant ainsi leur mission commune de défendre la liberté sur Internet.
Sources :
GenAI et sécurité : une nouvelle ère de protection et d’innovation
Dans une tribune, Estelle Villard, responsable de Miro en France, aborde la relation entre l'intelligence artificielle (IA) et la sécurité des données. Elle souligne que l'IA, souvent perçue négativement en matière de sécurité, offre des avantages significatifs. Contrairement aux méthodes traditionnelles qui identifient des données individuelles, l'IA permet d'analyser des combinaisons d'informations, réduisant ainsi le risque de fuites de données. Grâce à l'apprentissage automatique (ML), l'IA peut détecter des anomalies en s'adaptant aux variations des données, ce qui la rend plus efficace que les approches classiques nécessitant une recalibration. Les modèles de génération d'IA (GenAI) peuvent traiter de vastes ensembles de données pour identifier des nuances subtiles, facilitant ainsi la surveillance. De plus, l'IA améliore la programmation en automatisant des tâches répétitives et en optimisant l'analyse du code, réduisant les faux positifs et négatifs. En somme, l'IA représente une solution prometteuse face à la complexité croissante des cybermenaces, en offrant une capacité d'adaptation et une efficacité accrues dans la gestion des données sensibles. Villard conclut que l'IA est essentielle pour renforcer la sécurité dans un environnement en constante évolution.
Sources :
Cybersécurité dans le secteur de l’énergie : comment renforcer la sécurité et assurer une meilleure visibilité des réseaux
Les organisations industrielles, particulièrement dans le secteur de l'énergie, sont de plus en plus vulnérables aux cyberattaques en raison de lacunes en matière de sécurité et d'un manque de ressources techniques. Les cybercriminels exploitent ces faiblesses, comme l'a montré les attaques de février 2022 contre des entreprises européennes de transport et de stockage. Les systèmes de contrôle industriel (ICS) et les technologies opérationnelles (OT) souffrent d'une intégration insuffisante des mesures de cybersécurité, exacerbée par l'adoption de nouvelles technologies et la connectivité accrue. Cela complique la détection des accès non autorisés et expose les infrastructures à des risques de dysfonctionnements et d'arrêts imprévus. Pour contrer ces menaces, il est crucial que les propriétaires d'équipements mettent en place des stratégies de détection et de prévention adaptées, permettant de distinguer les comportements suspects des opérations normales. L'intégration de solutions de sécurité, telles que la détection des intrusions, est essentielle pour surveiller les réseaux et identifier les anomalies. En renforçant la visibilité et la sécurité, les entreprises peuvent mieux protéger leurs opérations et leurs chaînes d'approvisionnement, tout en répondant aux enjeux géopolitiques et aux priorités internationales croissantes.
Sources :
Des pirates informatiques auraient pu contrôler à distance des voitures Kia en utilisant uniquement des plaques d'immatriculation
Des chercheurs en cybersécurité ont révélé des vulnérabilités dans les véhicules Kia, désormais corrigées, qui auraient permis de contrôler à distance des fonctions clés en utilisant simplement une plaque d'immatriculation. Ces attaques pouvaient être réalisées en 30 secondes sur presque tous les modèles fabriqués après 2013, sans nécessiter d'abonnement Kia Connect actif. Les failles permettaient aux attaquants d'accéder à des informations sensibles telles que le nom, le numéro de téléphone et l'adresse du propriétaire, leur permettant de se faire passer pour un utilisateur "invisible" du véhicule. Les chercheurs ont identifié que ces vulnérabilités exploitaient l'infrastructure des concessionnaires Kia pour créer de faux comptes via des requêtes HTTP, générant ainsi des jetons d'accès. En émettant seulement quatre requêtes HTTP, un attaquant pouvait accéder à un véhicule et exécuter des commandes à distance, sans que le propriétaire ne soit informé. Bien que ces vulnérabilités aient été corrigées en août 2024 après une divulgation responsable, aucune preuve d'exploitation dans la nature n'a été trouvée. Les chercheurs soulignent que les véhicules continueront d'avoir des vulnérabilités, similaires à celles rencontrées dans d'autres technologies.
Sources :
Les États-Unis sanctionnent les échanges de crypto-monnaies utilisés par les gangs de ransomware russes
Le 26 septembre 2024, le département du Trésor américain a sanctionné deux échanges de cryptomonnaies, Cryptex et PM2BTC, pour leur rôle dans le blanchiment de fonds liés à des gangs de ransomware russes. Cryptex, utilisant le domaine cryptex[.]net, aurait blanchi plus de 51 millions de dollars provenant d'attaques par ransomware et est associé à plus de 720 millions de dollars de transactions avec des services souvent utilisés par des cybercriminels basés en Russie. PM2BTC, dont le domaine pm2btc[.]me a été saisi, est accusé de faciliter des conversions de devises pour des acteurs russes tout en négligeant les mesures de lutte contre le blanchiment d'argent. Les deux échanges sont liés à Sergey Sergeevich Ivanov, un blanchisseur d'argent russe ayant aidé à traiter des centaines de millions de dollars pour divers acteurs malveillants. En conséquence des sanctions, les citoyens et organisations américaines ne peuvent plus effectuer de transactions avec ces entités, et leurs actifs aux États-Unis seront gelés. Ces actions s'inscrivent dans une initiative internationale visant à perturber les services de cybercriminalité russes et à démanteler leurs soutiens financiers.
