L'extension Chrome piratée pour voler les données des utilisateurs - Actus du 27/12/2024
Découvrez comment l'extension Chrome d'une société de cybersécurité a été piratée, l'impact de l'USB-C sur votre sécurité dès décembre 2024, et les nouvelles menaces du malware VBCloud de Cloud Atlas ciblant la Russie. Protégez vos données dès maintenant !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
L'extension Chrome d'une société de cybersécurité piratée pour voler les données des utilisateurs
Un groupe de cybercriminels a réussi à compromettre au moins cinq extensions Chrome, dont celle de Cyberhaven, une entreprise de prévention des pertes de données. Le 24 décembre, Cyberhaven a informé ses clients d'une violation de sécurité suite à une attaque de phishing ciblant un compte administrateur du Chrome Web Store. Le pirate a publié une version malveillante de l'extension (24.10.4), capable de voler des sessions authentifiées et des cookies. Bien que l'équipe de sécurité de Cyberhaven ait rapidement supprimé le package malveillant, une version propre (24.10.5) a été publiée le 26 décembre. Les utilisateurs sont conseillés de mettre à jour leur extension, de révoquer les mots de passe non FIDOv2, de faire tourner tous les tokens API et d'examiner les journaux de navigation pour détecter d'éventuelles activités malveillantes. D'autres extensions, telles qu'Internxt VPN et VPNCity, ont également été touchées par des injections de code similaires. Les utilisateurs de ces extensions doivent soit les désinstaller, soit les mettre à jour, tout en prenant des mesures de sécurité supplémentaires, comme réinitialiser les mots de passe importants et effacer les données de navigation.
Sources :
USB-C : ce qui va changer le 28 décembre 2024… avec votre cybersécurité
À partir du 28 décembre 2024, une législation européenne imposera l'utilisation d'un chargeur universel pour divers appareils portables, tels que les smartphones, tablettes, appareils photo numériques et consoles de jeux. Cette initiative vise à réduire les déchets électroniques et à simplifier la vie des consommateurs, qui pourront choisir d'acheter des appareils avec ou sans chargeur. Les ordinateurs portables seront également concernés, mais avec un délai d'adaptation de 40 mois. Cette réglementation devrait permettre aux consommateurs d'économiser environ 250 millions d'euros par an. En outre, une clause d'adaptabilité intégrée à la législation permettra de suivre l'évolution technologique, tout en garantissant que les nouvelles solutions respectent les objectifs environnementaux. Le débat sur le chargeur universel a débuté en 2009, et aujourd'hui, seuls trois types de ports sont en lice : USB-C, USB-B et Lightning d'Apple. Cependant, la généralisation du port USB-C soulève des préoccupations concernant la sécurité, car des câbles malveillants peuvent être utilisés pour pirater des appareils. Ainsi, bien que cette législation représente un progrès significatif, elle nécessite également une vigilance accrue face aux risques associés aux nouvelles technologies.
Sources :
Cloud Atlas déploie le malware VBCloud : plus de 80 % des cibles trouvées en Russie
Le groupe de cybercriminalité connu sous le nom de Cloud Atlas a été observé en 2024 utilisant un malware inédit appelé VBCloud dans ses campagnes d'attaques ciblant plusieurs dizaines d'utilisateurs. Selon Oleg Kupreev de Kaspersky, les victimes sont infectées via des emails de phishing contenant un document malveillant exploitant une vulnérabilité dans l'éditeur de formules (CVE-2018-0802) pour télécharger et exécuter du code malveillant. Plus de 80 % des cibles se trouvent en Russie, avec des victimes également signalées en Biélorussie, au Canada, en Moldavie, en Israël, au Kirghizistan, en Turquie et au Vietnam. Cloud Atlas, actif depuis 2014, a été lié à des attaques cybernétiques en décembre 2022, utilisant un backdoor basé sur PowerShell. Le rapport de Kaspersky révèle que VBCloud fait partie d'une chaîne d'attaques complexe, débutant par un email de phishing. Le malware collecte des informations sur le système et vole des fichiers, tandis que PowerShower facilite l'infiltration. L'infection se déroule en plusieurs étapes, visant à dérober des données des appareils des victimes.
Sources :
Palo Alto publie un correctif pour la faille DoS PAN-OS — Mise à jour immédiate
Palo Alto Networks a révélé une vulnérabilité critique affectant le logiciel PAN-OS, susceptible de provoquer une condition de déni de service (DoS) sur les appareils vulnérables. Identifiée sous le code CVE-2024-3393 (score CVSS : 8.7), cette faille touche les versions 10.X et 11.X de PAN-OS, ainsi que Prisma Access fonctionnant avec PAN-OS 10.2.8 et ultérieures ou antérieures à 11.2.3. Elle a été corrigée dans plusieurs mises à jour récentes. La vulnérabilité permet à un attaquant non authentifié d'envoyer un paquet malveillant via le pare-feu, entraînant un redémarrage de celui-ci. Des tentatives répétées peuvent faire entrer le pare-feu en mode maintenance. Palo Alto Networks a découvert cette faille en production et a reçu des rapports de clients rencontrant des problèmes de DoS lorsque leur pare-feu bloque des paquets DNS malveillants. Les dispositifs avec la journalisation de la sécurité DNS activée sont particulièrement touchés. Bien que la gravité de la faille soit réduite à un score de 7.1 pour les utilisateurs authentifiés via Prisma Access, des solutions de contournement sont proposées pour les pare-feu non gérés. Des mises à jour sont également disponibles pour d'autres versions de PAN-OS.
Sources :
Les botnets FICORA et Kaiten exploitent d'anciennes vulnérabilités de D-Link pour des attaques mondiales
Des chercheurs en cybersécurité alertent sur une augmentation des activités malveillantes impliquant des routeurs D-Link vulnérables, intégrés dans deux botnets : une variante de Mirai appelée FICORA et une variante de Kaiten nommée CAPSAICIN. Ces botnets exploitent des vulnérabilités documentées, permettant aux attaquants d'exécuter des commandes malveillantes via l'interface HNAP. Les attaques FICORA ciblent divers pays, tandis que CAPSAICIN se concentre principalement sur des territoires d'Asie de l'Est comme le Japon et Taïwan, avec une activité intense observée entre le 21 et le 22 octobre 2024. Les attaques FICORA déploient un script de téléchargement qui récupère des charges utiles pour différentes architectures Linux. Le malware inclut une fonction de force brute avec une liste de noms d'utilisateur et de mots de passe codés en dur, et permet des attaques DDoS. CAPSAICIN utilise également un script de téléchargement, mais avec une adresse IP différente, et attend des commandes pour exécuter diverses opérations malveillantes sur les appareils compromis. Malgré la découverte de ces vulnérabilités il y a près d'une décennie, les attaques persistent, soulignant l'importance pour les entreprises de mettre à jour régulièrement leurs dispositifs et de surveiller leur sécurité.
Sources :
Apache MINA CVE-2024-52046 : une faille CVSS 10.0 permet l'exécution de code à distance via une sérialisation non sécurisée
La Fondation Apache (ASF) a publié des correctifs pour une vulnérabilité de gravité maximale dans le cadre d'application réseau Java MINA, pouvant entraîner une exécution de code à distance dans des conditions spécifiques. Suivie sous le nom CVE-2024-52046, cette vulnérabilité a un score CVSS de 10.0 et affecte les versions 2.0.X, 2.1.X et 2.2.X. Selon les mainteneurs du projet, l'ObjectSerializationDecoder d'Apache MINA utilise le protocole de désérialisation natif de Java pour traiter les données sérialisées entrantes, mais manque de vérifications de sécurité adéquates. Cela permet aux attaquants d'exploiter le processus de désérialisation en envoyant des données sérialisées malveillantes, ce qui peut mener à des attaques RCE. Toutefois, cette vulnérabilité n'est exploitable que si la méthode "IoBuffer#getObject()" est appelée avec certaines classes. Apache souligne qu'une simple mise à jour ne suffit pas ; il est nécessaire de spécifier explicitement les classes acceptées par le décodeur. Cette divulgation survient après que l'ASF a corrigé plusieurs autres failles de sécurité dans divers produits. Les utilisateurs sont fortement conseillés de mettre à jour leurs installations pour se protéger contre ces menaces potentielles.
Sources :
Apache met en garde contre des failles critiques dans MINA, HugeGraph et Traffic Control
La Fondation Apache a publié des mises à jour de sécurité pour corriger trois vulnérabilités critiques affectant les produits MINA, HugeGraph-Server et Traffic Control. Les correctifs ont été déployés entre le 23 et le 25 décembre 2024, mais la période des fêtes pourrait ralentir le taux de mise à jour et augmenter le risque d'exploitation. La première vulnérabilité, CVE-2024-52046, concerne MINA (versions 2.0 à 2.2.3) et est due à une désérialisation Java non sécurisée, pouvant entraîner une exécution de code à distance. Les utilisateurs doivent mettre à jour vers les versions 2.0.27, 2.1.10 et 2.2.4 et configurer manuellement le rejet des classes non autorisées. La seconde vulnérabilité, CVE-2024-43441, affecte HugeGraph-Server (versions 1.0 à 1.3) et permet un contournement de l'authentification, corrigé dans la version 1.5.0. Enfin, la vulnérabilité CVE-2024-45387, notée 9.9, concerne Traffic Ops (versions 8.0.0 à 8.0.1) et est due à une injection SQL, corrigée dans la version 8.0.2. Les administrateurs système sont fortement encouragés à effectuer ces mises à jour rapidement, surtout en période de vacances.
Sources :
Un nouveau malware « OtterCookie » utilisé pour pirater les développeurs dans de fausses offres d'emploi
Des acteurs menaçants nord-coréens utilisent un nouveau malware nommé OtterCookie dans la campagne Contagious Interview, ciblant les développeurs de logiciels avec de fausses offres d'emploi. Active depuis décembre 2022, cette campagne a été identifiée par Palo Alto Networks et utilise également d'autres malwares comme BeaverTail et InvisibleFerret. Selon un rapport de NTT Security Japan, OtterCookie a été introduit en septembre 2024, avec une variante apparue en novembre. Ce malware est distribué via un loader qui exécute des données JSON en tant que code JavaScript, infectant les cibles à travers des projets Node.js ou des paquets npm téléchargés sur GitHub ou Bitbucket. Une fois actif, OtterCookie établit des communications sécurisées avec son infrastructure de commande et contrôle, permettant le vol de données sensibles, y compris des clés de portefeuilles de cryptomonnaie. La version de novembre a amélioré ses capacités d'exfiltration, incluant la collecte de données du presse-papiers. Les chercheurs notent que les nouvelles méthodes d'infection et l'apparition de ce malware montrent que les attaquants expérimentent de nouvelles tactiques. Les développeurs sont conseillés de vérifier les informations sur les employeurs potentiels et d'être prudents avec les tests de code.
Sources :
Panne de câble sous-marin : la « flotte fantôme » russe derrière le sabotage ?
Le 26 décembre, les autorités finlandaises ont intercepté le pétrolier Eagle S, suspecté d'avoir causé une panne d'un câble électrique sous-marin, entraînant le sabotage de trois lignes Internet entre la Finlande et l'Estonie. Le navire, enregistré sous pavillon des Îles Cook, a été abordé par la garde-côte finlandaise, qui enquête sur un possible sabotage. Selon les autorités, l'ancre du pétrolier aurait endommagé le câble Estlink 2, dont la réparation pourrait prendre plusieurs mois, compliquant l'approvisionnement électrique en hiver. Les incidents de sabotage dans la mer Baltique se multiplient, incitant les nations de la région à rester en alerte. Le ministre estonien des Affaires étrangères a souligné que ces dommages doivent être considérés comme des attaques systématiques contre des infrastructures vitales. En réponse, douze pays occidentaux ont annoncé des mesures pour contrer la flotte fantôme russe, utilisée pour contourner les sanctions sur le pétrole. Le président finlandais a appelé à une vigilance accrue face aux risques posés par ces navires. La situation souligne l'urgence pour l'OTAN et l'Union européenne de renforcer la protection des infrastructures sous-marines dans la région.
