Veille cyber du 01/07/2024
Découvrez pourquoi payer pour un logiciel antivirus en 2024 pourrait ne plus être nécessaire, les dangers du bug regreSSHion OpenSSH RCE affectant les serveurs Linux, et comment le logiciel espion CapraRAT déguisé en applis populaires menace les utilisateurs d'Android. Protégez-vous efficacement!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Faut-il encore payer pour un logiciel antivirus en 2024 ?
Le mois dernier, le Département du Commerce des États-Unis a annoncé l'interdiction des logiciels Kaspersky. Une enquête révèle que 54% des Américains utilisent la protection antivirus par défaut de leur appareil, tandis que 46% optent pour des programmes tiers. Seulement un peu plus de la moitié de ces utilisateurs payent pour cette protection, avec Norton et McAfee représentant 52% des clients payants, contre seulement 4% pour Kaspersky. Les personnes âgées sont plus enclines à utiliser des programmes antivirus tiers. Microsoft Defender Antivirus, inclus dans chaque PC Windows, est aussi efficace que les solutions tierces, bloquant 99,2% des menaces. Les attaques ciblées nécessitent des logiciels sophistiqués pour les entreprises, tandis que les utilisateurs occasionnels sont généralement bien protégés par les mesures de sécurité par défaut. Il est suggéré d'arrêter les abonnements à Norton, McAfee ou Kaspersky pour la protection antivirus à domicile.
Sources :
Le nouveau bug regreSSHion OpenSSH RCE donne la racine sur les serveurs Linux
Une nouvelle vulnérabilité de type exécution de code à distance (RCE) non authentifiée dans OpenSSH, nommée "regreSSHion", permet l'obtention de privilèges root sur les systèmes Linux basés sur glibc. Découverte par des chercheurs de Qualys en mai 2024, cette faille, identifiée sous le code CVE-2024-6387, est due à une condition de course dans le gestionnaire de signaux de sshd, permettant à des attaquants distants non authentifiés d'exécuter du code arbitraire en tant que root. L'exploitation de regreSSHion peut avoir des conséquences graves, allant jusqu'à la prise de contrôle complète du système. Des mesures de sécurité telles que le contrôle d'accès SSH et la segmentation réseau sont recommandées pour limiter les risques. Bien que la vulnérabilité puisse également affecter macOS et Windows, son exploitabilité sur ces systèmes reste à confirmer. Les systèmes OpenBSD ne sont pas impactés. Certains serveurs OpenSSH sont vulnérables, mais des correctifs sont disponibles pour certaines versions.
Sources :
Le logiciel espion CapraRAT déguisé en applications populaires menace les utilisateurs d'Android
Le groupe de menace Transparent Tribe continue de diffuser des applications Android infectées de logiciels malveillants dans le cadre d'une campagne de social engineering visant des individus ciblés. La campagne CapraTube, utilisant le spyware CapraRAT, vise les joueurs mobiles, les amateurs d'armes et les fans de TikTok. Transparent Tribe, originaire du Pakistan, cible depuis plus de deux ans le gouvernement indien et le personnel militaire. Le malware CapraRAT a été mis à jour pour cibler les versions plus récentes d'Android et agir davantage comme un outil de surveillance. Parallèlement, une nouvelle forme de malware bancaire Android appelée Snowblind a été révélée, montrant une sophistication croissante des auteurs de logiciels malveillants en Asie du Sud-Est.
Sources :
Les produits d'une société indienne de logiciels piratés pour propager des logiciels malveillants voleurs de données
Des installateurs de trois produits logiciels développés par l'entreprise indienne Conceptworld ont été compromis pour distribuer des logiciels malveillants volant des informations. Les produits affectés sont Notezilla, RecentX et Copywhiz. La compromission de la chaîne d'approvisionnement a été découverte par Rapid7 le 18 juin 2024 et a été corrigée par Conceptworld le 24 juin. Les logiciels malveillants volent des informations sensibles telles que les identifiants de navigateur et de portefeuille de cryptomonnaie, enregistrent les frappes clavier et le presse-papiers, et peuvent télécharger et exécuter d'autres charges utiles. Les utilisateurs sont invités à vérifier leurs systèmes pour détecter toute compromission et à prendre les mesures nécessaires pour annuler les modifications malveillantes.
Sources :
Sécurité des secrets de bout en bout : élaborer un plan pour sécuriser les identités de vos machines
Selon une récente étude de CyberArk, 93% des organisations ont subi deux ou plus de violations liées à l'identité au cours de l'année écoulée. Les fuites de données publiques sont souvent causées par une mauvaise hygiène dans le code privé. Il est crucial de détecter les secrets disséminés dans le code et les systèmes, d'ajuster les flux de travail des développeurs pour sécuriser les secrets et de mettre en place une rotation automatique des secrets. Les outils de détection des secrets, tels que GitGuardian, permettent d'automatiser ce processus. Les coffres d'entreprise offrent une solution centralisée pour gérer les secrets de manière sécurisée. Il est essentiel de surveiller en continu les nouvelles violations et de privilégier la rotation automatique des secrets à courte durée de vie. Une vigilance constante est nécessaire pour réagir rapidement aux problèmes potentiels.
Sources :
Une nouvelle vulnérabilité OpenSSH pourrait conduire à une RCE en tant que root sur les systèmes Linux
Les mainteneurs d'OpenSSH ont publié des mises à jour de sécurité pour contenir une faille critique pouvant entraîner une exécution de code à distance non authentifiée avec des privilèges root dans les systèmes Linux basés sur glibc. La vulnérabilité, nommée regreSSHion, a été attribuée l'identifiant CVE CVE-2024-6387. Elle réside dans le composant serveur OpenSSH, également connu sous le nom de sshd, conçu pour écouter les connexions de n'importe quelle application cliente. La faille affecte les versions entre 8.5p1 et 9.7p1, et les versions antérieures à 4.4p1 sont également vulnérables à un bogue de condition de course, sauf si elles sont corrigées pour CVE-2006-5051 et CVE-2008-4109. Les systèmes OpenBSD ne sont pas affectés. L'exploitation de CVE-2024-6387 peut entraîner une compromission complète du système, permettant aux acteurs malveillants d'exécuter du code arbitraire avec les plus hauts privilèges, de subvertir les mécanismes de sécurité, de voler des données et de maintenir un accès persistant. Il est recommandé aux utilisateurs d'appliquer les derniers correctifs de sécurité, de limiter l'accès SSH par des contrôles basés sur le réseau et d'appliquer une segmentation réseau pour restreindre l'accès non autorisé et les mouvements latéraux.
Sources :
La cyber résilience, un impératif stratégique pour les datacenters
L'article souligne l'importance cruciale d'infrastructures performantes et sécurisées pour réussir sa transformation digitale, en particulier face à la montée des cyberattaques. La cybersécurité et la cyber résilience doivent être intégrées dans la gouvernance IT, tant en interne que dans le choix des partenaires d'hébergement. Les datacenters doivent prendre en compte quatre points clés pour protéger les infrastructures de leurs clients : sécurisation physique, confidentialité des données, détection et prévention des intrusions, et conformité réglementaire. La conformité et la résilience face aux risques cyber exigent que les centres de données opèrent localement. Investir dans ces aspects permet aux datacenters de devenir des partenaires de confiance pour leurs clients.
Sources :
Le portail d'assistance du fabricant du routeur a été piraté et des réponses ont été envoyées avec le phishing MetaMask
Le portail d'assistance d'un fabricant de routeurs a été piraté, envoyant des e-mails de phishing MetaMask en réponse aux tickets de support. Le fabricant canadien de routeurs, Mercku, fournit du matériel à des fournisseurs de services Internet canadiens et européens. Les e-mails de phishing incitent les utilisateurs à mettre à jour leur compte MetaMask sous peine de perte d'accès. MetaMask est un portefeuille de cryptomonnaie utilisant la blockchain Ethereum. Le lien de phishing inclus dans les e-mails redirige vers un site suspendu. BleepingComputer a contacté Mercku pour signaler le piratage. Les clients et prospects de Mercku doivent éviter d'utiliser le portail d'assistance du fabricant et de répondre à toute communication en provenance de celui-ci.
Sources :
NordVPN profite des soldes d’été pour lancer une nouvelle offre en promo + un mois offert
Pendant les soldes d'été 2024, NordVPN propose des réductions sur ses abonnements, avec l'offre Basique à 3,25 €/mois et l'offre Ultime à 6,61 €/mois. Ces abonnements incluent des fonctionnalités telles que NordPass et NordLocker. NordVPN offre des performances excellentes avec un réseau de serveurs étendu. Les abonnements comprennent des options avancées telles que le réseau Mesh et le kill switch. De plus, lors de l'achat d'un abonnement de deux ans, vous pouvez obtenir jusqu'à 20 Go de données mobiles gratuites sur Saily. NordVPN est compatible avec divers appareils et propose une expérience sécurisée et anonyme sur Internet.
Sources :
Le portail d'assistance du fabricant de routeurs répond avec le phishing MetaMask
Le portail d'assistance d'un fabricant de routeurs a été piraté, envoyant des e-mails de phishing MetaMask en réponse aux tickets de support. Mercku, fabricant canadien de routeurs, fournit du matériel à des fournisseurs de services Internet canadiens et européens. Les e-mails incitent les utilisateurs à mettre à jour leur compte MetaMask sous peine de perdre l'accès. MetaMask est un portefeuille de cryptomonnaie utilisant la blockchain Ethereum. Le lien de phishing inclus dans les e-mails redirige vers un site suspendu, évitant ainsi d'autres attaques. BleepingComputer a contacté Mercku pour signaler le piratage. Les clients et prospects de Mercku doivent éviter d'utiliser le portail d'assistance et de répondre à toute communication en provenance de celui-ci.
Sources :
Juniper Networks publie une mise à jour de sécurité critique pour les routeurs
Juniper Networks a publié des mises à jour de sécurité hors bande pour corriger une faille critique pouvant entraîner une contournement de l'authentification dans certains de ses routeurs. La vulnérabilité, identifiée sous le nom CVE-2024-2973, présente un score CVSS de 10.0, indiquant une gravité maximale. Cette faille affecte les routeurs ou conducteurs en configurations redondantes haute disponibilité. Juniper Networks a détaillé les appareils impactés, notamment les Routeurs Session Smart, les Conducteurs Session Smart et les Routeurs WAN Assurance. La société a déclaré n'avoir trouvé aucune preuve d'exploitation active de la faille. Elle a automatiquement corrigé la vulnérabilité sur les appareils affectés pour les routeurs WAN Assurance gérés par MIST connectés au Mist Cloud. En janvier 2024, Juniper Networks avait déjà déployé des correctifs pour une vulnérabilité critique dans les mêmes produits. Les utilisateurs sont vivement encouragés à appliquer les correctifs pour se protéger contre les menaces potentielles, notamment après des attaques l'année précédente sur les pare-feu SRX et les commutateurs EX de l'entreprise.
