Veille cyber du 03/06/2024
Découvrez le contournement critique de l'authentification Progress Telerik et pourquoi il est urgent de patcher. Kaspersky offre un outil gratuit de suppression de virus pour Linux - mais en avons-nous besoin ? Et ne manquez pas notre sélection des meilleurs trackers Bluetooth de 2024, testés par...
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Exploit pour le contournement critique de l'authentification Progress Telerik publié, patch maintenant
Un exploit pour une faille critique contournant l'authentification de Progress Telerik a été publié, patchez maintenant. Le chercheur en cybersécurité Sina Kheirkha a développé un exploit démontrant une vulnérabilité d'exécution de code à distance sur les serveurs de rapports Telerik. Deux failles ont été exploitées : une contournant l'authentification (CVE-2024-4358) et une de désérialisation (CVE-2024-1800). La mise à jour 10.1.24.514 corrige ces failles. Les attaquants peuvent créer des comptes administrateurs et exécuter du code arbitraire. Les attaques sur les logiciels Progress Software sont sérieuses, comme en témoigne une attaque de vol de données en 2023. Les organisations doivent appliquer les mises à jour rapidement.
Sources :
Kaspersky a publié un outil gratuit de suppression de virus pour Linux - mais est-ce nécessaire ?
Kaspersky a publié un outil gratuit de suppression de virus pour Linux, suscitant la question de sa nécessité. Bien que Linux soit considéré comme un système d'exploitation sûr, la menace de logiciels malveillants persiste. L'outil de Kaspersky peut scanner les fichiers système à la recherche de logiciels malveillants connus, mais ne vérifie pas par défaut les répertoires personnels des utilisateurs. Il offre des options de désinfection, suppression, mise en quarantaine ou saut. Bien que l'antivirus de Kaspersky pour Linux ne fonctionne pas en temps réel, il reste une option solide pour les utilisateurs soucieux de la sécurité. Il est disponible en téléchargement gratuit sur le site officiel de Kaspersky et nécessite des autorisations d'exécution pour être utilisé. En conclusion, bien que la nécessité d'un antivirus pour Linux soit débattue, l'outil de Kaspersky offre une solution fiable pour les utilisateurs souhaitant renforcer la sécurité de leur système.
Sources :
Les meilleurs trackers Bluetooth de 2024 : testés par des experts
L'article présente une comparaison des meilleurs trackers Bluetooth, tels que l'Apple AirTag, le Tile Pro, l'Eufy SmartTrack Card, le Jiobit Smart Tag et le Samsung Galaxy SmartTag2. Ces petits appareils permettent de localiser des objets tels que clés, portefeuilles ou animaux de compagnie via une application mobile. Chaque tracker a ses propres caractéristiques, comme la portée de suivi, la durée de vie de la batterie et la compatibilité avec les appareils. Les prix varient de 17 à 150 dollars. Les utilisateurs doivent tenir compte de la compatibilité avec leurs appareils avant d'acheter un tracker Bluetooth.
Sources :
Les utilisateurs de Verizon signalent des photos floues dans les applications de messagerie Android
Des utilisateurs de Verizon signalent des photos floues dans les applications de messagerie Android. Le problème a commencé en février 2024 et s'est intensifié en mai après une mise à jour logicielle. Les spéculations suggèrent une modification de la compression multimédia dans le système MMS de Verizon. Le problème concerne les images statiques et les GIF animés, touchant divers modèles de téléphones Android. Les solutions possibles incluent la mise à jour des applications, le nettoyage du cache, l'utilisation d'applications contournant le réseau Verizon, et l'activation des services de communication enrichis (RCS). Verizon n'a pas encore reconnu le problème, mais les utilisateurs sont encouragés à signaler le problème pour une résolution plus rapide.
Sources :
Des chercheurs découvrent un package npm anti-RAT ciblant les utilisateurs de Gulp
Des chercheurs en cybersécurité ont découvert un nouveau package suspect téléchargé sur le registre de packages npm, conçu pour déployer un cheval de Troie d'accès à distance (RAT) sur des systèmes compromis. Le package en question, glup-debugger-log, cible les utilisateurs de l'outil gulp en se faisant passer pour un "journal pour gulp et ses plugins". Il a été téléchargé 175 fois à ce jour. Le package contient deux fichiers obfusqués qui travaillent ensemble pour déployer la charge malveillante. Une analyse plus approfondie du fichier package.json a révélé l'utilisation d'un script de test pour exécuter un fichier JavaScript ("index.js") qui invoque à son tour un fichier JavaScript obfusqué ("play.js"). Ce dernier fonctionne comme un dropper pour récupérer des malwares de stade suivant. Le RAT est décrit comme à la fois rudimentaire et sophistiqué en raison de sa fonctionnalité minimale, de sa nature autonome et de sa dépendance à l'obfuscation pour résister à l'analyse.
Sources :
Les autorités intensifient leurs efforts pour capturer le cerveau derrière Emotet
Les autorités chargées de l'opération Endgame recherchent des informations sur un individu surnommé Odd, soupçonné d'être le cerveau du malware Emotet. Odd, également connu sous les pseudonymes Aron, C700, Cbd748, Ivanov Odd, Mors, Morse, Veron, aurait des complices et pourrait collaborer sur d'autres malwares. Emotet, initialement un trojan bancaire, s'est transformé en un outil polyvalent capable de délivrer diverses charges malveillantes. Des attaques récentes ont tenté de contourner les restrictions de sécurité en utilisant des pièces jointes d'email Microsoft OneNote. Une opération policière a permis de démanteler des serveurs liés à des opérations de chargement de malwares, visant à éradiquer l'écosystème des courtiers d'accès initial alimentant les attaques de ransomware. Huit cybercriminels liés aux malwares SmokeLoader et Trickbot ont été identifiés et ajoutés à la liste des plus recherchés de l'UE. Des forums soutenant des activités criminelles sont en alerte après l'opération, évoquant des conséquences majeures des fuites de logs de ransomware Conti. Certains acteurs se demandent qui aurait pu divulguer des informations et évoquent la possibilité d'une taupe travaillant avec les autorités.
Sources :
Rapport SASE sur les menaces : 8 conclusions clés pour la sécurité des entreprises
L'article souligne l'importance d'une analyse holistique des données externes, des menaces entrantes et sortantes, et de l'activité réseau pour évaluer l'état réel de la cybersécurité en entreprise. Le rapport SASE Threat Report de Cato met en lumière les menaces à travers une approche stratégique, tactique et opérationnelle, en utilisant le cadre MITRE ATT&CK. Les données granulaires recueillies auprès de plus de 2200 clients permettent à Cato d'avoir une vision unique de l'activité de sécurité en entreprise. Le rapport révèle des insights clés, notamment sur l'utilisation de Microsoft Copilot et OpenAI ChatGPT, ainsi que sur les vulnérabilités courantes et les pratiques d'exploitation. Il souligne également l'importance de la contextualisation des actions des attaquants pour détecter efficacement les activités suspectes.
Sources :
Un chercheur découvre des failles dans les modems Cox, affectant potentiellement des millions de personnes
Des vulnérabilités de contournement d'autorisation désormais corrigées affectant les modems Cox auraient pu être exploitées pour accéder de manière non autorisée aux appareils et exécuter des commandes malveillantes. Un chercheur en sécurité, Sam Curry, a souligné qu'un attaquant externe aurait pu modifier les paramètres de millions de modems, accéder aux données PII des clients professionnels et obtenir des autorisations similaires à celles de l'équipe de support ISP. Les problèmes ont été résolus par le fournisseur de services Internet américain après une divulgation responsable. Curry a découvert environ 700 points d'API exposés, certains permettant d'obtenir des fonctionnalités administratives et d'exécuter des commandes non autorisées en exploitant des problèmes de permissions. Il était possible de modifier les paramètres des appareils des clients en utilisant un secret cryptographique requis pour les demandes de modification matérielle. Ces failles auraient pu être exploitées pour accéder aux informations des clients, modifier les paramètres des appareils et exécuter des commandes arbitraires.
Sources :
Les pirates d'Andariel ciblent les instituts sud-coréens avec le nouveau logiciel malveillant Dora RAT
Le groupe de menace lié à la Corée du Nord connu sous le nom d'Andariel a été observé en train d'utiliser un nouveau backdoor basé sur Golang appelé Dora RAT dans ses attaques ciblant des instituts éducatifs, des entreprises de fabrication et des entreprises de construction en Corée du Sud. Les attaques sont caractérisées par l'utilisation d'un serveur Apache Tomcat vulnérable pour distribuer les logiciels malveillants. Andariel, également connu sous les noms de Nicket Hyatt, Onyx Sleet et Silent Chollima, est un groupe de menace persistante avancée qui opère au nom des intérêts stratégiques de la Corée du Nord depuis au moins 2008. Le groupe a été observé en train d'utiliser des outils tels qu'un enregistreur de frappe, un voleur d'informations et des outils proxy en plus du backdoor pour contrôler et voler des données des systèmes infectés.
Sources :
Une faux message d’arnaque de la Société Générale fait son retour par mail et SMS
Une campagne de phishing cible les utilisateurs de la banque Société Générale via des SMS frauduleux les redirigeant vers un faux site imitant parfaitement l'apparence de la banque. Les escrocs demandent des informations personnelles et les identifiants bancaires avant de rediriger les victimes vers le site officiel, rendant difficile la détection de l'arnaque. Cette pratique est récurrente chez de nombreuses banques et peut entraîner des utilisations frauduleuses des données. Il est recommandé de ne pas cliquer sur les liens suspects, de vérifier directement sur l'application de la banque en cas de doute et d'être vigilant face aux communications non sollicitées.
Sources :
Attention : les fausses mises à jour de navigateurs diffusent des malwares BitRAT et Lumma Stealer
Des fausses mises à jour de navigateur web sont utilisées pour diffuser des chevaux de Troie d'accès à distance (RAT) et des logiciels malveillants voleurs d'informations tels que BitRAT et Lumma Stealer. Les attaques commencent lorsque des cibles potentielles visitent des sites web piégés contenant du code JavaScript redirigeant vers de fausses pages de mise à jour de navigateur. Ces pages contiennent des liens de téléchargement vers des fichiers ZIP hébergés sur Discord, téléchargés automatiquement sur l'appareil de la victime. Les acteurs de la menace utilisent Discord comme vecteur d'attaque, distribuant des liens dangereux. BitRAT permet de récolter des données, miner de la cryptomonnaie et prendre le contrôle des hôtes infectés. Lumma Stealer vole des informations sensibles. Les attaques utilisent des téléchargements drive-by et des techniques de malvertising. Une nouvelle campagne ClearFake incite les utilisateurs à exécuter du code PowerShell malveillant sous prétexte de mise à jour de navigateur. Cette campagne a conduit à une augmentation de 110% des logs LummaC2 vendus. Une autre campagne utilise des webhards pour distribuer des installateurs malveillants. DNSPod, lié à Tencent, est utilisé pour des hébergements malveillants.
