Veille cyber du 11/06/2024
Découvrez comment Cynet enrichit les MSP tout en protégeant leurs clients, la réponse de Cleveland à une cyberattaque et l'ampleur du piratage de 20 000 systèmes FortiGate par des hackers chinois. Ne manquez pas notre analyse approfondie sur ces menaces et solutions de cybersécurité.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Comment Cynet rend les MSP riches et leurs clients sécurisés
Les fournisseurs de services gérés (MSP) sont confrontés à une demande croissante de services de cybersécurité en raison de l'augmentation des cyberattaques. Cynet se positionne comme le fournisseur de sécurité privilégié des MSP pour étendre leur base de clients de manière rentable. Leur plateforme de cybersécurité tout-en-un offre des avantages significatifs aux MSP, tels que des économies de coûts, une simplicité de déploiement, une évolutivité, une visibilité accrue, des performances supérieures et une différenciation sur le marché. Grâce à l'automatisation et au support MDR intégré, les MSP peuvent améliorer leur efficacité opérationnelle, la satisfaction client, la protection contre les menaces et la rentabilité. En se distinguant par ses performances exceptionnelles et son support MDR, Cynet permet aux MSP de se positionner comme des fournisseurs de services de sécurité de premier plan sur un marché concurrentiel. En offrant une solution de sécurité entièrement automatisée et rentable, Cynet aide les MSP à maximiser leurs marges et à offrir une valeur exceptionnelle à leurs clients, renforçant ainsi leur succès sur le marché actuel.
Sources :
La ville de Cleveland ferme ses systèmes informatiques après une cyberattaque
La ville de Cleveland, Ohio, a été victime d'une cyberattaque, obligeant la fermeture des services publics, y compris les bureaux et installations municipales. Les services essentiels comme les urgences, la police, les pompiers, les services publics, les soins de santé d'urgence et les aéroports n'ont pas été affectés. Les informations des contribuables et des clients des services publics n'ont pas été compromises. L'incident est toujours en cours d'investigation, sans revendication de rançongiciel pour le moment. Le maire a qualifié l'attaque de violation, tandis que le commissaire informatique a détecté une activité anormale. Les citoyens sont invités à être patients et à contacter le 311 pour plus d'informations.
Sources :
Des pirates chinois ont piraté 20 000 systèmes FortiGate dans le monde
Des hackers chinois ont compromis 20 000 systèmes FortiGate dans le monde en exploitant une vulnérabilité de code à distance. La campagne de cyber-espionnage a touché des gouvernements occidentaux, des organisations internationales et des entreprises de l'industrie de la défense. Le malware Coathanger RAT a été utilisé pour accéder aux réseaux, notamment celui du ministère néerlandais de la Défense. Les hackers ont maintenu un accès permanent aux systèmes infectés, même après l'installation de mises à jour de sécurité. Environ 20 000 systèmes FortiGate ont été compromis entre 2022 et 2023, avant même que la vulnérabilité CVE-2022-42475 ne soit divulguée. Les hackers chinois pourraient encore avoir accès à de nombreuses victimes, car leur malware est difficile à détecter et à supprimer.
Sources :
Comprendre les Nouveautés de la Directive NIS 2 : un pas de géant pour la Cybersécurité Européenne
La directive NIS 2 est un jalon majeur en cybersécurité européenne, élargissant son champ d'application à 35 secteurs. La France peut adapter la directive selon ses besoins nationaux. Les entités essentielles seront soumises à des contrôles plus stricts et à des sanctions plus sévères. Des sanctions financières renforcées jusqu'à 2 % du chiffre d'affaires sont prévues en cas de non-conformité. L'ANSSI joue un rôle clé dans la mise en œuvre de la directive en France. Des règles plus précises seront publiées pour faciliter la conformité. Les organisations doivent se préparer en analysant leur situation et en mettant en place des mesures de sécurité adéquates.
Sources :
Kaspersky dévoile des techniques avancées de phishing permettant de contourner l’authentification à deux facteurs
Kaspersky a identifié une évolution complexe du phishing pour contourner l'authentification à deux facteurs (2FA) en utilisant des robots OTP. Les attaquants combinent phishing et robots OTP pour obtenir un accès non autorisé aux comptes. Les robots OTP interceptent les mots de passe à usage unique par ingénierie sociale. Les escrocs volent les informations d'identification via des sites de phishing, puis utilisent des robots pour obtenir les OTP des victimes. Les appels téléphoniques des robots augmentent les chances de réponse. Kaspersky a bloqué de nombreuses tentatives de phishing et de contournement de 2FA. Il est crucial de rester vigilant face à ces attaques.
Sources :
Nouvelle porte dérobée Warmcookie Windows poussée via de fausses offres d'emploi
Un nouveau malware Windows nommé 'Warmcookie' est distribué via des offres d'emploi frauduleuses pour infiltrer les réseaux d'entreprises. Découvert par Elastic Security Labs, Warmcookie effectue un vaste fingerprinting des machines, capture des captures d'écran et déploie des charges utiles supplémentaires. Les attaquants utilisent des campagnes de phishing avec de fausses offres d'emploi personnalisées pour inciter les victimes à télécharger un fichier JavaScript malveillant, qui installe le malware. Warmcookie agit comme une porte dérobée avec des capacités telles que la collecte d'informations, la capture d'écrans, l'exécution de commandes arbitraires, etc. Malgré sa nouveauté, il est déjà capable de causer des dommages importants.
Sources :
L'acteur chinois SecShow mène des enquêtes DNS massives à l'échelle mondiale
Des chercheurs en cybersécurité ont identifié un acteur chinois nommé SecShow effectuant des sondages DNS à l'échelle mondiale depuis juin 2023. Ces activités, visant à collecter des données DNS, soulèvent des inquiétudes sur leurs objectifs malveillants. SecShow utilise des serveurs DNS ouverts pour des attaques potentielles de type DDoS. Parallèlement, un autre acteur propose un nouveau service de botnet nommé Rebirth, basé sur Mirai, ciblant principalement les serveurs de jeux vidéo pour des gains financiers. Cette évolution intervient après la divulgation d'un autre botnet, MCCrash, visant les serveurs Minecraft privés. Ces services sont utilisés pour des attaques DDoS et du trolling, perturbant les serveurs de jeux. Les attaques exploitent des failles de sécurité connues pour déployer le malware.
Sources :
Le ransomware TellYouThePass exploite la récente faille PHP RCE pour pirater les serveurs
Le groupe de ransomware TellYouThePass exploite la faille récente de RCE PHP CVE-2024-4577 pour infecter des serveurs. Les attaques ont commencé le 8 juin, peu après la publication des correctifs de sécurité par PHP. Le ransomware utilise un code d'exploit public pour délivrer des coquilles web et exécuter sa charge utile d'encryptage. Les chercheurs d'Imperva ont repéré ces attaques, où le ransomware exploite la vulnérabilité critique CVE-2024-4577 pour exécuter du code PHP arbitraire. Le malware envoie une requête HTTP à un serveur de commande et contrôle (C2) déguisé en demande de ressource CSS, puis crypte les fichiers sur la machine infectée et affiche une note de rançon. Plus de 450 000 serveurs PHP exposés pourraient être vulnérables à cette faille, principalement aux États-Unis et en Allemagne.
Sources :
Pure Storage confirme une violation de données après le piratage du compte Snowflake
Pure Storage a confirmé une violation de données après le piratage du compte Snowflake. Les attaquants ont accédé à des informations de télémétrie, incluant des noms de clients, utilisateurs et adresses e-mail, mais sans accès aux identifiants d'accès aux systèmes des clients. Aucune activité malveillante n'a été détectée ailleurs. Snowflake a révélé que des attaquants ont utilisé des identifiants volés pour cibler des comptes sans authentification à facteurs multiples. Mandiant a lié les attaques à un acteur de menace UNC5537, ciblant des organisations mondiales depuis 2020. Des centaines de comptes clients Snowflake ont été exposés à des attaques de logiciels malveillants. Plus de 165 organisations ont été potentiellement touchées. Des violations récentes chez Santander, Ticketmaster et QuoteWizard/LendingTree ont également été liées à ces attaques. Un acteur de menace vend des données d'Advance Auto Parts après le piratage de leur compte Snowflake.
Sources :
Top 10 des résultats critiques du Pentest 2024 : ce que vous devez savoir
La société Vonahi Security a publié son rapport annuel "Les 10 principales découvertes critiques de tests de pénétration 2024", mettant en lumière les vulnérabilités exploitées courantes des organisations. Parmi celles-ci, on retrouve des recommandations telles que la mise à jour des systèmes d'exploitation obsolètes de Microsoft Windows et l'évaluation des programmes de gestion des correctifs. Les tests de pénétration réguliers avec vPenTest de Vonahi permettent de détecter et d'expliquer ces problèmes potentiels, réduisant ainsi les risques de sécurité et les violations dans l'environnement informatique d'une organisation.
Sources :
Apple lance un cloud privé pour le traitement de l'IA axé sur la confidentialité
Apple a annoncé le lancement d'un système d'intelligence cloud révolutionnaire appelé Private Cloud Compute (PCC) conçu pour traiter les tâches d'intelligence artificielle de manière respectueuse de la vie privée dans le cloud. PCC est décrit comme l'architecture de sécurité la plus avancée jamais déployée pour le calcul d'IA en cloud à grande échelle. Il est associé à de nouvelles fonctionnalités d'IA générative (GenAI) regroupées sous le nom d'Apple Intelligence, intégrées dans les prochaines versions des logiciels iOS 18, iPadOS 18 et macOS Sequoia. Les fonctionnalités d'Apple Intelligence exploitent des modèles génératifs internes entraînés sur des données sous licence et publiques, sans rétention de données. PCC permet de décharger les requêtes complexes nécessitant plus de puissance de traitement dans le cloud, tout en garantissant la confidentialité des données. L'architecture de PCC repose sur un nœud serveur sur mesure intégrant Apple silicon, Secure Enclave et Secure Boot, offrant une surface d'attaque extrêmement réduite. Des mesures de sécurité et de confidentialité notables incluent l'utilisation d'un relais OHTTP pour masquer l'origine des requêtes et la vérification publique du logiciel exécuté sur les serveurs Apple silicon. Apple Intelligence sera disponible cet automne sur certains appareils Apple, offrant des fonctionnalités d'IA avancées tout en renforçant la protection de la vie privée des utilisateurs.
Sources :
Le logiciel malveillant ValleyRAT lié à la Chine refait surface avec des tactiques avancées de vol de données
Des chercheurs en cybersécurité ont découvert une nouvelle version du malware ValleyRAT, introduisant de nouvelles commandes telles que la capture d'écrans et l'effacement des journaux d'événements Windows. Ce malware, attribué à un acteur de menace basé en Chine, est capable de collecter des informations sensibles et de déployer des charges utiles supplémentaires sur des hôtes compromis. Il utilise un processus en plusieurs étapes pour infecter un système avec une charge utile finale, visant à éviter les solutions de sécurité basées sur l'hôte. Parallèlement, Fortinet FortiGuard Labs a découvert une campagne de phishing ciblant les hispanophones avec une version mise à jour d'un enregistreur de frappe et voleur d'informations appelé Agent Tesla, exploitant des failles de sécurité connues pour récupérer le malware.
Sources :
Snowflake Breach expose les données de 165 clients dans le cadre d'une campagne d'extorsion en cours
Une campagne de vol de données et d'extorsion ciblant les clients de Snowflake a exposé les informations de 165 clients, menée par le groupe UNC5537, agissant pour un gain financier. Les attaquants compromettent les instances de Snowflake avec des identifiants volés, vendent les données des victimes sur des forums de cybercriminalité et tentent de les extorquer. Le groupe, basé en Amérique du Nord et en Turquie, opère sous divers alias et utilise des malwares pour accéder aux données des clients. Snowflake travaille à renforcer la sécurité de ses clients en imposant des contrôles avancés comme l'authentification multi-facteurs. Les attaques ont réussi en raison de l'absence de MFA, de la non-rotation des identifiants et du manque de vérifications pour un accès depuis des emplacements de confiance. Cette campagne souligne l'importance croissante des voleurs d'informations et des menaces qu'ils représentent pour les organisations.
Sources :
Arm met en garde contre une vulnérabilité Zero Day activement exploitée dans les pilotes GPU du Mali
Arm a averti d'une vulnérabilité de sécurité affectant le pilote du noyau GPU Mali qui est activement exploitée. Identifié sous CVE-2024-4610, le problème d'utilisation après libération impacte les pilotes du noyau GPU Bifrost et Valhall dans les versions r34p0 à r40p0. Un utilisateur local non privilégié peut accéder à une mémoire déjà libérée. La vulnérabilité a été corrigée dans les versions r41p0 des pilotes Bifrost et Valhall, publiées le 24 novembre 2022. Arm a confirmé des attaques réelles exploitant cette faille, sans donner plus de détails. Il est recommandé aux utilisateurs concernés de mettre à jour vers la version appropriée pour se protéger.
Sources :
Arm met en garde contre une faille activement exploitée dans les pilotes du noyau GPU du Mali
Arm a émis un bulletin de sécurité avertissant d'une vulnérabilité liée à la mémoire dans les pilotes de noyau GPU Bifrost et Valhall, actuellement exploitée. La faille CVE-2024-4610 est une vulnérabilité d'utilisation après libération (UAF) affectant toutes les versions des pilotes Bifrost et Valhall de r34p0 à r40p0. Les UAF surviennent lorsqu'un programme continue d'utiliser un pointeur vers un emplacement mémoire après sa libération, pouvant entraîner une divulgation d'informations et une exécution de code arbitraire. Arm recommande aux utilisateurs impactés de mettre à jour vers la version r41p0 des pilotes, sortie le 24 novembre 2022. Les utilisateurs Android peuvent rencontrer des retards dans l'obtention des mises à jour de sécurité en raison de la complexité de la chaîne d'approvisionnement. Certains appareils affectés pourraient ne plus recevoir de mises à jour de sécurité.
Sources :
Les attaques de Gitloker abusent des notifications de GitHub pour diffuser des applications OAuth malveillantes
Des acteurs de la menace utilisent des attaques de phishing pour usurper l'identité des équipes de sécurité et de recrutement de GitHub afin de détourner des dépôts en utilisant des applications OAuth malveillantes dans une campagne d'extorsion en cours. Les développeurs ciblés reçoivent de fausses offres d'emploi ou alertes de sécurité via des e-mails de phishing, les redirigeant vers des sites frauduleux pour autoriser des applications OAuth malveillantes. Une fois les dépôts compromis, les attaquants les vident et prétendent avoir sauvegardé les données volées. GitHub conseille de ne pas cliquer sur les liens suspects, de ne pas autoriser d'applications OAuth inconnues et de vérifier régulièrement les autorisations des applications.
