Veille cyber du 26/06/2024
Découvrez les dernières menaces critiques : Exploit SQLi pour Fortra FileCatalyst Workflow, vulnérabilité MOVEit Transfer en exploitation active et nouveau bug de contournement d'authentification MOVEit. Protégez vos systèmes, corrigez dès maintenant !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Exploit pour la faille critique Fortra FileCatalyst Workflow SQLi publiée
Une vulnérabilité critique d'injection SQL a été découverte dans Fortra FileCatalyst Workflow, permettant à des attaquants distants non authentifiés de créer des utilisateurs administrateurs frauduleux et de manipuler la base de données de l'application. La faille, CVE-2024-5276, a été divulguée par Tenable le 26 juin 2024, avec un exploit public disponible. Les correctifs sont disponibles dans la version 5.1.6 build 139. L'exploitation non authentifiée nécessite l'activation de l'accès anonyme sur l'instance cible. Tenable a publié un exploit démontrant l'injection SQL via le paramètre 'jobID'. Aucune exploitation active n'a été signalée, mais la disponibilité de l'exploit pourrait changer la donne rapidement.
Sources :
Nouvelle vulnérabilité de transfert MOVEit en exploitation active – Corrigez dès que possible !
Une faille de sécurité critique affectant Progress Software MOVEit Transfer a été récemment divulguée et des tentatives d'exploitation ont été observées peu de temps après la divulgation publique de la vulnérabilité. Cette faille, identifiée sous le code CVE-2024-5806, permet une contournement de l'authentification et concerne plusieurs versions du logiciel. Une autre vulnérabilité critique (CVE-2024-5805) a également été corrigée par Progress Software. Les attaques réussies pourraient permettre aux pirates de contourner l'authentification SFTP et d'accéder aux systèmes MOVEit Transfer et Gateway. Des chercheurs en sécurité ont souligné la gravité de la vulnérabilité et ont recommandé des mesures correctives. Il est crucial de mettre à jour les logiciels pour se prémunir contre de potentielles attaques, d'autant plus que des attaques de ransomware ont déjà exploité des failles similaires dans le passé.
Sources :
Les pirates ciblent un nouveau bug de contournement d'authentification critique de MOVEit Transfer
Des pirates ciblent une nouvelle faille critique d'authentification dans MOVEit Transfer, une solution de transfert de fichiers gérée utilisée dans les environnements d'entreprise. La vulnérabilité CVE-2024-5806 permet aux attaquants de contourner le processus d'authentification SFTP, compromettant la sécurité des données stockées sur le serveur MOVEit Transfer. Des tentatives d'exploitation ont été observées peu de temps après la divulgation de la faille, avec environ 2 700 instances exposées sur Internet. Des correctifs ont été publiés pour les versions affectées, et les clients sont encouragés à appliquer les mises à jour de sécurité. Une autre vulnérabilité CVE-2024-5805 a également été signalée, affectant MOVEit Gateway 2024.0.0. Les administrateurs système sont conseillés de bloquer l'accès RDP aux serveurs MOVEit Transfer et de restreindre les connexions sortantes à des endpoints connus/fiables pour atténuer les risques.
Sources :
Mise à jour Windows 11 KB5039302 publiée avec 9 modifications ou correctifs
Microsoft a publié la mise à jour Windows 11 KB5039302 pour la version 22H2, apportant des nouvelles fonctionnalités et correctifs. Cette mise à jour optionnelle se concentre sur l'amélioration de la qualité et la correction de bugs, sans inclure de mises à jour de sécurité. Les utilisateurs peuvent tester les nouvelles fonctionnalités avant leur déploiement officiel. Parmi les changements, le bouton "Afficher le bureau" est de retour par défaut, et l'Explorateur de fichiers permet désormais de créer des fichiers 7-Zip et TAR via le menu clic droit. D'autres améliorations incluent la résolution de problèmes liés à l'outil de capture, au clavier tactile et aux périphériques USB. De plus, de nouvelles fonctionnalités telles qu'une carte de recommandation Game Pass dans les paramètres et la prise en charge des Emoji 15.1 ont été ajoutées. Certains correctifs ne sont pas disponibles pour tous les utilisateurs, et des problèmes connus, comme des difficultés lors de la mise à niveau vers Windows Enterprise, sont en cours de résolution par Microsoft.
Sources :
Mise à jour Windows 10 KB5039299 publiée avec 10 modifications ou correctifs
Microsoft a publié la mise à jour KB5039299 pour Windows 10 version 22H2, comprenant jusqu'à dix corrections ou modifications, notamment un correctif pour les boîtes de dialogue "Ouvrir avec" qui s'affichent lors de l'utilisation d'applications. Cette mise à jour est facultative, ne contenant pas de mises à jour de sécurité, mais des améliorations de qualité et des corrections de bugs. Les utilisateurs peuvent l'installer via les paramètres ou en téléchargeant directement depuis le Catalogue de mises à jour Microsoft. Les corrections incluent des problèmes liés aux applications MSIX, à la gestion des appareils mobiles, aux présentations en lot de Direct Composition, aux profils COSA pour certains opérateurs mobiles, à la reprise après hibernation avec BitLocker, aux politiques WDAC non signées, au menu contextuel des dossiers, et à l'affichage incorrect de boîtes de dialogue "Comment voulez-vous ouvrir ce fichier ?". Microsoft travaille toujours sur un bogue persistant lié au changement d'image de profil utilisateur.
Sources :
Une valise pour espionner les conversations en vente sur eBay pour 93 000 euros
Sur eBay, une valise d'interception de conversations téléphoniques de type "Stingray" a été mise en vente pour 100 000 dollars. Ce dispositif avancé, utilisé par les forces de l'ordre, permet de traquer et intercepter les communications téléphoniques. Bien que controversés, ces appareils sont parfois utilisés pour des escroqueries. La France autorise l'utilisation des IMSI-catcher par la police. L'annonce a été retirée après avoir été repérée par Gizmodo. La vente publique de tels outils est rare, le vendeur demandait un prix inférieur au marché. La police a déjà utilisé ces appareils pour des enquêtes sur des escroqueries.
Sources :
Le Lab de SentinelOne révèle les activités de 2 groupes de hackers chinois
SentinelLabs, la division de recherche de SentinelOne, en collaboration avec Recorded Future, a analysé deux groupes APT chinois ciblant des entités gouvernementales et des infrastructures critiques mondiales entre 2021 et 2023. L'étude souligne l'utilisation stratégique des ransomwares par les acteurs du cyber espionnage à des fins financières, de désorganisation ou pour attribuer les attaques à d'autres entités. Le rapport met en lumière les activités de ChamelGang, un groupe APT chinois ayant ciblé diverses entités telles que l'AIIMS en Inde et la présidence du Brésil en 2022. D'autres intrusions ont visé des organisations gouvernementales en Asie de l'Est et des secteurs d'infrastructures critiques, notamment dans l'aviation indienne. Un autre groupe a utilisé des outils comme BestCrypt et BitLocker pour cibler diverses industries en Amérique du Nord, en Amérique du Sud et en Europe, en particulier le secteur manufacturier américain, avec des similitudes avec des groupes APT chinois et nord-coréens.
Sources :
Le malware Snowblind abuse de la fonctionnalité de sécurité Android pour contourner la sécurité
Le malware Snowblind exploite une fonctionnalité de sécurité d'Android pour contourner les protections anti-altération des applications. En utilisant le 'seccomp', une fonctionnalité du noyau Linux, Snowblind peut réemballer une application cible sans être détecté, permettant ainsi d'obtenir des informations sensibles des utilisateurs ou de prendre le contrôle à distance. Cette technique, peu connue, peut contourner les mesures de sécurité telles que l'authentification à deux facteurs ou la vérification biométrique. Bien que Snowblind ait été observé ciblant une application d'un client en Asie du Sud-Est, il est possible que d'autres applications soient également visées. Google a déclaré que Google Play Protect protège automatiquement les utilisateurs contre les versions connues de ce malware.
Sources :
Des pirates informatiques chinois et nord-coréens ciblent les infrastructures mondiales avec des ransomwares
Des acteurs menaçants liés à la Chine et à la Corée du Nord ont été associés à des attaques de ransomware et de chiffrement de données ciblant des gouvernements et des infrastructures critiques dans le monde entre 2021 et 2023. Ces attaques, attribuées à des groupes étatiques chinois et nord-coréens, incluent des cibles telles que l'AIIMS en Inde et la présidence du Brésil. Les chercheurs en sécurité soulignent une tendance inquiétante d'utilisation du ransomware pour des gains financiers, la perturbation et la dissimulation d'activités malveillantes. Les attaques de ransomware permettent aux acteurs de couvrir leurs traces en détruisant des preuves. Les outils utilisés incluent BeaconLoader, Cobalt Strike, CatB ransomware, DoorMe et MGDrive. Ces activités pourraient être liées à des groupes chinois et nord-coréens comme APT41 et Andariel, mais la visibilité limitée rend difficile la détection des artefacts malveillants. SentinelOne n'exclut pas la possibilité que ces activités fassent partie d'un schéma cybercriminel plus large, avec des acteurs étatiques participant à des attaques à motivation financière.
Sources :
Conseils pratiques pour sécuriser votre chaîne d’approvisionnement logicielle
Les pressions réglementaires et légales accrues sur les organisations produisant des logiciels pour sécuriser leurs chaînes d'approvisionnement et garantir l'intégrité de leurs logiciels ne sont pas surprenantes. Le cas de la faille Log4j en 2021, où des milliers de systèmes ont été mis en danger en raison d'une vulnérabilité dans le framework Log4j, souligne l'importance de la sécurité des chaînes d'approvisionnement logicielles. Les attaques de la chaîne d'approvisionnement logicielle devraient toucher près de la moitié des organisations d'ici 2025. La mise en œuvre de pratiques DevSecOps et la génération de SBOMs sont essentielles pour renforcer la sécurité. Les SBOMs fournissent une visibilité sur les composants logiciels et aident à identifier et remédier rapidement aux vulnérabilités. Les organisations doivent appliquer des contrôles de sécurité sur les dépôts de code, les pipelines CI/CD, l'infrastructure et les registres d'artefacts pour réduire les risques.
Sources :
Apple corrige une vulnérabilité Bluetooth des AirPods qui pourrait permettre des écoutes clandestines
Apple a publié une mise à jour du micrologiciel pour les AirPods qui pourrait permettre à un acteur malveillant d'accéder aux écouteurs de manière non autorisée. L'issue d'authentification CVE-2024-27867 affecte les AirPods (2e génération et ultérieures), les AirPods Pro, les AirPods Max, les Powerbeats Pro et les Beats Fit Pro. Un attaquant à proximité physique pourrait exploiter la vulnérabilité pour écouter des conversations privées. La faille a été découverte par Jonas Dreßler et corrigée dans les mises à jour du micrologiciel. Par ailleurs, une autre faille (CVE-2024-27812) a été signalée par le chercheur en sécurité Ryan Pickren, permettant de remplir une pièce d'objets 3D animés sans interaction de l'utilisateur. Cette vulnérabilité exploite une défaillance d'Apple dans l'application du modèle de permissions avec la fonction ARKit Quick Look.
Sources :
JO Paris 2024 entre cybermenaces et tourisme : quand la cyberdéfense devient la nouvelle épreuve reine
Selon OpenText Cybersecurity, la protection des données confidentielles est essentielle en France, notamment dans des secteurs stratégiques comme le tourisme et l'hôtellerie. Les Jeux olympiques sont une cible privilégiée pour les cybercriminels, avec des attaques sophistiquées en augmentation. L'industrie du voyage doit sécuriser les données bancaires et personnelles des réservations en ligne, confrontée à des menaces croissantes, notamment par phishing. Les Jeux Olympiques de Paris 2024 devront faire face à un niveau de menaces décuplé, nécessitant une stratégie de résilience cybernétique complète. OpenText recommande des solutions antivirus avancées, la détection de menaces, la protection des terminaux, le chiffrement, la gestion des identités, la formation des équipes et des plans d'intervention pour assurer une cyber-résilience totale.
Sources :
Un nouveau skimmer de carte de crédit cible les sites WordPress, Magento et OpenCart
Un nouveau skimmer web nommé Caesar Cipher Skimmer cible plusieurs plateformes de gestion de contenu (CMS) telles que WordPress, Magento et OpenCart pour voler des informations financières. Ce malware est injecté dans des sites de commerce électronique afin de voler des données de paiement. La dernière campagne consiste à modifier de manière malveillante le fichier de paiement associé au plugin WooCommerce pour WordPress afin de voler les détails des cartes de crédit. Le skimmer utilise un mécanisme de substitution similaire au chiffre de César pour encoder le code malveillant et masquer le domaine externe utilisé pour héberger la charge utile. Les sites compromis sont préalablement infectés par des scripts PHP pour éviter la détection. Les attaquants utilisent également le plugin WPCode pour injecter le skimmer dans la base de données des sites WordPress. Les propriétaires de sites doivent maintenir à jour leurs CMS et plugins, appliquer des bonnes pratiques de sécurité et effectuer des audits réguliers pour détecter d'éventuelles activités suspectes.
Sources :
Le nouveau cheval de Troie Android Medusa cible les utilisateurs du secteur bancaire dans 7 pays
Des chercheurs en cybersécurité ont découvert une nouvelle version du cheval de Troie bancaire Android Medusa, ciblant des utilisateurs au Canada, en France, en Italie, en Espagne, en Turquie, au Royaume-Uni et aux États-Unis. Les nouvelles campagnes de fraude, actives depuis juillet 2023, utilisent cinq botnets différents et présentent des fonctionnalités améliorées telles qu'un overlay en plein écran et la désinstallation à distance d'applications. Medusa, également connu sous le nom de TangleBot, est un malware sophistiqué ciblant les entités financières en Turquie depuis 2020. Il utilise des attaques d'overlay pour voler les identifiants bancaires. Les chercheurs ont observé une évolution du malware, notamment une réduction des permissions demandées pour éviter la détection. Les campagnes de distribution de Medusa se font désormais via des applications dropper provenant de sources non fiables. D'autres malwares Android, tels que Cerberus et SpyMax, sont également distribués via des mises à jour de navigateur Chrome fictives et des applications Telegram frauduleuses.
Sources :
Plus de 110 000 sites Web touchés par une attaque de chaîne d'approvisionnement Polyfill piratée
Google a pris des mesures pour bloquer les publicités des sites de commerce électronique utilisant le service Polyfill.io après qu'une entreprise chinoise ait acquis le domaine et modifié la bibliothèque JavaScript ("polyfill.js") pour rediriger les utilisateurs vers des sites malveillants et d'escroquerie. Plus de 110 000 sites utilisant la bibliothèque sont touchés par cette attaque de la chaîne d'approvisionnement. Le créateur original du projet, Andrew Betts, a recommandé aux propriétaires de sites web de le supprimer immédiatement, soulignant que la plupart des fonctionnalités ajoutées à la plateforme web sont rapidement adoptées par tous les principaux navigateurs. Cloudflare et Fastly ont également proposé des alternatives pour aider les utilisateurs à se détourner de Polyfill.io. Des préoccupations ont été soulevées quant à la sécurité des sites web utilisant le domaine original de Polyfill.io, maintenant contrôlé par Funnull. Des experts ont également alerté sur une faille de sécurité critique affectant les sites Adobe Commerce et Magento, qui reste largement non corrigée malgré des correctifs disponibles depuis juin 2024.
