Veille cyber du 27/06/2024
Découvrez comment la vulnérabilité MOVEit déclenche des tentatives de piratage, pourquoi Microsoft retire la mise à jour Windows 11 KB5039302, et l'évolution du botnet P2PInfect avec des charges utiles de mineurs et ransomwares. Entreprises, mettez à jour vos systèmes sans tarder!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Une nouvelle vulnérabilité MOVEit déclenche des tentatives de piratage. Les entreprises devraient mettre à jour dès que possible
Une nouvelle vulnérabilité de MOVEit déclenche des tentatives de piratage. Les entreprises doivent rapidement appliquer le correctif pour éviter le vol de données. Progress Software, le développeur de MOVEit, a découvert une faille critique dans son logiciel, classée initialement comme élevée puis comme "critique". Les utilisateurs non patchés pourraient être victimes de pirates exploitant la vulnérabilité pour accéder à leurs données. En 2023, une vulnérabilité similaire avait permis au groupe de ransomware Cl0p de voler des données à des entreprises et organisations gouvernementales. Malgré ces attaques, MOVEit reste largement utilisé pour le transfert sécurisé de fichiers, notamment dans le secteur de la santé. Progress Software recommande vivement l'application du correctif pour se protéger contre les exploits. Des activités de piratage contre MOVEit ont déjà été observées après l'annonce de la vulnérabilité. Les consommateurs doivent espérer que les entreprises mettent à jour leurs installations MOVEit pour protéger leurs données.
Sources :
Microsoft retire la mise à jour Windows 11 KB5039302, provoquant des boucles de redémarrage
Microsoft a retiré la mise à jour KB5039302 de Windows 11 de juin après avoir constaté qu'elle provoquait des boucles de redémarrage sur certains appareils. Cette mise à jour, destinée à tester de nouveaux correctifs et changements avant leur déploiement général en juillet, affecte principalement les dispositifs utilisant des outils de machine virtuelle et des fonctionnalités de virtualisation. Les utilisateurs touchés doivent la désinstaller via l'Environnement de récupération de Windows 11. Microsoft enquête sur les causes des redémarrages et a retiré la mise à jour des offres de Windows Update. Les utilisateurs de Windows Home sont moins susceptibles d'être affectés. Des commentaires sur les problèmes récurrents liés aux mises à jour de Microsoft sont partagés par la communauté.
Sources :
Le botnet P2PInfect basé sur Rust évolue avec les charges utiles des mineurs et des ransomwares
Le botnet de logiciels malveillants peer-to-peer connu sous le nom de P2PInfect cible désormais les serveurs Redis mal configurés avec des ransomwares et des mineurs de cryptomonnaie, marquant ainsi sa transition vers une opération motivée financièrement. Il se propage en ciblant les serveurs Redis et leur fonction de réplication pour transformer les systèmes victimes en nœud suiveur du serveur contrôlé par l'attaquant. Le ver basé sur Rust dispose également de la capacité de scanner Internet à la recherche de serveurs vulnérables et intègre un module de pulvérisation de mots de passe SSH. P2PInfect est soupçonné d'être un service de location de botnet, agissant comme un conduit pour déployer les charges utiles d'autres attaquants en échange de paiement. En outre, il utilise un rootkit en mode utilisateur pour masquer ses processus et fichiers malveillants des outils de sécurité.
Sources :
Le piratage du compte X de Metallica : arnaque à la crypto-monnaie
Le groupe de heavy metal Metallica a été victime d'un piratage de son compte Twitter, utilisé pour une arnaque sophistiquée à la crypto-monnaie. Des hackers ont incité les fans à participer à une fausse distribution de crypto-monnaies, promettant des retours multipliés. Metallica a réagi rapidement en reprenant le contrôle du compte et en alertant les abonnés. Cette attaque s'inscrit dans une série de cyberattaques visant des comptes influents sur les réseaux sociaux. Il est recommandé de renforcer la cybersécurité des réseaux sociaux en changeant régulièrement les mots de passe et en activant l'authentification à deux facteurs. D'autres personnalités, comme la Ministre Française des Sports, ont également été victimes de ce type d'escroquerie. La vigilance et les mesures de sécurité sont essentielles pour prévenir de telles attaques.
Sources :
Un bug critique de GitLab permet aux attaquants d'exécuter des pipelines comme n'importe quel utilisateur
Une vulnérabilité critique affecte certaines versions des produits GitLab Community et Enterprise Edition, permettant à des attaquants de lancer des pipelines en tant qu'utilisateur quelconque. Cette faille, répertoriée sous CVE-2024-5655, a un score de gravité de 9,6 sur 10. Les versions impactées vont de 15.8 à 17.1.0. GitLab a publié les correctifs 17.1.1, 17.0.3 et 16.11.5 pour résoudre le problème. Deux changements importants accompagnent ces mises à jour : les pipelines ne se déclencheront plus automatiquement lorsqu'une demande de fusion est retargetée, et CIJOBTOKEN est désormais désactivé par défaut pour l'authentification GraphQL. En outre, 13 autres problèmes de sécurité ont été corrigés, dont trois jugés "élevés". Ces derniers incluent des vulnérabilités XSS, CSRF et d'autorisation.
Sources :
Mettez vite à jour votre smartphone Android si vous voulez éviter d’être infectés par ces fausses applis
Une récente alerte de l'entreprise de cybersécurité CheckPoint met en garde contre une campagne de piratage ciblant les smartphones avec d'anciennes versions d'Android. Les hackers utilisent le cheval de Troie Rafel RAT pour voler des données sensibles, notamment via des applications de messagerie et de finance. Tous les smartphones antérieurs à Android 14 sont vulnérables, et il est recommandé d'installer la version Android 15 pour se protéger. Les victimes ont été repérées dans plusieurs pays, dont la France. Il est conseillé de rester vigilant quant aux applications téléchargées et de privilégier Google Play. Les cybercriminels continuent d'exploiter cette faille, mettant en danger la vie privée et les données bancaires des utilisateurs.
Sources :
Ticketmaster : piratage, fuite de données et enfin une communication !
Ticketmaster a récemment découvert une fuite de données personnelles de clients ayant acheté des billets pour des événements en Amérique du Nord. Les informations compromises incluent des adresses électroniques, numéros de téléphone et données de carte de paiement, provenant d'une base de données datant de 2018. Cette violation de données a été causée par un logiciel espion sur le fournisseur cloud d'Inbenta Technologies. Malgré la communication des pirates sur des forums, l'assureur de Ticketmaster offre un an de service d'assurance aux clients touchés.
Sources :
Découvrez comment une technologie basée sur le matériel, qui embarque de l’IA, permet de détecter les menaces sur PC
Intel® Threat Detection Technology (TDT) utilise l'IA pour détecter les menaces avancées sur les PC, renforçant ainsi la sécurité des appareils face aux cyberattaques sophistiquées. En analysant les comportements suspects au niveau de la microarchitecture du processeur et du hardware, Intel TDT identifie les ransomware et les attaques sans fichier échappant aux méthodes traditionnelles. Cette technologie améliore la détection des menaces et décharge l'analyse de la mémoire vers le GPU et le NPU intégrés, améliorant ainsi les performances des logiciels de sécurité. Grâce à des algorithmes de Machine Learning et à la télémétrie du hardware, Intel TDT profile et détecte efficacement les logiciels malveillants. En partenariat avec des leaders de la sécurité, Intel TDT est intégré nativement aux PC, offrant une protection rapide et efficace contre les cybermenaces. La technologie permet de détecter 93 % des principales variantes de ransomware, assurant une protection continue et adaptée aux évolutions des menaces.
Sources :
JFrog découvre une menace CVE de niveau 10 concernant l’utilisation de grands modèles de langage (LLM)
Une importante vulnérabilité touchant les grands modèles de langage (LLM) a été découverte, mettant en lumière les risques de sécurité liés à l'IA/ML. JFrog confirme cette menace en révélant une vulnérabilité de type "zero-day" dans la bibliothèque Vanna.AI, permettant une exécution de code à distance. Cette faille expose les organisations à des attaques potentielles compromettant la sécurité des systèmes. Les développeurs reliant les LLM à diverses ressources sont particulièrement vulnérables. Shachar Menasche de JFrog souligne l'importance d'une gouvernance et d'une sécurité adéquates pour contrer ces risques. Il met en garde contre l'utilisation des injections de prompts comme unique mécanisme de défense. Il est recommandé d'employer des mesures plus robustes lors de l'interfaçage des LLM avec des ressources critiques. Cette découverte souligne l'urgence pour les organisations de renforcer leur sécurité face aux menaces potentielles liées à l'utilisation des LLM.
Sources :
Les États-Unis offrent 5 millions de dollars pour des infos sur l’arnaqueuse CryptoQueen
Les autorités américaines ont augmenté la prime pour des informations sur Ruja Ignatova, accusée dans l'affaire OneCoin. Son associé, Sebastian Greenwood, a été condamné à 20 ans de prison. Ruja est recherchée pour fraude et blanchiment d'argent depuis sept ans. Des fuites sur son appartement à Dubaï ont relancé les recherches du FBI. Des rumeurs de sa mort circulent, mais un podcast suggère qu'elle est toujours en vie. Elle aurait changé d'apparence et possèderait des passeports allemand et russe. Les autorités américaines ont augmenté la prime suite à des révélations sur ses activités immobilières à Dubaï.
Sources :
Les secrets de l'entraînement caché de l'IA sur vos données
Cet article met en lumière les risques cachés des outils SaaS alimentés par l'IA, qui peuvent compromettre les données sensibles des entreprises. Les conditions d'utilisation et les politiques de confidentialité complexes rendent difficile la protection des données. Les réglementations sur l'utilisation des données varient, compliquant davantage la gestion des données. Les équipes de sécurité luttent pour contrôler ces risques, soulignant la nécessité d'une approche simplifiée. Comprendre comment l'IA utilise les données et savoir comment s'opposer à leur utilisation sont essentiels pour garantir la conformité et la sécurité des données. En priorisant la visibilité, la conformité et des options de désinscription accessibles, les organisations peuvent mieux protéger leurs données des modèles d'IA. L'utilisation d'une solution SSPM centralisée et automatisée comme Wing permet aux utilisateurs de naviguer avec confiance et contrôle dans les défis liés aux données d'IA, assurant la sécurité des informations sensibles et de la propriété intellectuelle.
Sources :
Polyfill prétend avoir été « diffamé » et revient après la fermeture du domaine
Le service Polyfill.io a été relancé sur un nouveau domaine après la fermeture de polyfill.io suite à la découverte de code malveillant sur plus de 100 000 sites. Les propriétaires affirment avoir été diffamés et rejettent les allégations de risques liés à leur service. Malgré leurs déclarations, des chercheurs en sécurité ont prouvé le contraire. Cloudflare a également signalé l'utilisation non autorisée de son nom et logo par Polyfill.io. Il est recommandé aux sites web et développeurs d'éviter d'utiliser polyfill.io ou polyfill.com et de se tourner vers des alternatives sûres proposées par Cloudflare et Fastly.
Sources :
Élections et digital : comment appréhender le risque de mésinformation et de désinformation
En janvier 2024, TikTok compte 25,42 millions d'utilisateurs en France, influençant les enjeux politiques. Les réseaux sociaux sont devenus essentiels pour les campagnes électorales, mais posent des défis en termes de désinformation et de protection de la vie privée. À l'approche des élections législatives en France, Shamla Naidoo met en garde contre l'impact des réseaux sociaux, notamment via les deepfakes. L'évolution des plateformes de partage rend difficile le contrôle de la véracité des messages, favorisant la diffusion de fausses informations réalistes. Les deepfakes, accessibles grâce à l'IA, peuvent être utilisés pour manipuler l'opinion publique et déstabiliser la démocratie. Les électeurs doivent être vigilants face à la mésinformation et à la désinformation, vérifier les sources et les faits avant de partager des contenus. Il est crucial de préserver la liberté du vote en analysant méticuleusement les informations consommées.
Sources :
Comment utiliser Python pour créer des applications Blockchain sécurisées
Le développement de la blockchain nécessitait traditionnellement l'apprentissage de langages spécialisés, ce qui constituait une barrière pour de nombreux développeurs. Cependant, le développement d'applications blockchain va bien au-delà de la création d'une base de données décentralisée et de transactions peer-to-peer. La blockchain garantit des enregistrements inviolables, automatise des accords complexes et permet de construire des solutions innovantes en utilisant les compétences en développement Python. La syntaxe fluide de Python et ses outils robustes facilitent l'écriture, la compréhension et la modification du code, en particulier pour des projets blockchain complexes. AlgoKit permet de construire, lancer et déployer rapidement des applications décentralisées sécurisées sur la blockchain Algorand, en offrant un processus guidé et des modèles de contrats intelligents prêts à l'emploi. Il est possible de créer des dApps personnalisées en Python sur Algorand en utilisant AlgoKit, qui simplifie le processus de développement en prenant en charge le code de base et la configuration de l'environnement de développement.
Sources :
Cloudflare : Nous n'avons jamais autorisé polyfill.io à utiliser notre nom
Cloudflare a averti que le site Polyfill.io n'avait pas l'autorisation d'utiliser son nom ou logo, suite à une attaque d'approvisionnement majeure injectant des logiciels malveillants sur plus de 100 000 sites. Cloudflare remplace automatiquement les liens polyfill.io par un miroir sécurisé sur les sites utilisant sa protection. Cloudflare critique l'usage non autorisé de son nom par Polyfill.io, soulignant qu'il ne recommande pas ce service. Cloudflare a publié un service de réécriture automatique d'URL pour remplacer les liens polyfill.io par un miroir sécurisé. Il est recommandé de supprimer polyfill.io et de trouver une alternative sécurisée. Une autre entreprise, Leak Signal, a créé Polykill.io pour aider à identifier les sites utilisant cdn.polyfill.io et proposer des alternatives.
Sources :
Une faille d’injection rapide dans Vanna AI expose les bases de données aux attaques RCE
Des chercheurs en cybersécurité ont révélé une faille de sécurité de haut niveau dans la bibliothèque Vanna.AI permettant une exécution de code à distance via des techniques d'injection de commande. La vulnérabilité, identifiée sous le nom CVE-2024-5565, concerne une injection de commande dans la fonction "ask" de la bibliothèque, pouvant être exploitée pour exécuter des commandes arbitraires. Cette découverte souligne les risques liés à l'utilisation généralisée des modèles d'intelligence artificielle sans une gouvernance et une sécurité adéquates. Vanna a publié un guide de renforcement pour avertir les utilisateurs des dangers potentiels liés à l'intégration de Plotly.
Sources :
Les deepfakes, un risque majeur pour les élections
Les élections législatives anticipées en France se dérouleront les 30 juin et 7 juillet. Les deepfakes, faux médias créés par l'IA, représentent un risque de désinformation et de compromission des données. Il est crucial de sensibiliser la population à ces risques et de développer des capacités de discernement face à ces contenus falsifiés. Les deepfakes peuvent impacter les entreprises et être utilisés pour des cyberattaques ou du vol d'identité. La confiance des individus à reconnaître un deepfake est souvent surestimée. Il est essentiel de former la population à ces risques, tout comme cela a été fait pour le phishing. La régulation de l'IA par les autorités publiques est nécessaire pour limiter les actions des cybercriminels. Travailler avec l'IA en connaissant ses risques est essentiel pour protéger tant les individus que les entreprises.
Sources :
Un ressortissant russe inculpé pour cyberattaques contre l’Ukraine avant l’invasion de 2022
Un ressortissant russe de 22 ans a été inculpé aux États-Unis pour son rôle présumé dans des cyberattaques destructrices contre l'Ukraine et ses alliés avant l'invasion militaire russe de 2022. Amin Timovich Stigal, affilié au GRU, est recherché et risque jusqu'à cinq ans de prison. Une récompense de 10 millions de dollars est offerte pour des informations le concernant. Les attaques ont utilisé un malware nommé WhisperGate, visant des entités gouvernementales et informatiques en Ukraine. Stigal aurait utilisé les services d'une entreprise américaine pour distribuer le malware et vendre des données sensibles. Par ailleurs, un homme de Floride a été condamné pour des vols violents à domicile visant à voler des cryptomonnaies.
Sources :
Vulnérabilité SQLi critique détectée dans l'application de flux de travail Fortra FileCatalyst
Une faille de sécurité critique a été révélée dans Fortra FileCatalyst Workflow, pouvant permettre à un attaquant de manipuler la base de données de l'application. Identifiée sous le nom CVE-2024-5276, la vulnérabilité affecte les versions 5.1.6 Build 135 et antérieures, mais a été corrigée dans la version 5.1.6 Build 139. Cette faille, avec un score CVSS de 9.8, peut être exploitée par une injection SQL, permettant la création d'utilisateurs administratifs et la modification des données. Fortra recommande de désactiver temporairement les servlets vulnérables si les correctifs ne peuvent être appliqués immédiatement. La société de cybersécurité Tenable, qui a signalé la faille le 22 mai 2024, a publié un exploit de preuve de concept pour démontrer l'exploitation potentielle de la vulnérabilité.
Sources :
Les cyberespions chinois utilisent des ransomwares dans des attaques de détournement
Des groupes de cyberespionnage chinois utilisent des rançongiciels pour détourner l'attention, perturber les défenseurs ou obtenir une récompense financière secondaire à partir de vols de données. ChamelGang, un APT chinois présumé, a utilisé le rançongiciel CatB dans des attaques contre des organisations de haut niveau dans le monde. Une autre activité utilise BestCrypt et BitLocker pour des objectifs similaires, sans attribution claire. ChamelGang a ciblé des entités gouvernementales et des infrastructures critiques entre 2021 et 2023, utilisant des techniques sophistiquées pour accéder aux réseaux, effectuer des mouvements latéraux et voler des données sensibles. Les attaques ont duré en moyenne neuf jours, avec des impacts majeurs sur des services de santé et des organisations gouvernementales. L'utilisation de rançongiciels dans les attaques de cyberespionnage brouille les frontières entre APT et activité cybercriminelle, rendant l'attribution plus difficile.
