Plusieurs failles de sécurité critiques ont été corrigées dans la solution VMware vCenter Server ! Ces faiblesses permettent d'exécuter du code à distance sur le serveur et d'élever ses privilèges en local. Faisons le point.

Pour rappel, la solution vCenter Server joue un rôle clé sur les infrastructures VMware puisqu'elle permet de centraliser la gestion des serveurs VMware ESXi et de leurs machines virtuelles. Compromettre le serveur vCenter offre à l'attaquant la possibilité de prendre le contrôle complet de l'infrastructure virtualisée.

Sur le site de support de Broadcom, désormais propriétaire de VMware depuis plusieurs mois, un nouveau bulletin de sécurité a été mis en ligne pour évoquer ces 3 nouvelles failles de sécurité : CVE-2024-37079, CVE-2024-37080, et CVE-2024-37081.

Voici des précisions sur ces vulnérabilités :

- CVE-2024-37079 - Score CVSS v3.1 de 9.8 sur 10 : une faille de sécurité de type "heap-overflow" dans l'implémentation du protocole DCERPC de vCenter Server. En l'exploitant, un attaquant connecté au réseau du vCenter peut envoyer des paquets spéciaux dans le but d'effectuer une exécution de code à distance sur le serveur pris pour cible.

CVE-2024-37080 - Score CVSS v3.1 de 9.8 sur 10 : une faille de sécurité similaire à la précédente puisqu'elle est aussi de type "heap-overflow" et qu'elle est présente également dans le protocole DCERPC de vCenter Server. Les conséquences sont les mêmes : une potentielle exécution de code à distance sur le serveur vCenter.

- CVE-2024-37081 - Score CVSS v3.1 de 7.8 sur 10 : une faille de sécurité liée à une mauvaise configuration de l'outil "sudo" dans vCenter Server. Grâce à cette vulnérabilité, un utilisateur local authentifié peut élever ses privilèges en tant que "root" sur l'Appliance vCenter Server.

Vous l'aurez compris, nous avons deux failles de sécurité critiques et une faille de sécurité importante. Mais, alors, qui est affecté et comment se protéger ?

vCenter Server : se protéger des CVE-2024-37079, CVE-2024-37080, et CVE-2024-37081

Ces trois vulnérabilités affectent les versions 7.0 et 8.0 de la solution VMware vCenter Server, ainsi que les versions 4.x et 5.x de VMware Cloud Foundation. Ainsi, VMware a publié de nouvelles versions pour patcher ces vulnérabilités. C'est la seule solution pour se protéger, car VMware ne propose pas de solution alternative : "Des solutions de remplacement à l'intérieur du produit ont été étudiées, mais il a été établi qu'elles n'étaient pas viables.", peut-on lire.

Voici les versions faisant office de patch :

• VMware vCenter Server 8.0 U2d,
• VMware vCenter Server 8.0 U1e,
• VMware vCenter Server 7.0 U3r

En complément, vous pouvez consulter cette FAQ mise à disposition par VMware. Pour les versions Cloud Foundation, référez-vous à cette page.

Source

The post Des failles de sécurité RCE ont été corrigées dans VMware vCenter : patchez votre serveur ! first appeared on IT-Connect.

GitLab a corrigé une faille de sécurité importante dans l'éditeur de code Web IDE présent dans GitLab Community Edition (CE) et Enterprise Edition (EE). Faisons le point sur cette menace.

La faille de sécurité 1-click "CVE-2024-4835" corrigée par les développeurs de GitLab pourrait permettre à un attaquant de voler des informations sensibles, et donc, de prendre le contrôle du compte d'un utilisateur.

"Prise de contrôle d'un compte en un clic via XSS en utilisant l'éditeur de code VS (Web IDE)", c'est ainsi qu'est décrite cette vulnérabilité sur le site de GitLab.

Pour atteindre son objectif et tirer profit de cette faiblesse de type XSS, l'attaquant doit attirer l'utilisateur pris pour cible vers une page malveillante. "En tirant parti de cette vulnérabilité, un attaquant peut créer une page malveillante pour exfiltrer des informations sensibles de l'utilisateur.", peut-on lire dans le bulletin de sécurité de GitLab.

La compromission d'un compte GitLab peut s'avérer très intéressant pour les attaquants afin d'accéder à du code source, voler des informations sensibles (secrets, clés d'API, etc.), et même, mettre en œuvre une attaque de la chaine d'approvisionnement (supply chain attack).

La CVE-2024-4835 n'est pas la seule vulnérabilité corrigée par GitLab dans les nouvelles versions de ses applications. Au total, ce sont pas moins de 7 failles de sécurité qui ont été corrigées, mais celle évoquée dans cet article est la plus dangereuse.

Comment se protéger ?

Pour vous protéger de ces vulnérabilités, vous devez installer l'une des versions publiées par GitLab, à savoir les versions 17.0.1, 16.11.3 et 16.10.6 de GitLab Community Edition (CE) et GitLab Enterprise Edition (EE). Autrement dit, les versions 15.11 avant 16.10.6, 16.11 avant 16.11.3, et 17.0 avant 17.0.1 sont affectées.

"Ces versions contiennent d'importantes corrections de bogues et de sécurité, et nous recommandons fortement que toutes les installations de GitLab soient mises à jour vers l'une de ces versions immédiatement. GitLab.com utilise déjà la version corrigée.", peut-on lire sur le site officiel.

En début d'année 2024, la faille de sécurité critique CVE-2023-7028 a également été corrigée dans GitLab.

Source

The post Cette faille de sécurité dans GitLab permet aux pirates de prendre le contrôle des comptes utilisateurs first appeared on IT-Connect.

En l'espace d'une semaine, Google a corrigé trois failles de sécurité zero-day dans Google Chrome. Résultat : les mises à jour s'enchainent pour le navigateur. Faisons le point !

Il y a quelques jours, nous évoquions la vulnérabilité CVE-2024-4671 présente dans le composant Visuals de Google Chrome et corrigée par Google le 9 mai 2024. Puis, le 13 mai 2024, la firme de Mountain View a publiée une nouvelle mise à jour de sécurité pour son navigateur afin de patcher la CVE-2024-4761.

Et, enfin, ce mercredi 15 mai 2024, Google a encore mis en ligne une mise à jour pour Chrome ! Cette fois-ci, elle a pour objectif de corriger la faille de sécurité zero-day associée à la référence CVE-2024-4947 faisant l'objet de cet article.

Comme pour les autres vulnérabilités, Google explique qu'elle est déjà connue par les cybercriminels, car un code d'exploitation a été repéré : "Google sait qu'il existe un programme d'exploitation pour CVE-2024-4947 dans la nature.", peut-on lire dans le bulletin de sécurité. À l'heure actuelle, cette vulnérabilité a déjà été exploitée dans le cadre d'attaques.

La faille de sécurité CVE-2024-4947 correspond à une faiblesse de type "type confusion" présente dans le moteur JavaScript Chrome V8, un composant régulièrement affecté par des vulnérabilités. Cette fois-ci, elle a été découverte par les chercheurs en sécurité Vasily Berdnikov et Boris Larin de Kaspersky.

Comment se protéger de la CVE-2024-4947 ?

Les utilisateurs de Google Chrome sur Windows, macOS et Linux sont affectés par cette faille de sécurité. Google a publié la version 125.0.6422.60 pour Linux et les versions 125.0.6422.60/.61 pour Mac et Windows, ainsi que la version 124.0.6367.201 pour Linux. Il est à noter que cette mise à jour corrige également trois autres vulnérabilités : CVE-2024-4948 (élevée), CVE-2024-4949 (moyenne), CVE-2024-4950 (faible).

Pour effectuer la mise à jour du navigateur Google Chrome sur votre machine : rendez-vous dans le menu avec les trois points verticaux, puis sous "Aide", cliquez sur "À propos de Google Chrome". Le navigateur effectuera une recherche de mise à jour automatiquement.

C'est déjà la 7ème faille de sécurité zero-day corrigée par Google dans son navigateur Chrome depuis le début de l'année 2024, dont 3 une semaine !

The post CVE-2024-4947 – Une troisième faille zero-day corrigée dans Google Chrome en une semaine ! first appeared on IT-Connect.

Vous utilisez des équipements réseau de chez HPE Aruba Networking ? Alors, vous devriez lire cet article avec attention : plusieurs failles de sécurité critiques ont été corrigées dans le système ArubaOS. Voici ce qu'il faut savoir.

Très populaires en entreprise, les équipements HPE Aruba Networking sont affectés par plusieurs failles de sécurité. L'éditeur a corrigé 10 vulnérabilités dans le système ArubaOS, dont 4 failles de sécurité critiques qui méritent une attention particulière. En exploitant ces vulnérabilités, un attaquant pourrait exécuter du code à distance en tant qu'utilisateur privilégié sur l'équipement vulnérable.

Voici la liste des vulnérabilités critiques, toutes associées à un score CVSS de 9.8 sur 10.

• CVE-2024-26305
• CVE-2024-26304
• CVE-2024-33511
• CVE-2024-33512

Il s'agit de faiblesses de type "Buffer overflow" exploitables par l'intermédiaire du protocole PAPI. Ceci implique que l'attaquant puisse communiquer avec l'attaquant sur le port 8211 en UDP afin d'envoyer une requête spéciale sur l'interface PAPI (Performance Application Programming Interface).

Aruba : quels sont les produits et versions affectés ?

Dans son bulletin de sécurité, Aruba évoque les gammes de produits suivantes :

• Mobility Conductor (anciennement Mobility Master)
• Mobility Controllers
• Aruba Central pour gérer les passerelles WLAN et les passerelles SD-WAN

Les versions suivantes d'ArubaOS sont vulnérables :

• ArubaOS 10.5.x.x : 10.5.1.0 et antérieure
• ArubaOS 10.4.x.x : 10.4.1.0 et antérieure
• ArubaOS 8.11.x.x : 8.11.2.1 et antérieure
• ArubaOS 8.10.x.x : 8.10.0.10 et antérieure

Il est également précisé que certaines versions vulnérables ne sont plus prises en charge et qu'elles ne recevront pas de mises à jour de sécurité. Voici la liste des versions en question :

• ArubaOS 10.3.x.x
• ArubaOS 8.9.x.x
• ArubaOS 8.8.x.x
• ArubaOS 8.7.x.x
• ArubaOS 8.6.x.x
• ArubaOS 6.5.4.x
• SD-WAN 8.7.0.0-2.3.0.x
• SD-WAN 8.6.0.4-2.2.x.x

Comment se protéger ?

Pour se protéger de ces vulnérabilités, le système ArubaOS doit être mis à jour vers une version qui contient les correctifs de sécurité. Voici les versions à installer pour vous protéger :

• ArubaOS 10.6.x.x : 10.6.0.0 et supérieur
• ArubaOS 10.5.x.x : 10.5.1.1 et supérieur
• ArubaOS 10.4.x.x : 10.4.1.1 et supérieur
• ArubaOS 8.11.x.x : 8.11.2.2 et supérieur
• ArubaOS 8.10.x.x : 8.10.0.11 et supérieur

Sur ArubaOS 8.X, il existe une solution alternative autre que le patch de sécurité. Elle consiste à configurer la fonction de sécurité "Enhanced PAPI" pour ne pas utiliser la clé par défaut.

Pour le moment, rien n'indique que ces vulnérabilités soient exploitées dans le cadre de cyberattaques.

Source

The post Ces 4 failles de sécurité critiques exposent le matériel Aruba à des attaques par exécution de code à distance first appeared on IT-Connect.

Vous utilisez un NAS QNAP ? Veillez à ce qu'il soit à jour, car plusieurs failles de sécurité critiques ont été corrigées ! Elles représentent une menace sérieuse pour votre NAS et vos données. Faisons le point.

En mars dernier, nous avons déjà publié un article au sujet de 3 failles de sécurité critiques découvertes dans le système d'exploitation utilisé par les NAS QNAP. Il s'avère que 3 autres vulnérabilités sont désormais mentionnées dans ce bulletin de sécurité et qu'une autre alerte mentionne 2 failles de sécurité découvertes à l'occasion d'une édition de la compétition de hacking Pwn2Own. L'exploitation de ces vulnérabilités peut permettre à un attaquant d'exécuter des commandes sur le NAS, ce qui pourrait lui permettre de compromettre l'appareil.

Commençons par évoquer les trois failles de sécurité critiques évoquées sur cette page :

• CVE-2024-27124 :

Cette vulnérabilité d'injection de commande pourrait permettre à des utilisateurs d'exécuter des commandes sur le système du NAS, à distance, via le réseau. Elle est associée à un score CVSS de 7.5 sur 10.

• CVE-2024-32764 :

Cette vulnérabilité donne accès à une fonction critique du système sans authentification et pourrait permettre à des utilisateurs standards (sans privilèges élevés) d'accéder à certaines fonctions et de les utiliser, à distance. Ceci est lié au service myQNAPcloud Link. Elle est associée à un score CVSS de 9.9 sur 10.

"Un défaut de contrôle de l’authentification dans myQNAPcloud Link permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, d’accéder à certaines fonctionnalités critiques.", peut-on lire sur le site du CERT Santé.

• CVE-2024-32766 :

Cette vulnérabilité d'injection de commande pourrait permettre à un attaquant non authentifié d'exécuter des commandes arbitraires sur le système du NAS, à distance, via le réseau. Elle est associée à un score CVSS de 10 sur 10.

En plus de ces 3 vulnérabilités, voici 2 autres failles de sécurité importantes patchées il y a quelques jours par QNAP :

• CVE-2023-51364, CVE-2023-51365 :

Il s'agit de deux vulnérabilités de type "path transversal" permettant à un attaquant de lire le contenu de fichiers protégés, et potentiellement, d'exposer des données sensibles via le réseau. Elles sont associées à un score CVSS de 8.7 sur 10.

Quelles sont les versions affectées ?

Voici la liste des versions affectées, pour chaque système :

• QTS 5.x et QTS 4.5.x
• QuTS hero h5.x et QuTS hero h4.5.x
• QuTScloud c5.x
• myQNAPcloud 1.0.x
• myQNAPcloud Link 2.4.x

Comment se protéger ?

Pour vous protéger de l'ensemble de ces failles de sécurité, vous devez utiliser l'une de ces versions :

• QTS 5.1.4.2596 build 20231128 et supérieur
• QTS 4.5.4.2627 build 20231225 et supérieur 
• QuTS hero h5.1.3.2578 build 20231110 et supérieur 
• QuTS hero h4.5.4.2626 build 20231225 et supérieur 
• QuTScloud c5.1.5.2651 et supérieur 
• myQNAPcloud 1.0.52 (2023/11/24) et supérieur
• myQNAPcloud Link 2.4.51 et supérieur

En complément, veillez à utiliser un mot de passe robuste sur vos comptes d'accès au NAS (activez le MFA également), sauvegardez régulièrement vos données et limitez les accès au NAS notamment l'exposition de l'appareil sur Internet.

À vos mises à jour !

The post Ces failles de sécurité peuvent permettre la compromission de votre NAS QNAP ! first appeared on IT-Connect.

Mercredi 24 avril 2024, l'éditeur Teclib a publié une nouvelle version de la solution GLPI : 10.0.15. Au-delà de corriger quelques bugs, cette mise à jour corrige également deux failles de sécurité ! Faisons le point.

Deux vulnérabilités de type "injection SQL" ont été découvertes dans l'application GLPI. Elles sont toutes les deux considérées comme importantes :

• CVE-2024-31456 : injection SQL à partir de la fonction de recherche dans la carte (nécessite d'être authentifié)
• CVE-2024-29889 : prise de contrôle d'un compte via une injection SQL présente dans la fonction de recherche sauvegardée

Une injection SQL peut permettre à un attaquant d'exécuter des requêtes SQL arbitraires dans la base de données de l'application. Cela peut lui permettre de lire, modifier ou supprimer des données dans l'application, et donc, de compromettre l'application.

Les versions 10.0.0 à 10.0.14 de GLPI sont affectés par ces vulnérabilités. Vous pouvez récupérer cette nouvelle version sur le GitHub du projet GLPI, via cette page, et consulter l'article publié sur le site de Teclib pour en savoir plus sur cette nouvelle version.

Les dernières mises à jour de GLPI

Voici un historique des dernières versions mineures les plus récentes de GLPI 10, avec de nombreuses failles de sécurité découvertes et corrigées :

• GLPI 10.0.14 - Sortie le 14 mars 2024 - Cette version corrige un bug gênant introduit par la version 10.0.13
• GLPI 10.0.13 - Sortie le 13 mars 2024 - Cette version corrige 6 failles de sécurité
• GLPI 10.0.12 - Sortie le 1er février 2024 - Cette version corrige 2 failles de sécurité
• GLPI 10.0.11 - Sortie le 11 décembre 2023 - Cette version corrige 3 failles de sécurité
• GLPI 10.0.10 - Sortie le 25 septembre 2023 - Cette version corrige 10 failles de sécurité

Comment effectuer la mise à jour de GLPI ?

Si vous avez besoin d'aide pour mettre à jour GLPI, référez-vous à notre tutoriel via le lien ci-dessous :

• Comment mettre à jour GLPI ?

The post Passez sur GLPI 10.0.15 pour vous protéger de 2 failles de sécurité de type « injection SQL » first appeared on IT-Connect.

Utilisée par des centaines de milliers de sites WordPress, l'extension Forminator contient une faille de sécurité critique permettant à un attaquant de charger un fichier malveillant sur le serveur où est hébergé le site web. Faisons le point sur cette menace.

L'extension Forminator, développée par WPMU DEV, sert à ajouter des formulaires de différents types à WordPress, dont des formulaires de paiements, ainsi que des quiz et des sondages.

Le CERT du Japon a mis en ligne un bulletin d'alerte au sujet de la faille de sécurité critique CVE-2024-28890 présente dans Forminator et associée à un score CVSS v3 de 9.8 sur 10. "Un attaquant distant peut obtenir des informations sensibles en accédant aux fichiers du serveur, modifier le site qui utilise le plugin et provoquer un déni de service.", peut-on lire.

Par ailleurs, ce n'est pas la seule faille de sécurité évoquée, puisqu'il y en a deux autres avec une sévérité inférieure : la CVE-2024-31077, une injection SQL qui implique d'être administrateur du site WordPress pour être exploitée, et la CVE-2024-31857 (une vulnérabilité de type XSS).

Comment se protéger ?

Pour se protéger de ces trois failles de sécurité, vous devez installer Forminator 1.29.3. Cette version a été publiée le 8 avril 2024. L'extension Forminator compte plus de 500 000 installations actives, et depuis le 8 avril 2024, elle a été téléchargée environ 180 000 fois. Ce qui signifierait que la mise à jour de sécurité n'a pas été déployé sur environ 320 000 sites WordPress et qu'ils sont vulnérables à une attaque.

Pour le moment, rien n'indique qu'elles sont exploitées dans le cadre d'attaques. Néanmoins, cela pourrait évoluer compte tenu de la popularité de cette extension et du nombre de cibles potentielles.

En résumé : si vous utilisez l'extension Forminator sur votre site WordPress, vous devez passer sur la version 1.29.3 le plus rapidement possible pour vous protéger de ces 3 vulnérabilités.

Source

The post Environ 300 000 sites WordPress menacés par une faille de sécurité critique dans Forminator ! first appeared on IT-Connect.