Grosse alerte de sécurité chez Check Point : un correctif de sécurité a été publié en urgence pour corriger une faille zero-day présente dans la fonction VPN des firewalls Check Point. Le problème : cette vulnérabilité est massivement exploitée par les pirates. Faisons le point.

En début de semaine, Check Point a mis en ligne un rapport pour évoquer une vague d'attaques visant ses firewalls. À ce moment-là, l'entreprise américaine évoquait une campagne basée sur l'utilisation de comptes locaux présents par défaut sur les firewalls et accessibles par un simple mot de passe.

• Notre article publié en début de semaine : Les pirates ciblent les VPN Check Point pour compromettre les réseaux d'entreprises !

Ces dernières heures, Check Point a fait une autre découverte à ce sujet : les pirates exploitent une faille de sécurité zero-day présente dans la fonction VPN pour compromettre les firewalls.

Désormais associée à la référence CVE-2024-24919, cette vulnérabilité est décrite de cette façon par Check Point : "La vulnérabilité permet potentiellement à un attaquant de lire certaines informations sur les passerelles connectées à Internet dont l'accès à distance VPN ou l'accès mobile est activé.", peut-on lire dans le bulletin de sécurité de l'éditeur. Elle est associée à un score CVSS v3.1 de 7.5 sur 10.

Une faille zero-day exploitée depuis le 30 avril

Cette faille de sécurité zero-day est exploitée depuis, au moins, le 30 avril 2024 : date à laquelle la société mnemonic a constaté des tentatives d'exploitation chez certains de ses clients.

D'ailleurs, le rapport mis en ligne par mnemonic apporte des précisions sur les risques associés à cette vulnérabilité qui "permet à un attaquant d'énumérer et d'extraire des hashs de mots de passe pour tous les comptes locaux, y compris le compte utilisé pour se connecter à Active Directory." - On comprend mieux l'attirance des cybercriminels pour cette faille de sécurité.

Check Point recommande d'ailleurs de renforcer la sécurité du compte permettant de lier l'appliance firewall à l'annuaire Active Directory. À juste titre, voici ce que l'on peut lire dans l'article de mnemonic : "Les mots de passe faibles peuvent être compromis, ce qui entraîne d'autres abus et des mouvements latéraux potentiels au sein du réseau."

Qui est affecté ? Comment se protéger ?

D'après le site de Check Point, les produits suivants sont affectés : CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, Quantum Spark Appliances. Pour que l'appliance soit vulnérable, il doit y avoir une ou plusieurs fonctions d'accès distance activée (Access VPN ou Mobile Access Software Blades).

Un hotfix a été publié pour diverses versions de système, y compris pour certaines versions en fin de vie.

Check Point a publié un article de support pour guider ses clients dans l'installation du correctif de sécurité, dit "hotfix", permettant de se protéger de la CVE-2024-24919. Référez-vous à cette page pour accéder au téléchargement propre à votre version et lire les instructions de l'éditeur.

Source

The post Check Point : un correctif publié pour une zero-day dans le VPN déjà exploitée dans des attaques ! first appeared on IT-Connect.

Un exploit PoC a été publié pour une faille de sécurité critique présente dans la solution de SIEM de chez Fortinet, c'est-à-dire FortiSIEM : quels sont les risques ? Faisons le point dans cet article.

Découverte par Zach Hanley de chez Horizon3, cette vulnérabilité associée à la référence CVE-2024-23108 a une sévérité maximale, soit un score CVSS de 10 sur 10. En exploitant cette faille de sécurité présente dans FortiSIEM, un attaquant non authentifié et situé à distance peut exécuter du code en tant que root sur le système. Dans son bulletin de sécurité, Fortinet précise que l'exécution de commandes s'effectue via des requêtes spéciales à destination de l'API de FortiSIEM.

La faille de sécurité CVE-2024-23108 est en fait liée à deux autres vulnérabilités : la CVE-2024-23109, corrigée le 8 février 2024, ainsi que la CVE-2023-34992 corrigée en octobre 2023. Dans un premier temps, Fortinet a nié l'existence des deux nouvelles CVE en affirmant qu'il s'agissait en fait de doublons de la faille de sécurité CVE-2023-34992. Pourtant, il s'agit bel et bien de variantes plus récentes permettant l'exploitation de la vulnérabilité avec des requêtes différentes.

Horizon3 a publié un rapport technique complet ainsi qu'un exploit PoC sur GitHub. Il permet d'exécuter des commandes en tant que root sur toutes les appliances FortiSIEM exposées à Internet et non patchées. La disponibilité de cet exploit PoC pourrait pousser les cybercriminels à exploiter cette faiblesse dans FortiSIEM.

Qui est affecté ? Comment se protéger ?

Différentes versions de FortiSIEM sont affectées par ces vulnérabilités. Voici la liste :

• Versions comprises entre 7.1.0 et 7.1.1
• Versions comprises entre 7.0.0 et 7.0.2
• Versions comprises entre 6.7.0 et 6.7.8
• Versions comprises entre 6.6.0 et 6.6.3
• Versions comprises entre 6.5.0 et 6.5.2
• Versions comprises entre 6.4.0 et 6.4.2

Pour se protéger, il convient de mettre à jour FortiSIEM vers la version 7.1.3, 7.0.3, 6.7.9 ou ultérieure. À l'heure actuelle, il existe des versions plus récentes, mais ceci vous permet de savoir quelle est la version minimale à utiliser.

Pour rappel, en mars dernier, Horizon3 avait publié un exploit PoC pour la faille de sécurité critique CVE-2023-48788 présente dans Fortinet EMS (Enterprise Management Server). Désormais, elle est activement exploitée dans des attaques...

Source

The post Patchez FortiSIEM de Fortinet : un exploit a été publié pour cette faille de sécurité critique ! first appeared on IT-Connect.

Check Point a publié une alerte de sécurité pour avertir ses utilisateurs qu'une campagne de cyberattaques ciblait les accès VPN sur les firewalls Check Point, via la fonction de Remote Access. Faisons le point sur cette menace.

De part leur fonction, les accès VPN mis à disposition des organisations pour les salariés sont exposés sur Internet. Ceci en fait une cible de choix pour les cybercriminels, car ils peuvent l'utiliser comme porte d'entrée pour s'introduire sur le réseau des entreprises. Dans le cas de Check Point, c'est la fonction Remote Access intégrée à tous les firewalls Check Point qui est prise pour cible.

En effet, cette nouvelle campagne d'attaques révélée par Check Point ciblent directement les firewalls de la marque, mais pas uniquement. L'objectif des attaquants : parvenir à s'authentifier à l'aide de comptes locaux présents par défaut sur les firewalls et accessibles par un simple mot de passe.

"Le 24 mai 2024, nous avons identifié un petit nombre de tentatives de connexion à l'aide d'anciens comptes locaux VPN reposant sur une méthode d'authentification par mot de passe uniquement non recommandée.", peut-on lire sur le site de Check Point.

D'ailleurs, Check Point a surveillé de près les activités sur ses équipements après avoir constaté des compromissions d'accès VPN sur des firewalls Check Point mais aussi d'autres marques : "Nous avons récemment assisté à la compromission de solutions VPN, y compris de divers fournisseurs de cybersécurité.", précise le communiqué. Nous pensons notamment à Fortinet ainsi qu'aux accès VPN Cisco.

Dans le cas présent, les pirates ne semblent pas exploiter une vulnérabilité dans le système des firewalls Check Point. Ici, c'est plutôt l'erreur de configuration qui est recherchée.

Comment se protéger ?

Pour se protéger, il est recommandé de désactiver les comptes locaux inutilisés. Pour les comptes qui doivent rester actifs, Check Point recommande de renforcer leur sécurité : "Si vous disposez de comptes locaux que vous souhaitez utiliser et qui ne sont authentifiés que par mot de passe, ajoutez une autre couche d'authentification (comme des certificats) pour renforcer la sécurité informatique de votre environnement."

Par ailleurs, Check Point a publié un Hotfix à installer sur le firewall pour bloquer l'utilisation de comptes avec authentification par mot de passe sur les accès VPN Remote Access. Cette méthode est détaillée sur cette page dédiée aux recommandations.

Source

The post Les pirates ciblent les VPN Check Point pour compromettre les réseaux d’entreprises ! first appeared on IT-Connect.

Les mises à jour de sécurité s'enchaînent pour Google Chrome : une nouvelle version a été publiée pour corriger une faille de sécurité zero-day. C'est la 8ème faille zero-day corrigée dans Google Chrome depuis le début de l'année 2024. Faisons le point.

Rien qu'au mois de mai 2024, Google a corrigé 4 failles de sécurité zero-day dans son navigateur Google Chrome. Nous avions évoqué certaines de ces vulnérabilités dans nos précédents articles :

• CVE-2024-4947 – Une troisième faille zero-day corrigée dans Google Chrome en une semaine !
• CVE-2024-4671 – La cinquième faille zero-day de 2024 corrigée dans Google Chrome !

Évoquons celle que Google vient de corriger par l'intermédiaire de nouvelles mises à jour.

Associée à la référence CVE-2024-5274, cette vulnérabilité signalée à Google par Clément Lecigne et Brendon Tiszka est présente dans le moteur JavaScript V8 de Google Chrome. Il est très fréquent que des failles de sécurité soient découvertes dans ce composant du navigateur de Google. Cette fois-ci, il s'agit d'une faiblesse de type "type confusion".

Dans le bulletin de sécurité de Google, voici ce que l'on peut lire au sujet de cette vulnérabilité déjà connue publiquement : "Google sait qu'il existe un programme d'exploitation pour CVE-2024-5274 dans la nature." - Comme à chaque fois, et dans le but de protéger ses utilisateurs, Google n'a pas donné de détails techniques supplémentaires.

Comment se protéger de la CVE-2024-5274 ?

Les utilisateurs de Google Chrome sur Windows, macOS et Linux sont affectés par cette vulnérabilité importante. Google a publié la version 125.0.6422.112 pour Linux et les versions 125.0.6422.112/.113 pour Mac et Windows. Cette mise à jour ne corrige pas d'autres vulnérabilités.

Pour effectuer la mise à jour du navigateur Google Chrome sur votre machine : rendez-vous dans le menu avec les trois points verticaux, puis sous "Aide", cliquez sur "À propos de Google Chrome". Le navigateur effectuera une recherche de mise à jour automatiquement.

À vos mises à jour !

The post CVE-2024-5274 – La 8ème faille zero-day de 2024 corrigée dans Google Chrome first appeared on IT-Connect.

GitHub a déployé des mises à jour de sécurité pour corriger une faille de sécurité critique présente dans sa solution GitHub Enterprise Server et pouvant être utilisée par un attaquant pour contourner l'authentification. Faisons le point.

Associée à la référence CVE-2024-4985 et à un score CVSS maximal de 10 sur 10, cette faille de sécurité peut être exploitée par un attaquant pour accéder à l'instance GitHub Enterprise Server, sans être authentifié au préalable. Contrairement à la plateforme GitHub, la solution GitHub Enterprise Server est destinée à être auto-hébergée par les organisations soucieuses de vouloir gérer leur code avec Git sur leur propre serveur.

Au sein de la note de publication de la nouvelle version de GitHub Enterprise Server, voici ce que l'on peut lire : "Sur les instances qui utilisent l'authentification unique SAML (SSO) avec la fonction optionnelle d'assertions chiffrées, un attaquant pourrait falsifier une réponse SAML pour provisionner et/ou obtenir l'accès à un utilisateur avec des privilèges d'administrateur.".

L'exploitation de cette vulnérabilité pourrait permettre à un attaquant d'accéder aux différents projets et codes sources présents sur le serveur compromis.

Il est important de préciser que GitHub indique que la fonctionnalité des assertions chiffrées n'est pas activée par défaut. De plus, cette vulnérabilité n'affecte pas les instances GHES où l'authentification unique SAML (SSO) n'est pas utilisée, ainsi que celles qui utilisent l'authentification SAML SSO mais sans assertions chiffrées.

Cette fonctionnalité est décrite sur cette page : "Vous pouvez améliorer la sécurité de votre instance GitHub Enterprise Server avec l’authentification unique SAML en chiffrant les messages envoyés par votre fournisseur d’identité (IdP) SAML."

Comment se protéger ?

Cette faille de sécurité affecte toutes les versions de GitHub Enterprise Server antérieures à la version 3.13.0. Le 20 mai 2024, GitHub a publié de nouvelles versions pour corriger cette vulnérabilité : 3.12.4, 3.11.10, 3.10.12, et 3.9.15.

Si vous utilisez une version vulnérable de GitHub Enterprise Server, il est recommandé d'effectuer la mise à jour de l'application dès que possible pour vous protéger de cette menace potentielle. Ceci est d'autant plus un important qu'un exploit PoC semble disponible sur GitHub, sur cette page.

Source

The post CVE-2024-4985 : cette vulnérabilité critique met en danger les serveurs GitHub Enterprise Server ! first appeared on IT-Connect.

Un nouveau bulletin de sécurité publié par Veeam averti les utilisateurs de la présence d'une vulnérabilité critique dans Veeam Backup Enterprise Manager (VBEM). Faisons le point sur cette menace potentielle.

Commençons par quelques mots sur Veeam Backup Enterprise Manager. Il s'agit d'une console Web de gestion et reporting pour la célèbre solution Veeam Backup & Replication de l'éditeur. L'avantage, c'est qu'elle permet de gérer plusieurs instances Veeam à partir d'une console unique. Non activé par défaut, cette solution n'est pas utilisée par toutes les organisations où Veeam est déployé, ce qu'il est important de préciser vis-à-vis de la vulnérabilité présentée dans cet article.

La faille de sécurité CVE-2024-29849

Associée à un score CVSS de 9.8 sur 10, la CVE-2024-29849 est une faille de sécurité critique permettant d'outrepasser l'authentification à VBEM. Ainsi, un attaquant peut se connecter à l'application sans même avoir connaissance des identifiants.

"Cette vulnérabilité dans Veeam Backup Enterprise Manager permet à un attaquant non authentifié de se connecter à l'interface web de Veeam Backup Enterprise Manager en tant que n'importe quel utilisateur.", précise Veeam.

Pour vous protéger de cette vulnérabilité, vous devez passer sur la nouvelle version de VBEM publiée par Veem, à savoir la version 12.1.2.172 publiée le 21 mai 2024 (voir cette page). Si vous ne pouvez pas patcher, sachez qu'en attendant, vous pouvez arrêter et désactiver les services suivants : VeeamEnterpriseManagerSvc (Veeam Backup Enterprise Manager) et VeeamRESTSvc (Veeam RESTful API).

Enfin, si VBEM est installé et que vous ne l'utilisez pas, il est préférable de le désinstaller complètement afin d'éliminer ce vecteur d'attaque potentiel. Dans ce cas, vous pouvez consulter cette page de la documentation.

D'autres vulnérabilités corrigées

La CVE-2024-29849 n'est pas la seule faille de sécurité corrigée par Veeam à l'occasion de la sortie de la version 12.1.2.172 de VBEM. Bien que ce soit la seule vulnérabilité critique, il y en a 3 autres qui ont été corrigées :

• CVE-2024-29850 : cette vulnérabilité permet la prise de contrôle d'un compte via relais NTLM. Une faille de sécurité non négligeable également, et associée à un score CVSS de 8.8 sur 10.
• CVE-2024-29851 : cette vulnérabilité permet à un attaquant avec des privilèges élevés de voler le hash NTLM du compte de service utilisé par VBEM, si ce n'est pas le compte Système.
• CVE-2024-29852 : cette vulnérabilité permet à un attaquant avec des privilèges élevés de lire les journaux des sauvegardes.

Par ailleurs, Veeam a corrigé une faille de sécurité dans son application Veeam Agent for Windows.

Source

The post Une faille critique de Veeam Backup Enterprise Manager permet de contourner l’authentification ! first appeared on IT-Connect.

Des chercheurs en sécurité ont effectué un gros travail de recherche de vulnérabilités sur le système QTS utilisé par les NAS QNAP. Ils sont parvenus à identifier 15 failles de sécurité, plus ou moins sérieuse ! Faisons le point !

Les chercheurs en sécurité de WatchTowr Labs ont mis en ligne un rapport au sujet de 15 vulnérabilités qu'ils ont découvertes dans le système QTS de QNAP. Enfin, il ne s'agit pas du seul système analysé puisqu'ils ont également analysé les versions QTS Hero et QuTS Cloud.

Pour le moment, 11 vulnérabilités ne sont toujours pas corrigées, et certaines sont encore sous embargo, alors que QNAP a été averti entre le 8 décembre 2023 et le 8 janvier 2024. Voici la liste des CVE patchées par QNAP : CVE-2023-50361, CVE-2023-50362, CVE-2023-50363 et CVE-2023-50364.

La faille de sécurité CVE-2024-27130

L'une de ces failles de sécurité, associée à la référence CVE-2024-27130, mérite une attention particulière. Cette vulnérabilité de type "stack buffer overflow" présente dans la fonction "No_Support_ACL" du fichier "share.cgi" permet à un attaquant d'exécuter du code à distance sur le NAS QNAP. Néanmoins, l'exploitation n'est pas simple, car l'attaquant doit pouvoir se connecter au NAS QNAP, avec un compte lambda, de façon à manipuler la fonction de partage de fichiers.

À ce jour, cette faille de sécurité est connue publiquement et elle n'a pas été corrigée par QNAP alors qu'elle a été reportée au fabricant de NAS le 3 janvier 2024 : une belle faille de sécurité zero-day.

À chaque fois, QNAP a demandé un délai supplémentaire à WatchTowr Labs. Mais, désormais, le temps presse... Les chercheurs en sécurité de WatchTowr Labs quant à eux, ont mis en ligne un exploit PoC pour cette même vulnérabilité : il est disponible sur ce GitHub. Tous les détails techniques sont fournis pour indiquer comment l'exploiter, bien qu'elle ne soit pas corrigée.

En exploitant cette faille, les chercheurs de WatchTowr Labs sont parvenus à créer un compte nommé "watchtowr" sur le NAS et à l'ajouter au fichier "sudoers" pour lui permettre d'élever ses privilèges sur le NAS.

Désormais, le correctif de QNAP est attendu, que ce soit pour cette vulnérabilité ou toutes les autres non corrigées pour le moment.

Source

The post NAS QNAP – CVE-2024-27130 : un exploit PoC a été publié pour cette faille de sécurité zero-day first appeared on IT-Connect.

Des chercheurs en sécurité ont identifié une nouvelle campagne d'attaques prenant pour cible les utilisateurs de l'application Foxit Reader, une visionneuse de PDF. Faisons le point sur cette menace.

Bien que Foxit Reader soit moins populaire que le lecteur de PDF de chez Adobe, il n'en reste pas moins une application très utilisée au niveau mondial. Elle est aussi bien utilisée par les particuliers que par certaines organisations. Le problème, c'est qu'elle contient ce que l'on pourrait appeler une "vulnérabilité by design" au sein de sa fonction d'affichage des alertes de sécurité.

En effet, lorsqu'une potentielle menace est détectée par Foxit Reader dans un PDF, il affiche un message d'avertissement à l'écran. Le problème, c'est que ce message peut être trompeur par l'utilisateur : s'il valide deux fois en utilisant l'option par défaut, alors l'exploit est déclenché et le code malveillant peut être exécuté. Ceci devrait être révisé de façon à ce que l'action par défaut permette de refuser l'exécution.

En tirant profit de cet exploit, un attaquant peut télécharger et exécuter un code malveillant à partir d'un serveur distant sur la machine de l'utilisateur, ce qui représente un risque important. Étant donné que cette attaque tire profit d'un exploit natif à l'application, ceci permet de rester plus facilement indétectables par les systèmes de sécurité.

Foxit Reader : des cyberattaques sont en cours

D'après le rapport publié par les chercheurs de Check Point, un groupe de cybercriminels suivi sous le nom d'APT-C-35 (DoNot Team) exploite activement cette vulnérabilité au sein de cyberattaques. "Cet exploit a été utilisé par de nombreux acteurs malveillants, dans le cadre de la cybercriminalité et de l'espionnage.", peut-on lire.

Elle est notamment utilisée pour déployer des malwares divers et variés, parmi lesquels VenomRAT, Agent-Tesla, Remcos, NjRAT, NanoCore RAT, Pony, Xworm, AsyncRAT, et DCRat.

La majorité des fichiers PDF collectés exécutaient une commande PowerShell qui téléchargeait une charge utile à partir d'un serveur distant et l'exécutait ensuite, bien qu'à certaines occasions d'autres commandes aient été utilisées.", précise le rapport.

Comment se protéger ?

La mise à jour "2024.3" va résoudre ce problème de sécurité dans Foxit Reader. Pour le moment, elle n'est pas encore disponible, donc vous devez faire attention à ne pas vous faire berner lors de l'utilisation de cette application pour ouvrir des fichiers PDF.

Source

The post Cet exploit dans Foxit Reader PDF utilisé pour infecter les PC avec des malwares ! first appeared on IT-Connect.

Google a mis en ligne une nouvelle mise à jour de sécurité pour son navigateur Chrome dans le but de protéger les utilisateurs de la vulnérabilité CVE-2024-4671. Il s'agit de la 5ème faille de sécurité zero-day exploitée dans le cadre d'attaques patchée depuis le début de l'année 2024 dans Google Chrome.

Associée à la référence CVE-2024-4671, cette vulnérabilité de type "use after free" est présente dans le composant Visuals de Google Chrome. Ce composant est utilisé pour le rendu et l'affichage du contenu au sein des onglets et fenêtres de Google Chrome.

Reporté à Google le 07 mai 2024 par un utilisateur anonyme, Google a corrigé cette faille de sécurité déjà exploitée et pour laquelle il existerait déjà un exploit : "Google sait qu'il existe un programme d'exploitation pour CVE-2024-4671 dans la nature.", peut-on lire dans le bulletin de sécurité de l'entreprise américaine. Comme à son habitude, et dans le but de protéger ses utilisateurs, Google n'a pas fourni d'autres précisions ni détails techniques.

Cette vulnérabilité de type "use after free" est liée à l'utilisation de la mémoire par le programme. Même s'il ne s'agit que d'hypothèses, cette vulnérabilité pourrait permettre une exécution de code à distance, une fuite d'informations ou un déni de service.

Comment se protéger de la CVE-2024-4671 ?

Les utilisateurs de Google Chrome sur Windows, macOS et Linux sont affectés par cette faille de sécurité. Google a mis en ligne les versions 124.0.6367.201/.202 pour Mac et Windows, ainsi que la version 124.0.6367.201 pour Linux. Ces versions sont disponibles depuis le 9 mai 2024.

Désormais, il ne vous reste plus qu'à effectuer la mise à jour du navigateur Chrome sur votre machine. Rendez-vous dans le menu avec les trois points verticaux, puis sous "Aide", cliquez sur "A propos de Google Chrome".

En 2024, c'est la 5ème faille de sécurité zero-day corrigée par Google dans son navigateur. La précédente a été découverte et exploitée à l'occasion de la compétition de hacking Pwn2Own 2024, comme nous l'évoquions dans cet article publié sur notre site.

Source

The post CVE-2024-4671 – La cinquième faille zero-day de 2024 corrigée dans Google Chrome ! first appeared on IT-Connect.

TunnelVision, c'est le nom de la nouvelle vulnérabilité et technique d'attaque mise au point par des chercheurs en sécurité et qui permet de détourner le trafic des tunnels VPN ! Voici ce qu'il faut savoir !

Lorsqu'un appareil se connecte à un réseau distant via un tunnel VPN, le trafic réseau de la machine passe par ce tunnel chiffré et sécurité. En fonction de la configuration du VPN, tout le trafic pourra passer par le tunnel VPN (full VPN) ou uniquement certains flux (split VPN).

Par ailleurs, le VPN peut être utilisé pour naviguer sur Internet tout en masquant son adresse IP publique : c'est l'une des "fonctions" des VPN grands publics. C'est ce cas d'usage qui est directement affecté par la technique évoquée dans cet article.

Les chercheurs en sécurité de chez Leviathan Security ont mis en ligne un nouveau rapport au sujet d'une technique d'attaque baptisée TunnelVision. D'après eux, cette technique est exploitable depuis 2002 et elle fonctionnerait avec l'ensemble des solutions VPN.

TunnelVision et l'option DHCP 121

Pour exploiter cette vulnérabilité associée à la référence CVE-2024-3661, un attaquant doit mettre en place une configuration bien particulière sur un serveur DHCP. En effet, il doit configurer l'option DHCP n°121 nommée "Classless static route" et dont l'objectif est de distribuer une ou plusieurs routes statiques supplémentaires au client DHCP, en plus de l'adresse IP, de la passerelle, etc.

Ainsi, l'attaquant peut créer ces routes avec une priorité plus élevée que celles définies par la connexion VPN, et ainsi, détourner le trafic VPN vers la passerelle de son choix. À ce sujet, les chercheurs précisent : "TunnelVision est une technique de fuite de VPN sur le réseau local qui permet à un attaquant de lire, d'interrompre et parfois de modifier le trafic VPN à partir d'une cible sur le réseau local." - L'attaquant doit se situer sur le même réseau local que sa victime, et il doit pouvoir modifier la configuration du serveur DHCP (ou utiliser un serveur Rogue DHCP).

Le fait de détourner le trafic ne semble pas empêcher le tunnel VPN d'être actif et cela n'a pas non plus alerté la fonctionnalité de protection "kill switch" intégrée à certains VPN : "Lors de nos tests, le VPN a toujours continué à signaler qu'il était connecté, et le kill switch n'a jamais été enclenché pour interrompre notre connexion VPN.", peut-on lire.

Quels sont les systèmes impactés ? Comment se protéger ?

Windows, Linux, iOS et MacOS sont des systèmes vulnérables à cette attaque. Android, quant à lui, n'est pas concerné. Pourquoi ? Et bien parce que l'option 121 du DHCP n'est pas prise en charge !

"Nous avons observé une mesure d'atténuation de la part de certains fournisseurs de VPN qui éliminent le trafic vers les interfaces non VPN par le biais de règles de pare-feu.", peut-on lire dans le rapport. La création de règles de pare-feu sur l'appareil local est donc une façon de se protéger de cette attaque. De plus, il peut s'avérer utile d'activer certaines protections comme le DHCP Snooping.

Enfin, sachez que TunnelVision ne dépend pas du protocole VPN utilisé, donc il n'y a pas un protocole à prioriser plus qu'un autre (OpenVPN, IPsec, WireGuard, etc.). Pour approfondir le sujet, vous pouvez consulter cette page sur GitHub.

Source

The post La vulnérabilité TunnelVision affecte tous les VPN et permet de détourner le trafic ! first appeared on IT-Connect.

Environ 1 000 serveurs exposés sur Internet sont vulnérables à une faille de sécurité critique présente dans l'application CrushFTP ! Elle a déjà été exploitée par les cybercriminels en tant que zero-day ! Voici ce qu'il faut savoir.

La faille de sécurité CVE-2024-4040 dans CrushFTP

Il y a quelques jours, une faille de sécurité critique a été découverte dans l'application CrushFTP, qui, comme son nom l'indique, permet de mettre en place un serveur FTP.

Associée à la référence CVE-2024-4040, elle permet à un attaquant distant et non authentifié de lire des fichiers présents sur le serveur, d'outrepasser l'authentification pour obtenir les droits admins et d'exécuter du code arbitraire sur le serveur. Autrement dit, si un serveur est vulnérable, il peut être totalement compromis par cette faille de sécurité et un attaquant peut en prendre le contrôle.

Un rapport publié par Rapid7 met en avant le fait que cette vulnérabilité est facilement exploitable : "L'équipe de recherche sur les vulnérabilités de Rapid7 a analysée la CVE-2024-4040 et a déterminé qu'elle ne nécessite aucune authentification et exploitable de manière triviale."

Par ailleurs, d'après CrowdStrike, cette vulnérabilité a déjà été exploitée en tant que faille de sécurité zero-day dans le cadre d'attaques, notamment pour compromettre les serveurs CrushFTP de plusieurs organisations aux États-Unis.

Quelles sont les versions vulnérables ? Comment se protéger ?

La vulnérabilité CVE-2024-4040 affecte toutes les versions de CrushFTP antérieures à 10.7.1 et 11.1.0, sur toutes les plateformes sur lesquelles l'application est prise en charge. Autrement dit, pour vous protéger, vous devez passer sur l'une des deux nouvelles versions publiées par CrushFTP : 10.7.1 ou 11.1.0.

"Les versions de CrushFTP v11 inférieures à 11.1 présentent une vulnérabilité qui permet aux utilisateurs d'échapper à leur VFS et de télécharger des fichiers système. Cette vulnérabilité a été corrigée dans la version 11.1.0.", peut-on lire sur le site officiel.

Environ 1 000 serveurs vulnérables

D'après le moteur Shodan.io, il y a 5 215 serveurs CrushFTP accessibles sur Internet, aux quatre coins du globe. Néanmoins, ceci ne donne pas le nombre de serveurs vulnérables.

Pour obtenir des informations plus précises, il faut se référer la carte publiée par The Shadowserver accessible à cette adresse. La carte a été actualisée le 27 avril 2024 et elle permet de connaître le nombre de serveurs CrushFTP vulnérables par pays.

Voici quelques chiffres clés :

• États-Unis : 569
• Allemagne : 110
• Canada : 85
• Royaume-Uni : 56
• France : 24
• Australie : 20
• Belgique : 19
• Suisse : 13

Tous les administrateurs de serveurs CrushFTP sont invités à faire le nécessaire dès que possible ! Cette vulnérabilité représente un risque élevé.

Source

The post Patchez votre serveur CrushFTP pour vous protéger de cette faille de sécurité critique et exploitée ! first appeared on IT-Connect.

Depuis quelques jours, la faille de sécurité critique découverte dans le système PAN-OS utilisé par les firewalls de Palo Alto Networks fait beaucoup parler d'elle. Désormais, un code d'exploitation est disponible et pourrait être utilisé pour compromettre les firewalls exposés sur Internet. Faisons le point.

Rappel sur la vulnérabilité CVE-2024-3400

Voici un résumé de la situation actuelle, avec quelques dates et points clés :

Depuis le 26 mars 2024, une nouvelle faille de sécurité zero-day est exploitée par les cybercriminels dans le cadre d'attaque. Elle a été utilisée pour déployer une porte dérobée nommée Upstyle et pivoter vers l'infrastructure interne de l'entreprise. Lors d'une attaque, les pirates sont parvenus à voler des données sensibles telles que la base de données Active Directory.

Vendredi 12 avril 2024, Palo Alto Networks a publié un bulletin de sécurité pour évoquer cette vulnérabilité (CVE-2024-3400) et les risques associés.

Dimanche 14 avril 2024, l'éditeur a publié de premiers correctifs de sécurité à destination de ses firewalls sous PAN-OS : PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 et PAN-OS 11.1.2-h3. Depuis, de nouveaux correctifs ont été publiés, car Palo Alto Networks va publier des patchs pour une dizaine de versions différentes de PAN-OS.

Voici nos précédents articles pour approfondir le sujet :

• Firewalls Palo Alto : cette faille de sécurité zero-day non corrigée est déjà exploitée dans des attaques !
• Firewalls Palo Alto : la faille de sécurité CVE-2024-3400 exploitée depuis mars 2024 pour déployer une porte dérobée !
• Firewalls Palo Alto – CVE-2024-3400 : les premiers correctifs de sécurité sont disponibles !

Un code d'exploit et des dizaines de milliers de firewalls vulnérables

Le mardi 16 avril 2024, watchTowr Labs a publié un rapport au sujet de cette vulnérabilité, ainsi qu'un PoC d'exploitation permettant d'exécuter des commandes à distance sur un firewall vulnérable. Dans le même temps, Justin Elze, directeur technique de TrustedSec, a également évoqué sur X (Twitter) un exploit utilisé par les cybercriminels pour exporter la configuration du pare-feu Palo Alto pris pour cible.

D'après une carte partagée par The Shadowserver Foundation, il y a environ 156 000 firewalls Palo Alto exposé sur Internet et potentiellement vulnérables. Ce chiffre est à prendre avec des pincettes, car il ne tient pas compte de la version de PAN-OS, ni de la configuration.

Vendredi dernier, le chercheur en sécurité  Yutaka Sejiyama, a partagé sur X (Twitter) des statistiques au sujet des firewalls vulnérables à cette faille de sécurité. Il en a identifié un peu plus de 82 000 firewalls. Ce chiffre a certainement diminué désormais, mais le nombre de cibles potentielles doit rester élevé.

Voici quelques chiffres clés (nombre de firewalls vulnérables par pays) :

• États-Unis : 32 916
• Allemagne : 3 268
• Royaume-Uni : 3 213
• Canada : 2 239
• France : 1 794 (sur un total de 3 162, si l'on s'appuie sur la carte de The Shadowserver Foundation)
• Belgique : 772
• Suisse : 561

Le correctif de sécurité comme seule et unique solution pour se protéger

La seule solution pour vous protéger, c'est d'installer le correctif de sécurité sur votre firewall. La mesure d'atténuation partagée initialement par Palo Alto consistait à désactiver la télémétrie, mais elle n'est pas efficace et ne permet pas de se protéger.

Voici ce que l'on peut lire dans le bulletin de sécurité de Palo Alto : "La désactivation de la télémétrie sur l'équipement n'est plus une mesure d'atténuation efficace. Il n'est pas nécessaire que la télémétrie soit activée pour que les pare-feux PAN-OS soient exposés aux attaques liées à cette vulnérabilité."

Malgré tout, si vous avez un abonnement à la fonction "Threat Prevention", vous pouvez bloquer cette attaque en activant la protection contre la menace avec l'ID 95187. De plus, assurez-vous que cette protection soit activée sur l'interface GlobalProtect, en suivant cette page de la documentation. Cette méthode est toujours efficace.

Source

The post Patchez votre firewall Palo Alto : un exploit est disponible pour la CVE-2024-3400 first appeared on IT-Connect.

Vous connaissez probablement l'application PuTTY. Sachez que de nombreuses versions sont affectées par une nouvelle vulnérabilité pouvant permettre de deviner votre clé privée. D'autres applications sont impactées. Faisons le point sur cette menace !

Pour rappel, PuTTY est une application open source permettant de se connecter à des équipements réseaux ou des serveurs distants, généralement sous Linux, par l'intermédiaire de plusieurs protocoles, dont le SSH et le Telnet. Même s'il existe de nombreuses alternatives et des gestionnaires de connexions plus complets, PuTTY reste un "client SSH" populaire et très utilisé par les administrateurs systèmes sous Windows.

Cette vulnérabilité, associée à la référence CVE-2024-31497, a été découverte par Fabian Bäumer et Marcus Brinkmann de l'Université de la Ruhr à Bochum, en Allemagne.

Elle est liée à la manière dont l'application PuTTY génère les nonces ECDSA pour la courbe NIST P-521 utilisée dans le cadre de l'authentification SSH. Un nonce ECDSA est un nombre aléatoire utilisé dans le processus de création de la signature ECDSA. Un nonce est unique pour chaque signature. Dans le cas présent, nous pouvons dire que la fonction de génération de signatures est biaisée à cause de ce problème de sécurité lié à la génération des nonces.

Cette signature numérique est créée à partir de la clé privée de l'utilisateur, et cette clé, comme son nom l'indique, doit rester uniquement en possession de son propriétaire. La signature doit être vérifiée à partir de la clé publique (on parle d'une paire de clés) afin de garantir l'identité de l'utilisateur et sécuriser la connexion.

Calculer la clé privée grâce à la CVE-2024-31497

En exploitant cette vulnérabilité, un attaquant peut parvenir à calculer la clé privée utilisée par l'utilisateur, sans en avoir connaissance à la base.

Pour cela, comme l'explique Marcus Brinkmann sur X (Twitter) : "L'attaque de l'ECDSA avec des nonces biaisés est une technique standard. Un attaquant collecte au moins 521/9≈58 signatures à partir de commits Git signés ou de connexions de victimes au serveur SSH de l'attaquant. Un peu de mathématiques permet à l'attaquant de calculer la clé privée hors ligne."

Ceci implique la collecte de 58 signatures effectuées à partir de la même clé privée pour que celle-ci puisse être découverte. La collecte de ces informations à partir de commits Git signés est certainement plus réaliste et plus "pratique" pour les attaquants.

Pour avoir des techniques, je vous recommande de lire le bulletin de sécurité de PuTTY.

Qui est affecté ? Comment se protéger ?

Cette vulnérabilité, associée à la référence CVE-2024-31497, affecte toutes les versions de PuTTY de la 0.68 à la 0.80, publiée en décembre 2023. La dernière version, à savoir PuTTY 0.81, a été développée et publiée ce lundi 15 avril 2024 dans l'unique but de corriger cette faille de sécurité.

Cependant, il est essentiel de préciser que toutes les clés privées P-521 générée à l'aide d'une version vulnérable de l'outil pourraient être compromises et elles représentent un risque. Dans ce cas, ces clés doivent être renouvelées pour éliminer tous les risques de compromission, et elles sont également à retirer de la liste "authorized_keys" de vos serveurs et équipements.

D'autres logiciels s'appuie directement sur PuTTY et sont également affectés.

Voici une liste, probablement pas exhaustive, de logiciels et des versions impactées :

• FileZilla 3.24.1 - 3.66.5 (corrigé dans 3.67.0)
• WinSCP 5.9.5 - 6.3.2 (corrigé dans 6.3.3)
• TortoiseGit 2.4.0.2 - 2.15.0 (corrigé en 2.15.0.1)
• TortoiseSVN 1.10.0 - 1.14.6 (atténuation possible en configurant TortoiseSVN pour utiliser Plink)

D'autres logiciels sont potentiellement affectés, ce qui pourrait être le cas si un outil s'appuie sur PuTTY (à voir, selon la version).

Source

The post Une faille de sécurité dans le client SSH PuTTY permet de récupérer les clés privées ! first appeared on IT-Connect.

Votre PC est sous Windows et vous utilisez l'application Telegram pour ce système d'exploitation ? Alors, sachez que Telegram a effectué une modification pour vous protéger d'une nouvelle faille de sécurité zero-day.

Telegram a corrigé une faille de sécurité zero-day pour protéger les utilisateurs de son application bureau pour Windows. En l'exploitant, un attaquant peut contourner les mécanismes de protection et exécuter des scripts Python sur la machine cible. In fine, ceci permettrait d'exécuter du code à distance sur la machine de l'utilisateur qui utilise une version vulnérable de l'application Telegram, même si cela implique une interaction de la part de l'utilisateur.

Une démonstration de l'exploitation de cette vulnérabilité a été publiée sur le réseau social X. Telegram a d'abord indiqué qu'il s'agissait d'un canular. Mais, le lendemain, un exploit PoC a été publié sur le forum de piratage XSS pour montrer qu'il était possible d'exécuter des scripts Python ayant l'extension ".pyzw" sur Windows, par l'intermédiaire de l'application Telegram. Ainsi, un attaquant pourrait utiliser l'icône d'une vidéo pour inciter l'utilisateur à cliquer sur un lien dans le but d'exécuter le script malveillant.

En principe, l'application Telegram devrait déclencher un avertissement pour "bloquer" l'exécution de ce type de fichiers, mais là ce n'est pas le cas. Précisons également que Python doit être installé sur l'ordinateur de l'utilisateur pour que le script soit exécuté, ce qui fait une condition supplémentaire.

Finalement, Telegram a reconnu l'existence de cette vulnérabilité et a pris la décision de la corriger. Toutefois, le correctif a été implémenté du côté des serveurs Telegram, donc les utilisateurs n'ont rien à faire : il n'y a aucune mise à jour installer. "Un correctif côté serveur a été appliqué pour s'assurer que ce problème ne se reproduise plus, de sorte que toutes les versions de Telegram Desktop (y compris les plus anciennes) n'ont plus ce problème.", a précisé Telegram.

En fait, Telegram s'appuie sur une liste d'extensions correspondante à tous les fichiers "à risques" et potentiellement malveillants. Celle-ci permet d'indiquer à l'application Telegram quand elle doit afficher l'avertissement de sécurité.

Source

The post Telegram a corrigé une faille de sécurité zero-day dans son application pour Windows first appeared on IT-Connect.

Dimanche 14 avril 2024, Palo Alto Networks a tenu sa promesse en mettant en ligne des premiers correctifs pour corriger la nouvelle faille de sécurité critique (CVE-2024-3400) découverte dans le système PAN-OS de ses firewalls. D'autres correctifs sont attendus dans les prochains jours. Faisons le point.

Rappel sur la CVE-2024-3400

Le système PAN-OS, qui équipe les firewalls de l'entreprise Palo Alto Networks, est affectée par une faille de sécurité critique (CVE-2024-3400) associée à un score CVSS de 10 sur 10 ! C'est une vulnérabilité de type "injection de commande" et elle a été découverte dans la fonction GlobalProtect du système PAN-OS.

Désormais, des correctifs sont disponibles pour certaines versions de PAN-OS. Sinon, sans ce correctif, pour vous protéger, vous devez désactiver la télémétrie sur votre firewall, ou activer la protection contre la menace avec l'ID 95187 dans la fonction "Threat Prevention".

Il est important de rappeler également qu'il y a des tentatives d'exploitation de cette faille de sécurité depuis le 26 mars 2024. Les pirates l'utilisent pour déployer une porte dérobée sur le firewall Palo Alto, et ensuite, essaient de pivoter vers le réseau interne de l'entreprise.

Pour en savoir plus, et connaitre les versions de PAN-OS impactées, lisez nos articles sur cette alerte de sécurité :

• Firewalls Palo Alto : cette faille de sécurité zero-day non corrigée est déjà exploitée dans des attaques !
• Palo Alto : la faille de sécurité CVE-2024-3400 exploitée depuis mars 2024 pour déployer une porte dérobée !

Les correctifs de sécurité pour la CVE-2024-3400

Les firewalls Palo Alto qui exécute les versions suivantes de PAN-OS sont potentiellement vulnérables : PAN-OS 10.2, 11.0 et 11.1. Désormais, l'éditeur a mis en ligne des correctifs de sécurité et il a mis à jour son bulletin de sécurité.

Pour le moment, trois correctifs de sécurité sont disponibles :

• PAN-OS 10.2.9-h1
• PAN-OS 11.0.4-h1
• PAN-OS 11.1.2-h3

Dans les prochains jours, d'autres correctifs sont attendus. Voici un tableau récapitulatif :

Version	Date de publication du correctif
10.2.8-h3	15/04/2024
10.2.7-h8	15/04/2024
10.2.6-h3	15/04/2024
10.2.5-h6	16/04/2024
10.2.4-h16	19/04/2024
10.2.3-h13	17/04/2024
10.2.1-h2	17/04/2024
10.2.2-h5	18/04/2024
10.2.0-h3	18/04/2024
11.0.3-h10	15/04/2024
11.0.2-h4	16/04/2024
11.0.1-h4	17/04/2024
11.0.0-h3	18/04/2024
11.1.1-h1	16/04/2024
11.1.0-h3	17/04/2024

Par ailleurs, rappelons deux choses :

• L'exploitation de la vulnérabilité dépend de la configuration du firewall : "Ce problème s'applique uniquement aux pare-feu PAN-OS 10.2, PAN-OS 11.0 et PAN-OS 11.1 avec les configurations de la passerelle GlobalProtect et la télémétrie de l'appareil activées.", précise Palo Alto.
• Cette vulnérabilité affecte uniquement le système PAN-OS, donc certaines versions spécifiques comme Cloud NGFW et Prisma Access ne sont pas impactées.

Si vous avez besoin d'aide pour installer la mise à jour, référez-vous à la documentation officielle de Palo Alto, notamment cette page.

The post Firewalls Palo Alto – CVE-2024-3400 : les premiers correctifs de sécurité sont disponibles ! first appeared on IT-Connect.

Les dernières nouvelles au sujet de la CVE-2024-3400 ne sont pas bonnes : depuis le 26 mars 2024, un groupe de pirates exploite cette faille de sécurité zero-day présente dans le système PAN-OS des firewalls Palo Alto pour déployer une porte dérobée et s'introduire dans le réseau interne des organisations dont le matériel a été compromis.

Rappel sur la CVE-2024-3400

Le système PAN-OS, qui équipe les firewalls de l'entreprise Palo Alto Networks, est affectée par une faille de sécurité critique (CVE-2024-3400) associée à un score CVSS de 10 sur 10 ! C'est une vulnérabilité de type "injection de commande" et elle a été découverte dans la fonction GlobalProtect du système PAN-OS.

Un correctif est attendu pour ce dimanche 14 avril, mais à l'heure où ces lignes sont écrites, le correctif n'a pas encore été publié par Palo Alto Networks. En attendant, pour vous protéger, vous devez désactiver la télémétrie sur votre firewall, ou activer la protection contre la menace avec l'ID 95187 dans la fonction "Threat Prevention".

Pour en savoir plus, et connaitre les versions de PAN-OS impactées, lisez cet article publié vendredi dernier sur notre site :

• Firewalls Palo Alto : cette faille de sécurité zero-day non corrigée est déjà exploitée dans des attaques !

Une première tentative d'exploitation le 26 mars 2024

Dans son bulletin de sécurité, Palo Alto évoque le fait que cette vulnérabilité a déjà été exploitée par les cybercriminels, sans donner plus de précisions : "Palo Alto Networks a connaissance d'un nombre limité d'attaques qui exploitent cette vulnérabilité".

Néanmoins, si nous regardons ce rapport publié par la société Volexity, à l'origine de la découverte de cette vulnérabilité critique, nous apprenons qu'elle a été exploitée pour la première fois en mars 2024 : "La première preuve de tentative d'exploitation observée par Volexity jusqu'à présent remonte au 26 mars 2024, lorsque les attaquants ont semblé vérifier que l'exploitation fonctionnait correctement." - Le jour suivant, une autre tentative a été repérée par Volexity, puis, les pirates ont attendu le 10 avril 2024 pour déployer un payload.

L'acteur malveillant à l'origine de cette tentative d'exploitation est suivi par Veloxity sous le nom de UTA0218, et d'après eux, il est fort probable que ce soit un groupe de pirates sponsorisés par un État.

"Volexity estime qu'il est très probable que UTA0218 soit un acteur de menace soutenu par un État, compte tenu des ressources nécessaires pour développer et exploiter une vulnérabilité de cette nature, du type de victimes ciblées par cet acteur et des capacités affichées pour installer la porte dérobée Python et accéder aux réseaux des victimes", peut-on lire.

Une porte dérobée déployée, mais pas uniquement...

L'implant principal, appelé "Upstyle", correspond à une porte dérobée installée par l'intermédiaire d'un script Python associé à un fichier de configuration ("/usr/lib/python3.6/site-packages/system.pth"). Une fois que cette backdoor est déployée, les pirates peuvent l'exploiter pour exécuter des commandes sur le firewall compromis.

Comme le montre le schéma ci-dessous, les pirates transmettent les commandes à exécuter par l'intermédiaire de requêtes HTTP et ils génèrent volontairement une erreur. Ceci permet d'inscrire la requête, et donc la commande, dans le journal des erreurs du serveur Web du pare-feu. La porte dérobée va ensuite lire ce fichier journal et décoder la commande (base64) afin de l'exécuter.

En complément de la porte dérobée, d'autres payloads sont déployés sur le firewall : un reverse shell, un outil de suppression des logs, un outil pour exporter la configuration de PAN-OS ou encore l'outil de tunneling GOST.

Dans une attaque observée par Volexity, les pirates informatiques sont parvenus à pivoter vers le réseau interne et à voler différentes informations, parmi lesquelles la base de données Active Directory ("ntds.dit"), des journaux d'événements Windows, ou encore des données de navigateurs tels que Google Chrome et Microsoft Edge (identifiants et cookies).

Mon firewall Palo Alto a-t-il été compromis ?

Voilà une question que certains d'entre vous doivent se poser. Elle est légitime puisque cela fait plusieurs jours que cette vulnérabilité est exploitée par les cybercriminels et qu'il y a déjà eu plusieurs victimes.

Voici ce que nous dit Volexity :

"Il existe deux méthodes principales pour identifier la compromission d'un pare-feu concerné. La première méthode consiste à surveiller le trafic et l'activité du réseau émanant des dispositifs de pare-feu Palo Alto Networks. Volexity travaille toujours à la coordination avec Palo Alto Networks concernant la seconde méthode et ne la décrit donc pas pour l'instant.".

Au niveau des flux réseau, voici ce que vous devez vérifier dans les journaux :

- Vérifier si le pare-feu a effectué des requêtes "wget" vers Internet pour effectuer le téléchargement de ressources. En effet, les pirates utilisent cette commande pour récupérer des fichiers malveillants depuis leur serveur. Il s'agit de requête directe vers des adresses IP, notamment "172.233.228[.]93".

- Vérifier s'il y a eu des tentatives de connexions SMB et/ou RDP vers plusieurs systèmes de votre environnement, depuis l'appliance Palo Alto.

- Vérifier s'il y a eu des requêtes HTTP vers "worldtimeapi[.]org/api/timezone/etc/utc" à partir du pare-feu.

Nous vous tiendrons informés lorsque les correctifs seront mis en ligne.

Source

The post Palo Alto : la faille de sécurité CVE-2024-3400 exploitée depuis mars 2024 pour déployer une porte dérobée ! first appeared on IT-Connect.

Alerte chez Palo Alto Networks : une faille de sécurité zero-day, non patchée à l'heure actuelle, a déjà été exploitée dans le cadre de plusieurs cyberattaques ! Voici ce que l'on sait !

Le système PAN-OS, qui équipe les firewalls de l'entreprise Palo Alto Networks, est affectée par une faille de sécurité critique associée à un score CVSS de 10 sur 10 ! Elle a été découverte par les chercheurs en sécurité de Volexity et elle est désormais associée à la référence CVE-2024-3400. Il s'avère que cette vulnérabilité de type "injection de commande" a été découverte dans la fonction GlobalProtect du système PAN-OS.

Dans la pratique, un attaquant, situé à distance, peut exploiter cette vulnérabilité pour exécuter des commandes sur le firewall, sans aucune interaction de la part d'un utilisateur, et sans disposer de privilèges spéciaux. Il est question ici d'exécuter des commandes en tant qu'administrateur.

À l'heure actuelle, cette faille de sécurité a déjà été exploitée : "Palo Alto Networks a connaissance d'un nombre limité d'attaques qui exploitent cette vulnérabilité", peut-on lire dans le bulletin de sécurité mis en ligne par l'éditeur de solutions de sécurité.

Quelles sont les versions de PAN-OS affectées ?

Les firewalls Palo Alto qui exécute les versions suivantes de PAN-OS sont potentiellement vulnérables : PAN-OS 10.2, 11.0 et 11.1. Ceci affecte uniquement PAN-OS, donc certaines versions spécifiques comme Cloud NGFW et Prisma Access ne sont pas impactées.

Voici le tableau récapitulatif publié par Palo Alto :

Il est important de préciser que l'exploitation de la vulnérabilité dépend de la configuration du firewall : "Ce problème s'applique uniquement aux pare-feu PAN-OS 10.2, PAN-OS 11.0 et PAN-OS 11.1 avec les configurations de la passerelle GlobalProtect et la télémétrie de l'appareil activées.", précise Palo Alto.

Comment se protéger de la CVE-2024-3400 ?

Pour le moment, aucun correctif n'est disponible ! Les correctifs, pour les différentes versions affectées, sont en cours de développement et sont attendus pour le dimanche 14 avril 2024, au plus tard.

Voici les versions qui seront publiées :

• PAN-OS 10.2.9-h1
• PAN-OS 11.0.4-h1
• PAN-OS 11.1.2-h3

En attendant, et avant de partir en week-end, il est impératif de désactiver la télémétrie sur votre firewall, en suivant cette documentation officielle. Ceci empêche l'exploitation de la vulnérabilité.

Sachez que si vous avez un abonnement à la fonction "Threat Prevention", vous pouvez bloquer cette attaque en activant la protection contre la menace avec l'ID 95187. De plus, assurez-vous que cette protection soit activée sur l'interface GlobalProtect, en suivant cette page de la documentation.

Source

The post Firewalls Palo Alto : cette faille de sécurité zero-day non corrigée est déjà exploitée dans des attaques ! first appeared on IT-Connect.

Le serveur Web des contrôleurs BMC (Baseboard Management Controller) utilisés par plusieurs fabricants de serveurs, dont Lenovo et Intel, est impacté par une faille de sécurité patchée il y a environ 6 ans ! Voici ce qu'il faut savoir sur cette menace potentielle.

Le Baseboard Management Controller (BMC) est un microcontrôleur intégré sur la carte mère de certains serveurs dont l'objectif est de faciliter la gestion à distance et la surveillance à distance du serveur. Ceci implique l'utilisation d'un serveur Web afin de publier l'interface de gestion. Dans le cas présent, Lighttpd est implémenté en tant que serveur Web.

Lors d'un scan récent sur des interfaces BMC, les chercheurs en sécurité de chez Binarly ont découvert que la version de Lighttpd utilisée contient une faille de sécurité. En l'exploitant, un attaquant pourrait exfiltrer les adresses de la mémoire des processus, ce qui faciliterait le contournement de certaines fonctions de sécurité comme l'ASLR (Address Space Layout Randomization).

Il s'avère qu'elle a été corrigée en août 2018, de façon relativement discrète, par les mainteneurs du projet Lighttpd, et cette faille de sécurité n'a même pas été associée à une référence CVE ! Il y a eu un manque de transparence de la part de l'équipe de Lighttpd.

De ce fait, les développeurs d'AMI MegaRAC BMC n'ont pas vu le correctif et ne l'ont pas intégré à leur produit... Résultat, nous avons encore un bel exemple d'un problème de sécurité qui affecte la chaine d'approvisionnement puisque cela impact les vendeurs de serveurs et leurs clients.

Voici un schéma très explicite intégré dans le rapport de Binarly :

Intel, Lenovo et Supermicro impactés !

Plusieurs fabricants et références de serveurs sont concernés par ce problème de sécurité, notamment Intel, Lenovo et Supermicro. Voici des précisions apportées par Binarly (avec des ID internes associés à ces problèmes de sécurité) :

• BRLY-2024-002 : Vulnérabilité spécifique dans la version 1.4.45 de Lighttpd utilisée dans la version 01.04.0030 (la plus récente) du micrologiciel de la série M70KLP d'Intel, impactant certains modèles de serveurs Intel.
• BRLY-2024-003 : Vulnérabilité spécifique dans Lighttpd version 1.4.35 dans le firmware Lenovo BMC version 2.88.58 (la plus récente) utilisé dans les modèles de serveurs Lenovo HX3710, HX3710-F, et HX2710-E.
• BRLY-2024-004 : Vulnérabilité générale dans les versions du serveur web Lighttpd antérieures à 1.4.51, permettant la lecture de données sensibles depuis la mémoire du processus du serveur.

Certains systèmes Intel et Lenovo ont été commercialisés récemment et devraient bénéficier d'un correctif. Néanmoins, ce ne sera pas le cas pour tous les serveurs, car certains modèles ne sont plus pris en charge. Par exemple, l'Intel Server System M70KLP a été lancé au premier trimestre 2021 et abandonné en février 2024 (ce qui est très court, en fait !).

Malheureusement, d'après Binarly, il y a une quantité importante d'interfaces BMC vulnérables et accessibles sur Internet, qui correspondent à du matériel en fin de vie et qui resteront vulnérables...

Source

The post Depuis 6 ans, des serveurs Lenovo, Intel et Supermicro sont affectés par une faille dans BMC first appeared on IT-Connect.

BatBadBut, c'est le nom d'une nouvelle faille de sécurité critique découverte dans la bibliothèque Rust ! Elle pourrait être exploitée par un attaquant pour exécuter des commandes sur les machines sous Windows ! Faisons le point.

Cette vulnérabilité associée à la référence CVE-2024-24576 est considérée comme critique : son score CVSS est de 10 sur 10, ce qui représente le niveau de sévérité maximal.

Pour autant, cette faille de sécurité peut être exploitée uniquement dans des scénarios spécifiques : "La bibliothèque standard Rust n'échappait pas correctement les arguments lors de l'invocation de fichiers batch (avec les extensions bat et cmd) sous Windows à l'aide de l'API Command", peut-on lire dans le bulletin de sécurité publié sur le site de Rust, le 9 avril 2024. Ceci explique que la vulnérabilité soit exploitable uniquement sur Windows.

Pour exploiter cette vulnérabilité, l'attaquant doit contrôler les arguments transmis au processus créé au moment de l'invocation du fichier batch pour exécuter les commandes shell arbitraires, en contournant le mécanisme d'échappement (escaping).

Le chercheur en sécurité RyotaK de chez Flatt Security a fait la découverte de cette vulnérabilité présente dans toutes les versions de Rust avant la version 1.77.2. Si vous utilisez Rust, vous devez donc effectuer la mise à jour vers 1.77.2 car cette version corrige cette faille de sécurité (voir cette page).

Rust ne serait pas le seul langage affecté par BatBadBut

RyotaK a surnommé cette vulnérabilité BatBadBut, et d'après lui, Rust n'est pas le seul langage de programmation affecté : tout dépend de comment est géré la fonction CreateProcess de Windows.

"CreateProcess() crée implicitement cmd.exe lors de l'exécution de fichiers batch (.bat, .cmd, etc.), même si l'application ne les a pas spécifiés dans la ligne de commande. Le problème est que cmd.exe a des règles de parsing compliquées pour les arguments de la commande, et que les exécutions des langages de programmation ne parviennent pas à échapper correctement les arguments de la commande.", précise-t-il dans un rapport publié sur le site de Flatt Security.

Pour le moment, tous les langages de programmation affectés n'ont pas résolu le problème, et il y a un travail à réaliser également du côté développement pour mieux gérer l'échappement.

• Voici un tableau récapitulatif publié par RyotaK :

Si vous êtes développeur, le rapport de RyotaK pourra vous apporter des détails techniques intéressants, notamment pour améliorer votre code afin de gérer ce problème de sécurité.

Source

The post BatBadBut : une faille critique de Rust expose les machines Windows à des attaques ! first appeared on IT-Connect.