À l'heure où ces lignes sont écrites, il y a au moins 28 500 serveurs de messagerie Exchange vulnérables à la nouvelle faille de sécurité critique CVE-2024-21410 patchée la semaine dernière par Microsoft. En réalité, le nombre de serveurs vulnérables pourrait être beaucoup plus élevé. Faisons le point !

À l'occasion de son Patch Tuesday de Février 2024, Microsoft a corrigé 73 failles de sécurité, ainsi que plusieurs failles zero-day. C'est notamment le cas de la CVE-2024-21410, car cette vulnérabilité présente dans Microsoft Exchange Server a été exploitée par les pirates en tant que faille zero-day avant qu'elle ne soit patchée.

Associée à un score CVSS v3.1 de 9.8 sur 10, cette faille de sécurité critique permet à un attaquant non authentifié d'élever ses privilèges en s'appuyant sur une attaque par relais NTLM ciblant un serveur Microsoft Exchange vulnérable.

Comme souvent, le service de monitoring The Shadowserver a mis en ligne quelques statistiques intéressantes pour nous indiquer combien il y a de machines potentielles vulnérables. Les serveurs Exchange étant, généralement, exposés sur Internet, il est possible de les sonder et de récupérer le numéro de version.

Ainsi, sur un total de 97 000 serveurs Exchange identifiés, il y a 28 500 serveurs qui sont vulnérables à la vulnérabilité CVE-2024-21410. Pour environ 68 500 serveurs, l'état est inconnu puisque cela dépend si les administrateurs ont appliqué ou non les mesures d'atténuation. Nous pouvons imaginer que c'est le cas pour une partie des serveurs, mais pas pour tous... Ce qui augmente forcément le nombre de serveurs vulnérables.

La France, dans le Top 5

En ce qui concerne les pays avec le plus de serveurs Exchange vulnérables, The Shadowserver a publié une liste sur cette page. Voici le Top 5 :

Pays	Nombre d'adresses IP uniques
Allemagne	22 903
États-Unis	19 434
Royaume-Uni	3 665
Pays-Bas	3 108
France	3 074

Nous savons que cette vulnérabilité est exploitée dans le cadre d'attaques. À l'heure actuelle, aucun exploit PoC public semble être disponible. Pour autant, il convient de se protéger dès que possible.

Comment se protéger ?

Sur Exchange Server 2019, vous devez installer la Cumulatice Update 14 (CU14) pour vous protéger. Pour en savoir plus sur cette vulnérabilité, et savoir comment se protéger sur les différentes versions d'Exchange Server, consultez notre article ci-dessous :

• Exchange Server - CVE-2024-21410 - Se protéger

Source

The post CVE-2024-21410 – Au moins 28 500 serveurs Exchange vulnérables à cette faille de sécurité exploitée ! first appeared on IT-Connect.

Si vous utilisez VMware vSphere et que VMware Enhanced Authentication Plug-in (EAP) est installé sur votre machine, vous devez le désinstaller dès que possible : il contient deux failles de sécurité qui ne seront pas corrigées par VMware, car c'est un composant en fin de vie. Faisons le point.

VMware a mis en ligne un nouveau bulletin de sécurité pour deux vulnérabilités présentes dans le plugin "VMware Enhanced Authentication". Il s'agit d'un logiciel qui s'installe sur Windows et qui permet de bénéficier d'une authentification transparente sur la console de gestion de vSphere, en s'appuyant sur l'authentification Windows et la fonctionnalité de carte à puce de Windows.

Il est encore utilisé aujourd'hui par des administrateurs systèmes, bien qu'il soit obsolète et en fin de vie depuis mars 2021, suite à la sortie de VMware vCenter Server 7.0 Update 2. "VMware prévoit d'interrompre la prise en charge de l'authentification de session Windows (SSPI) utilisée dans le cadre de l'Enhanced Authentication Plug-in, de la prise en charge des cartes à puce et de RSA SecurID pour vCenter Server.", précise le journal des modifications de cette version.

VMware Enhanced Authentication Plug-in : CVE-2024-22245 et CVE-2024-22250

Le nouveau bulletin de sécurité de VMware fait référence à ces deux vulnérabilités :

• CVE-2024-22245 :

Il s'agit d'une vulnérabilité critique associée à un score CVSS de 9.6 sur 10. Elle peut être utilisée pour relayer des tickets de service Kerberos. VMware précise qu'un attaquant pourrait un utilisateur cible en "demandant et en relayant des tickets de service pour des Service Principal Names (SPN) arbitraires d'Active Directory".

• CVE-2024-22250 :

Il s'agit d'une vulnérabilité importante associée à un score CVSS de 7.8 sur 10 et qui va permettre d'effectuer une élévation de privilèges. Elle peut être exploitée par un attaquant qui dispose déjà d'un accès local non privilégié sur une machine Windows. Grâce à cette vulnérabilité, il peut détourner une session EAP privilégiée lorsqu'elle est initiée par un utilisateur de domaine privilégié sur le même système.

Comment se protéger ?

Il n'y a pas et il n'y aura pas de correctif pour ces deux vulnérabilités. VMware invite les administrateurs systèmes à ne plus utiliser l'EAP, ce qui signifie qu'il faut désinstaller le plugin de votre navigateur et/ou l'application pour Windows associée à un service. Ceci fait référence à "VMware Enhanced Authentication Plug-in 6.7.0" et "VMware Plug-in Service".

Pour vous accompagner dans cette démarche, VMware a mis en ligne un nouvel article de support avec des instructions. En fait, vous pouvez utiliser l'interface graphique de Windows pour désinstaller les applications (méthode classique) ou utiliser les commandes PowerShell suivantes :

# VMware Enhanced Authentication Plug-in 6.7.0
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Enhanced Authentication Plug-in")}).Uninstall()
# VMware Plug-in Service
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()

Si vous ne pouvez pas faire la désinstallation dans l'immédiat, VMware vous encourage à arrêter et désactiver le service. Voici les commandes fournies :

Stop-Service -Name "CipMsgProxyService"
Set-Service -Name "CipMsgProxyService" -StartupType "Disabled"

Pour finir, je tiens à préciser que le composant VMware Enhanced Authentication n'est pas installé par défaut, y compris sur le serveur VMware vCenter.

Si vous avez des interrogations, vous pouvez commenter cet article ou vous référer à la documentation de VMware.

Source

The post Si vous utilisez ce plugin d’authentification VMware, vous devez le désinstaller dès maintenant ! first appeared on IT-Connect.

Joomla, un système de gestion de contenus similaire à WordPress, est affecté par 5 failles de sécurité qui peuvent permettre à un attaquant d'exécuter du code arbitraire grâce à des failles XSS. Faisons le point sur cette menace.

Même s'il n'est pas aussi populaire que WordPress, Joomla représente une alternative sérieuse et ce CMS est utilisé aujourd'hui pour faire tourner au moins 1,6 million de sites web (d'après une donnée de 2020).

Un nouveau bulletin de sécurité a été publié sur le site de Joomla pour avertir les utilisateurs de la présence de 5 failles de sécurité dans le core du CMS. Voici la liste des vulnérabilités en question :

• CVE-2024-21722 : la fonctionnalité de gestion du MFA ne termine pas correctement les sessions d'un utilisateur lorsqu'il modifie ses méthodes d'authentification associées au MFA
• CVE-2024-21723 : Une analyse inadéquate des URLs pourrait entraîner une redirection ouverte.
• CVE-2024-21724 : Une validation inadéquate lors de la sélection d'un média est à l'origine de plusieurs vulnérabilités de type cross-site scripting (XSS) dans diverses extensions.
• CVE-2024-21725 : Un échappement inadéquat des adresses de messagerie entraîne des vulnérabilités de type XSS dans divers composants.
• CVE-2024-21726 : Un filtrage inadéquat du contenu dans le code de filtrage conduit à des vulnérabilités de type XSS.

D'après les informations disponibles sur le site de Joomla, la CVE-2024-21725 elle celle qui représente le risque le plus élevé. Un rapport publié par Stefan Schiller sur le site de Sonar donne des précisions sur une autre vulnérabilité, la CVE-2024-21726, découverte par l'équipe de chercheurs en sécurité de Sonar.

Ce rapport précise : "Les attaquants peuvent tirer parti de ce problème de sécurité pour exécuter un code à distance en incitant un administrateur à cliquer sur un lien malveillant." - En effet, une vulnérabilité de type XSS peut permettre à un attaquant d'injecter des scripts malveillants dans le contenu diffusé aux autres utilisateurs du site, ce qui permet d'exécuter un script malveillant dans le navigateur de la victime.

Comment se protéger ?

Joomla a mis en ligne de nouvelles versions de son CMS pour vous protéger de ces vulnérabilités : Joomla 5.0.3 et Joomla 4.4.3. Vous devez installer cette mise à jour de sécurité dès que possible. Sonar vous encourage également à agir rapidement : "Nous ne divulguerons pas de détails techniques pour l'instant, mais nous tenons à souligner l'importance d'une action rapide pour atténuer ce risque."

Source

The post Plusieurs failles de sécurité XSS découvertes dans Joomla exposent des sites Web ! first appeared on IT-Connect.

Une faille de sécurité critique découverte dans l'application ScreenConnect Server est très appréciée par les cybercriminels. Elle est exploitée par plusieurs gangs, dont Black Basta et Bl00dy. Faisons le point.

ScreenConnect et la faille de sécurité CVE-2024-1709

Lundi 19 février 2024, ConnectWise, éditeur de la solution ScreenConnect, a mis en ligne un bulletin de sécurité pour évoquer une faille de sécurité critique présente dans la partie "Serveur" de son application : CVE-2024-1709. ScreenConnect est une solution de prise en main à distance, et vous avez la possibilité d'héberger votre propre serveur, ou d'utiliser l'infrastructure de ConnectWise.

En exploitant cette vulnérabilité, un attaquant peut contourner l'authentification et exécuter du code à distance, sans aucune interaction de la part d'un utilisateur. La vulnérabilité est facile à exploiter et implique que l'attaquant soit en mesure de communiquer avec le serveur ScreenConnect. Résultat, elle peut être utilisée pour compromettre le serveur grâce à la création d'un compte administrateur.

Le problème, c'est qu'il y a énormément de serveurs ScreenConnect exposés sur Internet : on parle de plus de 10 000 serveurs, si l'on effectue une recherche via Shodan. Seuls environ 15% de ces serveurs utilisent la version 23.9.8 permettant de se protéger.

ConnectWise invite ses utilisateurs à patcher leur serveur dès que possible : "ConnectWise recommande aux partenaires de procéder immédiatement à une mise à jour vers la version 23.9.8 ou une version plus récente afin de remédier aux vulnérabilités signalées." - D'ailleurs, vous devez suivre l'upgrade path suivant : 2.1 → 2.5 → 3.1 → 4.4 → 5.4 → 19.2 → 22.8 → 23.3 → 23.9.

Remarque : ConnectWise a également corrigé la vulnérabilité CVE-2024-1708, de type Path-traversal.

Une vulnérabilité exploitée par plusieurs groupes de cybercriminels

Depuis une semaine, et un jour après la mise en ligne du correctif de sécurité, cette vulnérabilité est exploitée massivement par les cybercriminels. D'après Shadowserver, il y a plusieurs dizaines d'adresses IP à l'origine d'attaques à destination de serveurs ScreenConnect, dans le but de les compromettre en exploitant la faille de sécurité CVE-2024-1709.

Désormais, nous savons que les gangs de ransomware Black Basta et Bl00dy sont sur le coup ! Les chercheurs de Trend Micro ont fait cette découverte lors de l'analyse de plusieurs incidents de sécurité. Après avoir compromis le serveur ScreenConnect, les pirates ont pu accéder au réseau de l'entreprise ciblée pour déployer un web shell.

Trend Micro évoque également des notes de rançon, ainsi que d'autres malwares tel que XWorm, un logiciel malveillant assez polyvalent (remote access trojan avec des fonctions de ransomware).

Si vous utilisez ScreenConnect, patchez dès que possible ! Cette faille de sécurité critique est massivement exploitée par les gangs de ransomware !

Source

The post Patchez ScreenConnect : une faille critique est exploitée par les gangs de ransomware Black Basta et Bl00dy first appeared on IT-Connect.

Une faille de sécurité critique a été découverte et corrigée dans l'extension WordPress nommée LiteSpeed Cache. Il s'agit d'une extension populaire : on parle de 5 millions d'installations actives. Faisons le point.

LiteSpeed Cache est une extension pour WordPress dont l'objectif est d'améliorer la vitesse de votre site web grâce à diverses optimisations autour de la mise en cache, du chargement différé de ressources, ou encore de la minification de fichiers JavaScript et CSS. À ce jour, on compte plus de 5 millions d'installations actives de cette extension.

La faille de sécurité critique qui a fait l'objet d'un rapport détaillé sur le blog de Patchstack est associée à la référence CVE-2023-40000. Même si elle est mise en lumière seulement maintenant, elle n'est pas récente puisqu'elle a été corrigée en octobre 2023 au sein de la version 5.7.0.1 de l'extension LiteSpeed Cache. En fait, elle a été découverte le 17 octobre 2023 par Patchstack, qui l'a ensuite remonté au développeur de l'extension, qui a mis en ligne un correctif le 25 octobre 2023.

Il s'agit d'une vulnérabilité de type XSS qui est exploitable à distance, sans être authentifié. Un attaquant peut élever ses privilèges grâce à cette faille de sécurité. Le chercheur en sécurité Rafie Muhammad précise : "[Elle] pourrait permettre à n'importe quel utilisateur non authentifié de voler des informations sensibles et, dans ce cas, d'escalader les privilèges sur le site WordPress en effectuant une seule requête HTTP.

Comment se protéger ?

Depuis tout ce temps, d'autres versions de LiteSpeed Cache ont été publiées. Aujourd'hui, la dernière version est la 6.1 et elle a été publiée le 5 février 2024. Si vous effectuez un suivi régulier de vos mises à jour, vous êtes probablement déjà protégés.

Au minimum, pour vous protéger, vous devez passer sur la version 5.7.0.1 ou supérieure dès que possible.

À en croire les statistiques relatives aux versions actives, il y a encore 39,8% des installations actives qui tournent sur une version inférieure à la version 5.7 de l'extension. Sans compter 10.8% d'installations actives sur la version 5.7. Cependant, les chiffres ne sont pas assez précis pour savoir s'il s'agit de la version 5.7.0.1 ou non.

Source

The post WordPress : cette vulnérabilité dans LiteSpeed expose des millions de sites ! first appeared on IT-Connect.

Dans le cadre de ses activités malveillantes, le célèbre groupe Lazarus a exploité une faille de sécurité présente dans le pilote AppLocker de Windows. Grâce à cette vulnérabilité, les hackers ont pu obtenir un accès au niveau du noyau et désactiver les outils de sécurité présents sur la machine. Faisons le point.

CVE-2024-21338, c'est la référence CVE associée à la faille de sécurité exploitée par le groupe de hackers nord-coréen Lazarus. Microsoft l'a patché le 13 février dernier, à l'occasion de son Patch Tuesday de février 2024.

Les experts d'Avast ont mis en ligne un nouveau rapport pour évoquer ces cyberattaques. Il permet d'apprendre que le groupe Lazarus a exploité cette vulnérabilité par l'intermédiaire d'une nouvelle version de son rootkit FudModule. Ce dernier est désormais plus furtif et plus difficile à détecter, en plus d'être capable de désactiver les solutions de sécurité présentes sur la machine Windows, notamment Microsoft Defender et CrowdStrike Falcon.

Avast explique également que le groupe Lazarus a exploité cette faille de sécurité en tant que zero-day, ce qui signifie qu'il n'existait pas encore de patch de sécurité. Avast a détecté cette vulnérabilité et l'a signalée à Microsoft. "L'exploitation de la vulnérabilité zero-day constitue une autre étape importante, alors que Lazarus utilisait auparavant des techniques BYOVD (Bring Your Own Vulnerable Driver) beaucoup plus bruyantes pour franchir la frontière entre l'administrateur et le noyau.", peut-on lire.

Quelles sont les versions de Windows affectées ? Quels sont les risques ?

Si l'on se réfère au site de Microsoft, nous pouvons voir que cette vulnérabilité affecte Windows 10 version 1809 et supérieur, Windows 11, ainsi que Windows Server 2019 et Windows Server 2022. "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM.", précise Microsoft.

Dans le cas présent, c'est le logiciel malveillant déployé sur la machine qui va directement exploiter cette vulnérabilité présente dans le pilote "appid.sys" utilisé par AppLocker afin d'obtenir une liste blanche d'applications. Ainsi, ils ont accès au noyau de l'OS et peuvent en prendre le contrôle.

Pour vous protéger, vous n'avez qu'une seule option : installer les dernières mises à jour sur vos machines Windows et Windows Server.

Source

The post Windows : le groupe Lazarus a exploité cette faille de sécurité zero-day dans AppLocker ! first appeared on IT-Connect.

Il y a un mois, nous apprenions l'existence d'une nouvelle faille de sécurité critique présente dans la fonction de VPN SSL des appareils FortiGate et FortiProxy de chez Fortinet. Aujourd'hui encore, il y a encore près de 150 000 équipements vulnérables. Faisons le point sur cette menace.

Rappel sur la CVE-2024-21762

La vulnérabilité associée à la référence CVE-2024-21762 est une faille de sécurité critique de type "out-of-bounds write", avec un score CVSS est de 9.6 sur 10, présente dans le système FortiOS de Fortinet. D'après l'entreprise américaine, cette vulnérabilité affecte les firewalls FortiGate et les équipements FortiProxy. En l'exploitant, un attaquant non authentifié peut exécuter du code à distance sur l'équipement pris pour cible, à l'aide d'une requête spécialement conçue dans ce but.

D'ailleurs, d'après l'agence américaine CISA, cette vulnérabilité a été activement exploitée dans la foulée de sa divulgation. La CISA avait ordonné aux agences fédérales américaines de protéger leurs appareils FortiOS contre cette vulnérabilité avant le 16 février 2024.

• En savoir plus sur la CVE-2024-21762

Près de 150 000 équipements vulnérables

D'après les derniers chiffres de The Shadowserver Foundation, au niveau mondial, il y a encore environ 150 000 équipements exposés sur Internet et vulnérables à la faille de sécurité CVE-2024-21762. Ce chiffre est fou, surtout que cette vulnérabilité a été très largement médiatisée...

Si l'on regarde la carte publiée par The Shadowserver Foundation, nous pouvons constater qu'il y a plus de 4 400 équipements Fortinet vulnérables en France, au même titre qu'au Canada, à quelques équipements près. En Suisse, il y a 1 700 équipements vulnérables, tandis qu'on en compte approximativement 1 500 pour la Belgique. À titre de comparaison, il y en a plus de 24 000 aux États-Unis.

J'en profite pour rappeler qu'il existe des correctifs de sécurité, publiés par Fortinet et disponible depuis 1 mois. Enfin, sachez que vous pouvez vérifier si votre VPN SSL est vulnérable en exécutant ce script Python développé par les chercheurs de la société BishopFox.

Source

The post Cette faille critique dans le VPN SSL de Fortinet affecte toujours près de 150 000 appareils ! first appeared on IT-Connect.

Accrochez-vous bien à vos chaises (ou à vos hamacs, je ne juge pas 😉) car des chercheurs en sécurité nous ont encore pondu une nouvelle attaque qui devrait bien faire stresser sur la sécurité de vos CPU !

Oui je sais, on en a déjà vu des vertes et des pas mûres avec Spectre, Meltdown et toute la clique… Mais là, c’est tout aussi lourd. Ça s’appelle GhostRace et ça va vous hanter jusque dans vos cauchemars !

En gros, c’est une variante de Spectre qui arrive à contourner toutes les protections logicielles contre les race conditions. Les mecs de chez IBM et de l’université d’Amsterdam ont donc trouvé un moyen d’exploiter l’exécution spéculative des processeurs (le truc qui leur permet de deviner et d’exécuter les instructions à l’avance) pour court-circuiter les fameux mutex et autres spinlocks qui sont censés empêcher que plusieurs processus accèdent en même temps à une ressource partagée.

Résultat des courses: les attaquants peuvent provoquer des race conditions de manière spéculative et en profiter pour fouiner dans la mémoire et chopper des données sensibles ! C’est vicieux… En plus de ça, l’attaque fonctionne sur tous les processeurs connus (Intel, AMD, ARM, IBM) et sur n’importe quel OS ou hyperviseur qui utilise ce genre de primitives de synchronisation. Donc en gros, personne n’est à l’abri !

Les chercheurs ont même créé un scanner qui leur a permis de trouver plus de 1200 failles potentielles rien que dans le noyau Linux. Et leur PoC arrive à siphonner la mémoire utilisée par le kernel à la vitesse de 12 Ko/s. Bon après, faut quand même un accès local pour exploiter tout ça, mais quand même, ça la fout mal…

Bref, c’est la grosse panique chez les fabricants de CPU et les éditeurs de systèmes qui sont tous en train de se renvoyer la balle façon ping-pong. 🏓 Les premiers disent « mettez à jour vos OS« , les seconds répondent « patchez d’abord vos CPU !« . En attendant, c’est nous qui trinquons hein…

Mais y’a quand même une lueur d’espoir: les chercheurs ont aussi proposé une solution pour « mitiger » le problème. Ça consiste à ajouter des instructions de sérialisation dans toutes les primitives de synchronisation vulnérables. Bon ok, ça a un coût en perfs (5% sur LMBench quand même) mais au moins ça colmate les brèches. Reste plus qu’à convaincre Linus Torvalds et sa bande de l’implémenter maintenant… 😒

En attendant, je vous conseille de garder l’œil sur les mises à jour de sécurité de votre OS et de votre microcode, on sait jamais ! Et si vous voulez en savoir plus sur les dessous techniques de l’attaque, jetez un œil au white paper et au blog des chercheurs, c’est passionnant.

A la prochaine pour de nouvelles (més)aventures !

Le gang de ransomware ShadowSyndicate analyse les serveurs Web exposés sur Internet à la recherche de serveurs vulnérables à la CVE-2024-23334 présente dans une bibliothèque Python nommée "aiohttp". Faisons le point sur cette menace.

Aiohttp est une bibliothèque Python open-source capable de gérer de grandes quantités de requêtes HTTP en simultanés, de façon asynchrones. Elle est basée sur le framework d'E/S AsyncIO, lui aussi codé en Python. Cette bibliothèque est utilisée par les développeurs qui ont besoin de mettre en place des applications et des services web avec un niveau élevé de performances performance. Elle semble relativement populaire puisque la page du projet sur Pypi.org compte près de 14 500 Stars.

La faille de sécurité CVE-2024-23334 dans Aiohttp

Le 28 janvier 2024, les développeurs de la bibliothèque Aiohttp ont mis en ligne la version 3.9.2 dans le but de corriger une faille de sécurité importante associée à la référence CVE-2024-23334. Toutes les versions avant la version 3.9.2 sont affectées par cette faille de sécurité. Depuis, la version 3.9.3 a été publiée, et il y a même une release candidate de la version 3.9.4.

La CVE-2024-23334 est une faiblesse de type "Path transversal" pouvant permettre à un attaquant non authentifié d'accéder à des données sensibles hébergées sur le serveur applicatif. Voici ce que l'on peut lire sur le site du NIST : "Cela peut conduire à des vulnérabilités de traversée de répertoire, entraînant un accès non autorisé à des fichiers arbitraires sur le système, même lorsque les liens symboliques ne sont pas présents."

Désormais, cette vulnérabilité est bien connue et il existe plusieurs ressources permettant de faciliter son exploitation, notamment un PoC sur GitHub relayé sur X (Twitter) le 27 février 2024, ou encore cette vidéo YouTube publiée début mars.

Des tentatives d'exploitation depuis le 29 février 2024

D'après les analystes de Cyble, il y a eu des premières tentatives d'exploitation dès le 29 février, et à présent les scans et les tentatives d'exploitation s'intensifient. Plusieurs adresses IP différentes sont à l'origine de ces tentatives, et précédemment, l'une de ces adresses IP a été associée au gang de ransomware ShadowSyndicate. Il s'agit d'un groupe de cybercriminels lancé en juillet 2022.

Voici les adresses IP malveillantes identifiées par Cyble :

• 81[.]19[.]136[.]251
• 157[.]230[.]143[.]100
• 170[.]64[.]174[.]95
• 103[.]151[.]172[.]28
• 143[.]244[.]188[.]172

Toujours d'après les informations fournies par Cyble, à l'aide du scanner ODIN (voir cette page), il y aurait actuellement plus de 44 500 serveurs exposés sur Internet où l'en-tête HTTP correspond à Aiohttp. Ceci ne veut pas dire que ces serveurs sont vulnérables, car tout dépend de la version utilisée.

Comme le montre le graphique ci-dessous, il y a environ 1 300 hôtes situés en France : ce sont des cibles potentielles.

Si vous utilisez la bibliothèque Aiohttp, vous devez passer sur la version 3.9.2 ou supérieure, dès que possible.

Source

The post Une faille de sécurité dans Aiohttp exploitée par le gang de ransomware ShadowSyndicate first appeared on IT-Connect.

Une faille de sécurité critique présente dans la solution FortiClient Enterprise Management Server (EMS) de chez Fortinet est activement exploitée par les cybercriminels ! Voici ce qu'il faut savoir sur cette menace !

Le 12 mars 2024, Fortinet a mis en ligne un bulletin de sécurité pour informer ses utilisateurs de la présence d'une vulnérabilité critique (score CVSSv3 de 9.3 sur 10) présente dans la solution FortiClient EMS.

Associée à la référence CVE-2023-48788, il s'agit d'une faiblesse de type "injection SQL" permettant à un attaquant non authentifié d'exécuter du code ou des commandes à distance sur la machine vulnérable. Autrement dit, un attaquant en mesure de communiquer avec un serveur vulnérable peut exécuter du code avec les privilèges SYSTEM dans le but de compromettre la machine.

Dans ce même bulletin de sécurité, nous pouvons lire ceci : "Cette vulnérabilité est exploitée dans la nature". De plus, mercredi 20 mars 2024, les chercheurs en sécurité de chez Horizon3.ai ont mis en ligne un rapport et un exploit PoC au sujet de cette faille de sécurité. Cet exploit se présente sous la forme d'un script Python et il est disponible sur GitHub.

"Pour transformer cette vulnérabilité d'injection SQL en exécution de code à distance, nous avons utilisé la fonctionnalité xp_cmdshell intégrée de Microsoft SQL Server.", peut-on lire dans le rapport d'Horizon3.ai. Cette fonction n'est pas activée par défaut sur SQL Server, ce qui explique de jouer certaines commandes en amont par l'intermédiaire de l'injection SQL.

Une recherche sur Shodan montre qu'il y a actuellement 446 serveurs FortiClient EMS exposés sur Internet, dont 13 en France et au Canada, 8 en Suisse et 4 en Belgique.

Comment se protéger ?

Voici un tableau récapitulatif avec la liste des versions affectées et la liste des versions qui intègrent un correctif de sécurité pour la CVE-2023-48788.

Version (branche)	Versions vulnérables	Solution
FortiClientEMS 7.2	7.2.0 à 7.2.2	Mettre à niveau vers 7.2.3 ou supérieur
FortiClientEMS 7.0	7.0.1 à 7.0.10	Mettre à niveau vers 7.0.11 ou supérieur

Source

The post Cette faille critique dans FortiClient EMS permet d’exécuter du code à distance en tant que SYSTEM first appeared on IT-Connect.

GoFetch, c'est le nom d'une attaque qui exploite une faille de sécurité importante découverte dans les puces Apple M1, M2 et M3 utilisées par les générations les plus récentes de Mac. La particularité de cette vulnérabilité : elle ne peut pas être corrigée, à moins d'impacter très fortement les performances des puces fabriquées par Apple. Faisons le point !

Une équipe de chercheurs du MIT Computer Science & Artificial Intelligence Laboratory (CSAIL) a mis au point une technique d'attaque baptisée GoFetch, qui exploite une faille de sécurité matérielle présente dans les puces Apple Silicon. Cette attaque de type "side-channel" cible une fonction d'optimisation matérielle appelée Data Memory-dependent Prefetcher (DMP).

Le DMP est une fonction intégrée dans les puces Apple et qui a pour objectif d'aider le processeur à deviner les données dont il pourrait avoir besoin ensuite afin d'optimiser les performances (principe du prefetch). Dans le cas présent, l'attaque permet de tromper la fonction DMP afin qu'elle révèle des informations sensibles stockées en mémoire.

En effet, en exploitant GoFetch, un attaquant pourrait extraire des clés cryptographiques stockées sur un Mac (OpenSSL Diffie-Hellman, Go RSA, CRYSTALS Kyber et Dilithium) dans le but de contourner les opérations de chiffrement effectuées directement par la puce Apple Silicon. Il serait possible de compromettre les clés utilisées par divers algorithmes de chiffrement. In fine, ceci facilite l'accès aux données stockées sur le Mac.

Pour mener à bien cette attaque, l'attaquant doit convaincre la victime d'exécuter un malware (par l'intermédiaire d'un e-mail malveillant, par exemple). Le malware doit être exécuté en parallèle de l'application prise pour cible, et ce, pendant un certain temps afin de pouvoir voler la clé.

Comment se protéger de la faille GoFetch ?

GoFetch fait référence à une faille de sécurité matérielle dans l'architecture même des puces Apple, donc en raison de sa nature, il ne sera pas possible de corriger directement la vulnérabilité. L'intégration d'un correctif ou d'une mesure d'atténuation va passer par la couche logicielle.

Le problème, c'est que la mise en œuvre d'un quelconque correctif va très fortement dégrader les performances des puces Apple, en particulier les deux premières générations : Apple M1 et M2. D'ailleurs, au passage, cette histoire n'est pas sans rappeler les failles de sécurité Meltdown et Spectre qui touchaient de nombreux processeurs Intel et AMD et dont la correction impactait également les performances du processeur.

Pour en savoir plus, vous pouvez consulter le site officiel de GoFetch. Sur ce site, il est d'ailleurs précisé qu'un code PoC sera mis en ligne prochainement... Apple ne s'est pas encore exprimé au sujet de GoFetch. Affaire à suivre...

The post La faille matérielle GoFetch affecte les puces Apple M1, M2 et M3 et ne peut pas être corrigée ! first appeared on IT-Connect.

Saviez-vous qu’une faille de sécurité plus vicieuse qu’un boss de fin de niveau est tapie dans les entrailles de notre cher Linux depuis plus d’une décennie ? Et attention, on ne parle pas d’un vulgaire bug qui fait planter votre distrib’ préférée, non non. Cette saleté, baptisée « WallEscape » par Skyler Ferrante, un chercheur en sécurité un peu barré (on y reviendra), permet ni plus ni moins à un petit malin de vous subtiliser votre précieux mot de passe Admin !

Tout commence avec une commande anodine appelée « wall« , présente dans le package util-linux. Son petit boulot à elle, c’est d’envoyer des messages à tous les utilisateurs connectés sur une même machine. Jusque-là, rien de bien méchant, vous me direz.

Sauf que voilà, un beau jour, ou plutôt un sale jour de 2013, un commit un peu foireux est venu s’immiscer dans le code de wall tel un cheveu sur la soupe. Depuis, cette brebis galeuse s’est gentiment propagée dans toutes les versions de util-linux, tel un virus informatique qui s’ignore.

Mais qu’est-ce qu’il y avait de si terrible dans ce ce commit ? Eh bien, pour faire simple, le dev qui l’a poussé, a tout bonnement oublié de filtrer correctement les fameuses « escape sequences » dans les arguments de la ligne de commande. Résultat des courses : un petit malin un peu bricoleur peut maintenant s’amuser à injecter tout un tas de caractères de contrôle pour faire des trucs pas très catholiques sur votre terminal.

Et c’est là que notre ami chercheur en sécurité dont je vous parlais au début de l’article, entre en scène. Armé de sa curiosité légendaire et de son sens de l’humour douteux, il a flairé le potentiel de la faille et s’est amusé à monter un scénario d’attaque digne d’un film de ma saga préférée : « Die Hard ». L’idée, diaboliquement géniale, est d’utiliser ces fameuses « escape sequences » non filtrées pour créer de fausses invites sudo sur le terminal de la victime. Ainsi, tel un loup déguisé en agneau, l’attaquant peut vous inciter à gentiment taper votre mot de passe administrateur, pensant avoir affaire à une véritable demande d’authentification système.

Bon, je vous rassure tout de suite, il y a quand même quelques conditions à remplir pour que l’attaque fonctionne. Déjà, il faut que l’option « mesg » soit activée sur votre machine et que la commande wall ait les permissions setgid.

Bien sûr, en tant que vrai geek qui se respecte, vous avez probablement déjà mis à jour votre système avec la dernière version de util-linux qui colmate la brèche. Sinon, vous pouvez toujours vérifier que les permissions setgid ne sont pas activées sur wall ou carrément désactiver cette fonctionnalité de messages avec « mesg« .

En attendant, je ne peux que vous encourager à jeter un coup d’œil au PoC de notre ami chercheur, histoire de voir à quoi peut ressembler une fausse invite sudo des familles. C’est toujours ça de pris pour briller en société.

Allez, amusez-vous bien et n’oubliez pas : sudo rm -rf /*, c’est le mal !

Source

Grosse alerte de sécurité : la bibliothèque "liblzma" utilisée par de nombreuses distributions Linux est victime d'une compromission de la chaîne d'approvisionnement : les dernières versions contiennent du code malveillant qui permet de déployer une porte dérobée sur le système. Faisons le point sur cette menace.

La bibliothèque liblzma appelée aussi XZ Utils est présente dans de nombreuses distributions Linux, notamment Arch Linux, Fedora, Debian, OpenSUSE, Alpine Linux, etc... Il s'agit d'une bibliothèque de compression de données susceptible d'être utilisées par d'autres applications.

Il s'avère que deux versions de la bibliothèque liblzma sont impactées par une attaque de type supply chain : 5.6.0 ou 5.6.1. La version 5.6.0 date de fin février tandis que la version 5.6.1 a été publiée le 9 mars 2024. Ces deux versions du paquet XZ contiennent du code malveillant qui a été très bien dissimulé par les auteurs de cette attaque, par l'intermédiaire d'un fichier m4 avec du code obfusqué. Il est visible uniquement lorsque le paquet est téléchargé en intégralité, donc il est invisible sur Git, par exemple.

Andres Freund, ingénieur logiciel chez Microsoft, a fait la découverte de ce problème de sécurité en menant des investigations sur une machine Debian Sid, après avoir constaté que les connexions SSH étaient anormalement longues.

Si une version compromise du paquet XZ est installée sur une machine, alors une porte dérobée est également déployée. Celle-ci offre un accès distant à l'attaquant qui pourrait se connecter à votre machine par l'intermédiaire d'une connexion SSH, sans avoir besoin de connaître vos identifiants (car il y a un lien entre systemd et liblzma).

Sachez que ceci est considéré comme une vulnérabilité et que la référence CVE pour cette faille de sécurité critique est la suivante : CVE-2024-3094. Sans surprise, un score CVSS v3.1 de 10 sur 10 a été associé à cette vulnérabilité.

Quels sont les systèmes affectés ?

Même si plusieurs distributions telles que Debian, Fedora ou encore Arch Linux sont concernées, ceci n'affecte pas toutes les versions. En effet, ceci concerne avant tout les versions en cours de développement, dont Debian Sid qui est la future version stable de Debian.

Pour Fedora, sachez que Fedora Rawhide et Fedora 41 sont affectées par ce problème de sécurité. Au sein du bulletin de sécurité de Red Hat, nous pouvons également lire ceci : "Aucune version de Red Hat Enterprise Linux (RHEL) n'est concernée.", ce qui n'est pas surprenant.

Potentiellement, tout autre système avec le paquet XZ en version 5.6.0 ou 5.6.1 est également affecté, donc vérifiez vos machines. Dans ce cas, il convient d'effectuer un downgrade vers la version 5.4.6.

Cette commande doit permettre d'obtenir la version :

dpkg -l | grep "xz-utils"

Pour approfondir le sujet, vous pouvez lire cet article intéressant qui donne des détails techniques supplémentaires, ainsi que l'origine de cette compromission : un nouveau développeur qui est venu épauler le créateur de la bibliothèque XZ Utils.

The post Alerte de sécurité Linux : une porte dérobée a été intégrée dans XZ Utils ! first appeared on IT-Connect.

Mauvaise nouvelle ! Un chercheur en sécurité du nom de « Netsecfish » vient de dénicher une faille bien vicieuse dans les NAS D-Link. C’est pas un petit bug de rien du tout puisque c’est une backdoor (porte dérobée) qui permet carrément d’exécuter des commandes à distance sur votre NAS ! Ce qui est flippant, c’est qu’il y aurait plus de 92 000 appareils exposés sur Internet qui seraient vulnérables à cette RCE.

D’après Netsecfish, la faille se planque dans le script « /cgi-bin/nas_sharing.cgi », qui gère les requêtes HTTP GET et qui autorise un compte caché avec le nom d’utilisateur « messagebus » et un mot de passe vide. Et en plus de cette porte dérobée, il y a également une faille d’injection de commande via le paramètre « system » qui permet d’exécuter tout et n’importe quoi sur le NAS. Une vraie passoire donc !

Quand on sait que sur nos NAS, on stocke à peu près tout, de nos photos perso à nos backups, je pense que là, on peut dire que ça craint. Bien sûr, vous vous dites sûrement : « Pas de panique, D-Link va corriger ça vite fait bien fait« .

Ah ah, que vous êtes drôles vous. Bah oui, parce que les modèles concernés sont en fin de vie, obsolètes, has been (comme vos t-shirts), donc D-Link ne compte pas développer de patch. Bouuuh les affreux ! La seule solution, c’est donc remplacer votre vieux NAS par un modèle plus récent. Ouin… Cela dit, je pense que les clients D-Link passeront à la concurrence… Au hasard Synology ????

92 000 appareils exposés, ça fait une belle brochette et même si c’est du vieux matos, ça doit trainer chez pas mal de monde et d’entreprises qui doivent encore l’utiliser et qui ne seront même pas au courant de ce problème, sauf s’ils lisent mon site évidemment ^^.

Bref, si vous avez un vieux NAS D-Link qui traîne dans un coin, éteignez-moi ça vite fait. Et par pitié, ne le laissez pas exposé sur Internet, sauf si vous aimez vivre dangereusement.

Source

Si vous utilisez un NAS D-Link, vous devriez lire cet article avec attention : un chercheur en sécurité a fait la découverte d'une porte dérobée codée en dur dans le firmware de nombreux modèles ! Le problème, c'est que ce sont des modèles en fin de vie. Faisons le point sur ce problème de sécurité !

Derrière la référence CVE-2024-3273 se cache une faille de sécurité associée à deux problèmes de sécurité. Tout d'abord, il y a une porte dérobée accessible par l'intermédiaire d'un compte utilisateur codé en dur, avec le nom d'utilisateur "messagebus" et sans mot de passe. Puis, un paramètre nommé "system" permet d'effectuer de l'exécution de commande. Cela signifie que si un NAS vulnérable est exposé sur Internet, un attaquant peut exécuter des commandes sur l'appareil, à distance.

Netsecfish, à l'origine de la découverte de cette vulnérabilité, a indiqué qu'elle était présente dans le script "/cgi-bin/nas_sharing.cgi" de certains NAS D-Link.

"L'exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant d'exécuter des commandes arbitraires sur le système, ce qui pourrait conduire à un accès non autorisé à des informations sensibles, à la modification des configurations du système ou à des conditions de déni de service", précise-t-il.

Quels sont les modèles affectés ?

Plusieurs modèles de NAS D-Link sont directement affectés par cette vulnérabilité et ce problème de sécurité important. Voici la liste :

• DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013
• DNS-325 Version 1.01
• DNS-327L Version 1.09, Version 1.00.0409.2013
• DNS-340L Version 1.08

La mauvaise nouvelle, c'est que ce sont des appareils en fin de vie et D-Link n'effectue plus la moindre prise en charge sur ces modèles. Dans un article mis en ligne sur son site officiel, D-Link recommande à ses utilisateurs d'arrêter d'utiliser ces modèles et de les remplacer par des modèles plus récents. En attendant, il est recommandé de ne pas exposer ces appareils sur Internet.

Plus de 92 000 NAS exposés et vulnérables

D'après un scan réalisé par le chercheur en sécurité Netsecfish, il y a plus de 92 000 NAS D-Link vulnérables à la CVE-2024-3273 et qui sont exposés sur Internet. Autrement dit, ils sont à la portée d'un pirate informatique. La compromission d'un NAS D-Link peut servir d'accès initial à un attaquant...

Source

The post Une porte dérobée codée en dur met en danger plus de 92 000 NAS D-Link exposés sur Internet first appeared on IT-Connect.

À l'occasion de son Patch Tuesday d'avril 2024, Microsoft a corrigé deux failles de sécurité zero-day dans Windows. Elles sont déjà connues des attaquants et exploitées dans le cadre de cyberattaques. Faisons le point sur ces deux menaces !

Pour rappel, le Patch Tuesday d'avril 2024 de Microsoft permet de corriger au total 150 failles de sécurité, ainsi que les deux zero-day évoquées dans cet article.

CVE-2024-26234 - Vulnérabilité dans le pilote de Proxy de Windows (spoofing)

En décembre 2023, l'équipe de chercheurs en sécurité Sophos X-Ops a fait la découverte de cette faille de sécurité dans le pilote de Proxy de Windows. Elle a été reportée à Microsoft par l'intermédiaire de Christopher Budd. Cette vulnérabilité permet d'usurper l'identité de l'éditeur de Microsoft, car elle permet de signer un pilote ou un exécutable avec le certificat "Microsoft Hardware Publisher". Un certificat valide et approuvé par le système d'exploitation Windows.

C'est en effectuant l'analyse d'un exécutable nommé "Catalog.exe" émanant de "Catalog Thales" et décrit comme "Catalog Authentication Client Service" que Sophos a fait la découverte de ce problème de sécurité. Il s'agit sans aucun doute d'une tentative d'usurpation d'identité du groupe Thales, tentée par les pirates.

"Toutefois, après avoir consulté nos données internes et les rapports de VirusTotal, nous avons découvert que le fichier était auparavant intégré à un fichier d'installation pour un produit appelé LaiXi Android Screen Mirroring", peut-on lire dans le rapport publié par Sophos. Ceci est cohérent vis-à-vis d'une découverte effectuée également par les équipes de Stairwell, comme nous pouvons le voir dans ce rapport.

Sophos n'est pas parvenu à savoir si cette application provenait d'un éditeur légitime ou non, mais "nous sommes convaincus que le fichier que nous avons examiné est une porte dérobée malveillante.", précise leur rapport.

Ensuite, Sophos a pris contact avec l'équipe du Microsoft Security Response Center dans le but de signaler ce problème de sécurité. Microsoft a pris la décision de révoquer le certificat de signature de code utilisé par les pirates, grâce à la mise à jour de la liste de révocation (d'où la CVE-2024-26234 et le correctif associé.

CVE-2024-29988 - Vulnérabilité dans la fonction SmartScreen de Windows (bypass)

La vulnérabilité CVE-2024-29988 est présente dans la fonction de sécurité SmartScreen de Windows. Elle met en défaut le mécanisme de protection visant à protéger l'utilisateur contre l'exécution de fichiers potentiellement dangereux. La protection SmartScreen peut être contournée par cette vulnérabilité. Ainsi, elle ouvre la porte à l'exécution de malwares.

Ce problème de sécurité n'est pas nouveau, car il s'avère que la vulnérabilité CVE-2024-29988 permet de contourner le correctif CVE-2024-21412 précédemment mis au point par Microsoft (correctif publié en février 2024), qui lui-même permettait de bypasser le correctif CVE-2023-36025. Il s'avère que le précédent patch n'a pas corrigé totalement la vulnérabilité. Elle a été découverte par Peter Girnus de l'équipe Trend Micro Zero Day Initiative, ainsi que Dmitrij Lenz et Vlad Stolyarov de l'équipe Google Threat Analysis Group.

D'après Dustin Childs de l'équipe Trend Micro Zero Day Initiative (voir cette page), cette vulnérabilité est activement utilisée dans des attaques pour déployer des logiciels malveillants sur les machines Windows, en échappant aux systèmes de détection EDR/NDR et contournant la fonction "Mark of the Web" sur laquelle s'appuie SmartScreen, grâce à l'utilisation d'un fichier ZIP.

D'ailleurs, le groupe de pirates Water Hydra a exploité la vulnérabilité CVE-2024-21412 et il exploite désormais la CVE-2024-29988 dans le but d'infecter l'appareil des victimes avec le malware DarkMe, qui est un cheval de Troie d'accès à distance (RAT). Ce groupe cible en priorité les forums et canaux Telegram de forex.

Source

The post Windows : Microsoft a corrigé deux failles zero-day exploitées dans des attaques de malwares ! first appeared on IT-Connect.

BatBadBut, c'est le nom d'une nouvelle faille de sécurité critique découverte dans la bibliothèque Rust ! Elle pourrait être exploitée par un attaquant pour exécuter des commandes sur les machines sous Windows ! Faisons le point.

Cette vulnérabilité associée à la référence CVE-2024-24576 est considérée comme critique : son score CVSS est de 10 sur 10, ce qui représente le niveau de sévérité maximal.

Pour autant, cette faille de sécurité peut être exploitée uniquement dans des scénarios spécifiques : "La bibliothèque standard Rust n'échappait pas correctement les arguments lors de l'invocation de fichiers batch (avec les extensions bat et cmd) sous Windows à l'aide de l'API Command", peut-on lire dans le bulletin de sécurité publié sur le site de Rust, le 9 avril 2024. Ceci explique que la vulnérabilité soit exploitable uniquement sur Windows.

Pour exploiter cette vulnérabilité, l'attaquant doit contrôler les arguments transmis au processus créé au moment de l'invocation du fichier batch pour exécuter les commandes shell arbitraires, en contournant le mécanisme d'échappement (escaping).

Le chercheur en sécurité RyotaK de chez Flatt Security a fait la découverte de cette vulnérabilité présente dans toutes les versions de Rust avant la version 1.77.2. Si vous utilisez Rust, vous devez donc effectuer la mise à jour vers 1.77.2 car cette version corrige cette faille de sécurité (voir cette page).

Rust ne serait pas le seul langage affecté par BatBadBut

RyotaK a surnommé cette vulnérabilité BatBadBut, et d'après lui, Rust n'est pas le seul langage de programmation affecté : tout dépend de comment est géré la fonction CreateProcess de Windows.

"CreateProcess() crée implicitement cmd.exe lors de l'exécution de fichiers batch (.bat, .cmd, etc.), même si l'application ne les a pas spécifiés dans la ligne de commande. Le problème est que cmd.exe a des règles de parsing compliquées pour les arguments de la commande, et que les exécutions des langages de programmation ne parviennent pas à échapper correctement les arguments de la commande.", précise-t-il dans un rapport publié sur le site de Flatt Security.

Pour le moment, tous les langages de programmation affectés n'ont pas résolu le problème, et il y a un travail à réaliser également du côté développement pour mieux gérer l'échappement.

• Voici un tableau récapitulatif publié par RyotaK :

Si vous êtes développeur, le rapport de RyotaK pourra vous apporter des détails techniques intéressants, notamment pour améliorer votre code afin de gérer ce problème de sécurité.

Source

The post BatBadBut : une faille critique de Rust expose les machines Windows à des attaques ! first appeared on IT-Connect.

Le serveur Web des contrôleurs BMC (Baseboard Management Controller) utilisés par plusieurs fabricants de serveurs, dont Lenovo et Intel, est impacté par une faille de sécurité patchée il y a environ 6 ans ! Voici ce qu'il faut savoir sur cette menace potentielle.

Le Baseboard Management Controller (BMC) est un microcontrôleur intégré sur la carte mère de certains serveurs dont l'objectif est de faciliter la gestion à distance et la surveillance à distance du serveur. Ceci implique l'utilisation d'un serveur Web afin de publier l'interface de gestion. Dans le cas présent, Lighttpd est implémenté en tant que serveur Web.

Lors d'un scan récent sur des interfaces BMC, les chercheurs en sécurité de chez Binarly ont découvert que la version de Lighttpd utilisée contient une faille de sécurité. En l'exploitant, un attaquant pourrait exfiltrer les adresses de la mémoire des processus, ce qui faciliterait le contournement de certaines fonctions de sécurité comme l'ASLR (Address Space Layout Randomization).

Il s'avère qu'elle a été corrigée en août 2018, de façon relativement discrète, par les mainteneurs du projet Lighttpd, et cette faille de sécurité n'a même pas été associée à une référence CVE ! Il y a eu un manque de transparence de la part de l'équipe de Lighttpd.

De ce fait, les développeurs d'AMI MegaRAC BMC n'ont pas vu le correctif et ne l'ont pas intégré à leur produit... Résultat, nous avons encore un bel exemple d'un problème de sécurité qui affecte la chaine d'approvisionnement puisque cela impact les vendeurs de serveurs et leurs clients.

Voici un schéma très explicite intégré dans le rapport de Binarly :

Intel, Lenovo et Supermicro impactés !

Plusieurs fabricants et références de serveurs sont concernés par ce problème de sécurité, notamment Intel, Lenovo et Supermicro. Voici des précisions apportées par Binarly (avec des ID internes associés à ces problèmes de sécurité) :

• BRLY-2024-002 : Vulnérabilité spécifique dans la version 1.4.45 de Lighttpd utilisée dans la version 01.04.0030 (la plus récente) du micrologiciel de la série M70KLP d'Intel, impactant certains modèles de serveurs Intel.
• BRLY-2024-003 : Vulnérabilité spécifique dans Lighttpd version 1.4.35 dans le firmware Lenovo BMC version 2.88.58 (la plus récente) utilisé dans les modèles de serveurs Lenovo HX3710, HX3710-F, et HX2710-E.
• BRLY-2024-004 : Vulnérabilité générale dans les versions du serveur web Lighttpd antérieures à 1.4.51, permettant la lecture de données sensibles depuis la mémoire du processus du serveur.

Certains systèmes Intel et Lenovo ont été commercialisés récemment et devraient bénéficier d'un correctif. Néanmoins, ce ne sera pas le cas pour tous les serveurs, car certains modèles ne sont plus pris en charge. Par exemple, l'Intel Server System M70KLP a été lancé au premier trimestre 2021 et abandonné en février 2024 (ce qui est très court, en fait !).

Malheureusement, d'après Binarly, il y a une quantité importante d'interfaces BMC vulnérables et accessibles sur Internet, qui correspondent à du matériel en fin de vie et qui resteront vulnérables...

Source

The post Depuis 6 ans, des serveurs Lenovo, Intel et Supermicro sont affectés par une faille dans BMC first appeared on IT-Connect.

Alerte chez Palo Alto Networks : une faille de sécurité zero-day, non patchée à l'heure actuelle, a déjà été exploitée dans le cadre de plusieurs cyberattaques ! Voici ce que l'on sait !

Le système PAN-OS, qui équipe les firewalls de l'entreprise Palo Alto Networks, est affectée par une faille de sécurité critique associée à un score CVSS de 10 sur 10 ! Elle a été découverte par les chercheurs en sécurité de Volexity et elle est désormais associée à la référence CVE-2024-3400. Il s'avère que cette vulnérabilité de type "injection de commande" a été découverte dans la fonction GlobalProtect du système PAN-OS.

Dans la pratique, un attaquant, situé à distance, peut exploiter cette vulnérabilité pour exécuter des commandes sur le firewall, sans aucune interaction de la part d'un utilisateur, et sans disposer de privilèges spéciaux. Il est question ici d'exécuter des commandes en tant qu'administrateur.

À l'heure actuelle, cette faille de sécurité a déjà été exploitée : "Palo Alto Networks a connaissance d'un nombre limité d'attaques qui exploitent cette vulnérabilité", peut-on lire dans le bulletin de sécurité mis en ligne par l'éditeur de solutions de sécurité.

Quelles sont les versions de PAN-OS affectées ?

Les firewalls Palo Alto qui exécute les versions suivantes de PAN-OS sont potentiellement vulnérables : PAN-OS 10.2, 11.0 et 11.1. Ceci affecte uniquement PAN-OS, donc certaines versions spécifiques comme Cloud NGFW et Prisma Access ne sont pas impactées.

Voici le tableau récapitulatif publié par Palo Alto :

Il est important de préciser que l'exploitation de la vulnérabilité dépend de la configuration du firewall : "Ce problème s'applique uniquement aux pare-feu PAN-OS 10.2, PAN-OS 11.0 et PAN-OS 11.1 avec les configurations de la passerelle GlobalProtect et la télémétrie de l'appareil activées.", précise Palo Alto.

Comment se protéger de la CVE-2024-3400 ?

Pour le moment, aucun correctif n'est disponible ! Les correctifs, pour les différentes versions affectées, sont en cours de développement et sont attendus pour le dimanche 14 avril 2024, au plus tard.

Voici les versions qui seront publiées :

• PAN-OS 10.2.9-h1
• PAN-OS 11.0.4-h1
• PAN-OS 11.1.2-h3

En attendant, et avant de partir en week-end, il est impératif de désactiver la télémétrie sur votre firewall, en suivant cette documentation officielle. Ceci empêche l'exploitation de la vulnérabilité.

Sachez que si vous avez un abonnement à la fonction "Threat Prevention", vous pouvez bloquer cette attaque en activant la protection contre la menace avec l'ID 95187. De plus, assurez-vous que cette protection soit activée sur l'interface GlobalProtect, en suivant cette page de la documentation.

Source

The post Firewalls Palo Alto : cette faille de sécurité zero-day non corrigée est déjà exploitée dans des attaques ! first appeared on IT-Connect.