Vue lecture

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.

Cette faille critique dans FortiClient EMS permet d’exécuter du code à distance en tant que SYSTEM

Une faille de sécurité critique présente dans la solution FortiClient Enterprise Management Server (EMS) de chez Fortinet est activement exploitée par les cybercriminels ! Voici ce qu'il faut savoir sur cette menace !

Le 12 mars 2024, Fortinet a mis en ligne un bulletin de sécurité pour informer ses utilisateurs de la présence d'une vulnérabilité critique (score CVSSv3 de 9.3 sur 10) présente dans la solution FortiClient EMS.

Associée à la référence CVE-2023-48788, il s'agit d'une faiblesse de type "injection SQL" permettant à un attaquant non authentifié d'exécuter du code ou des commandes à distance sur la machine vulnérable. Autrement dit, un attaquant en mesure de communiquer avec un serveur vulnérable peut exécuter du code avec les privilèges SYSTEM dans le but de compromettre la machine.

Dans ce même bulletin de sécurité, nous pouvons lire ceci : "Cette vulnérabilité est exploitée dans la nature". De plus, mercredi 20 mars 2024, les chercheurs en sécurité de chez Horizon3.ai ont mis en ligne un rapport et un exploit PoC au sujet de cette faille de sécurité. Cet exploit se présente sous la forme d'un script Python et il est disponible sur GitHub.

"Pour transformer cette vulnérabilité d'injection SQL en exécution de code à distance, nous avons utilisé la fonctionnalité xp_cmdshell intégrée de Microsoft SQL Server.", peut-on lire dans le rapport d'Horizon3.ai. Cette fonction n'est pas activée par défaut sur SQL Server, ce qui explique de jouer certaines commandes en amont par l'intermédiaire de l'injection SQL.

Une recherche sur Shodan montre qu'il y a actuellement 446 serveurs FortiClient EMS exposés sur Internet, dont 13 en France et au Canada, 8 en Suisse et 4 en Belgique.

Shodan - CVE-2023-48788 - 21 mars 2024

Comment se protéger ?

Voici un tableau récapitulatif avec la liste des versions affectées et la liste des versions qui intègrent un correctif de sécurité pour la CVE-2023-48788.

Version (branche)Versions vulnérablesSolution
FortiClientEMS 7.27.2.0 à 7.2.2Mettre à niveau vers 7.2.3 ou supérieur
FortiClientEMS 7.07.0.1 à 7.0.10Mettre à niveau vers 7.0.11 ou supérieur

Source

The post Cette faille critique dans FortiClient EMS permet d’exécuter du code à distance en tant que SYSTEM first appeared on IT-Connect.

Cyberattaque France Travail : 3 personnes interpellées et mises en détention provisoire !

Dimanche dernier, les forces de l'ordre françaises ont procédé à l'arrestation de 3 personnes qui seraient impliquées dans la cyberattaque contre France Travail (ex-Pôle Emploi). Voici ce que l'on sait !

Rappel des faits : le 13 mars 2024, France Travail a révélé avoir subi une cyberattaque sur ses systèmes. Grâce à cette intrusion, les pirates sont parvenus à voler une base de données contenant les données personnelles de "potentiellement" 43 millions de personnes. Cette base de données ne contient pas d'informations bancaires, ni même les mots de passe des comptes, mais elle contient de précieuses informations sur les personnes concernées : nom, prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresse e-mail, adresse postale, et numéro de téléphone.

Trois jeunes mis en détention provisoire

Suite à cet incident de sécurité, une enquête a été ouverte et le travail de recherche a rapidement payé puisque ce dimanche 17 mars 2024, trois personnes ont été interpellées. Puis, ce mardi 19 mars 2024, elles ont été mises en examen et placées en détention provisoire pour accès et maintien frauduleux dans un système de traitement automatisé de données, extraction de ces données, escroquerie et blanchiment, le tout en bande organisée.

Comme le révèle le site Ouest France, la procureure de Paris, Laure Beccuau, a indiqué à l'AFP qu'il s'agissait de trois jeunes d'une vingtaine d'années, nés en novembre 2001 dans l’Yonne, et en septembre 2000 et septembre 2002 dans l’Ardèche.

Les enquêteurs ont pu mener des perquisitions aux domiciles des suspects et ils ont pu analyser le matériel informatique de ces derniers. Ils sont parvenus à identifier des preuves de participation à des activités d'escroquerie basée sur l'utilisation de campagnes de phishing. Pour le moment, des investigations sont en cours pour déterminer s'ils sont bien à l'origine de cette cyberattaque et identifier d'éventuels autres suspects.

Quoi qu'il en soit, la méfiance est de mise, car nous ne savons pas réellement qui a cette base de données en sa possession, et elle peut être utilisée pour mettre en place des campagnes d'hameçonnage.

The post Cyberattaque France Travail : 3 personnes interpellées et mises en détention provisoire ! first appeared on IT-Connect.

Sécurisez votre surface d’attaque avec cette fonctionnalité de Cloudflare

Vous pensiez que votre infra était bien protégée ? Détrompez-vous les amis, les cyberattaques sont de plus en plus vicieuses et sophistiquées !

J’sais pas si vous utilisez Cloudflare pour sécuriser et optimiser votre site, mais si c’est le cas, vous allez être heureux puisqu’ils ont sorti un nouvel outil pour nous aider à garder nos sites en sécurité: Cloudflare Security Center.

Cette nouvelle fonctionnalité nous permet d’avoir une vision globale de notre surface d’attaque, c’est-à-dire tous les points d’entrée potentiels pour les hackers. On parle des serveurs, des applis, des APIs, bref, tout ce qui est exposé sur le web. Le Security Center scanne tout ça et nous alerte sur les failles de sécurité et les mauvaises configurations qui pourraient nous mettre dans la mouise.

Vous aurez donc besoin :

  • D’un compte Cloudflare (bah oui sinon ça marche pas)
  • Au moins un site web sous leur protection (logique)

Passons maintenant à l’activation de la fonctionnalité et le lancement du scan initial

  1. Rendez-vous sur le dashboard de Cloudflare et sélectionnez votre compte.
  2. Foncez ensuite dans « Security Center » > « Security Insights« .
  3. Sous « Enable Security Center scans« , vous avez un bouton magique « Start scan« . Et bien cliquez dessus !
  4. Et patientez… Zzzz.. Le premier scan peut prendre un peu de temps selon la taille de votre site.
  5. Une fois fini, la mention « Scan in Progress » disparaît et laisse place à la date et l’heure du dernier scan. Easy !

Vous verrez alors les problèmes détectés sur votre compte Cloudfalre ainsi que leur sévérité. De mon côté, rien de bien méchant.

Mais attention, c’est pas juste un simple scanner ! L’outil a aussi des fonctionnalités de gestion des risques. Il vous aide à prioriser les problèmes et vous guide pour les résoudre rapidement. Plus besoin de se prendre la tête pendant des heures, on clique sur quelques boutons et hop, c’est réglé !

Ensuite, vous n’aurez rien à gérer puisque Security Center fera des scans régulièrement en fonction de votre forfait. Plus vous avez un plan costaud, plus vos scans seront fréquents.

Ce centre de sécurité propose également un scan de votre infra pour voir tous vos sous-domaines et savoir s’ils sont correctement sécurisés. Et si y’a une adresse IP, un nom de domaine, une URL ou un AS sur laquelle vous avez un doute, vous pouvez même mener une petite enquête dessus

En plus, le Security Center surveille aussi les tentatives d’usurpation d’identité et de phishing. C’est encore en beta, donc j’ai pas pu tester, mais imaginez un peu que des petits malins qui essaient de se faire passer pour votre boîte pour piquer les données de vos clients… Et bien avec Cloudflare qui veille au grain, vous devriez vite les débusquer.

Bref, que vous ayez un petit site vitrine ou une grosse plateforme e-commerce, si vous utilisez Cloudflare, je vous invite à y faire un tour.

Attaques DDoS contre le gouvernement français – qui est Anonymous Sudan ?

Comme vous le savez, plusieurs services de l’État français ont récemment fait l’objet d’une série d’attaques par déni de service distribué (DDoS). Selon les services du Premier ministre, il s’agit d’attaques d’une « intensité sans précédent ».  Le groupe hacktiviste Anonymous Sudan, très prolifique, a depuis revendiqué la responsabilité de ces attaques. Tribune Netscout – Richard Hummel, […]

The post Attaques DDoS contre le gouvernement français – qui est Anonymous Sudan ? first appeared on UnderNews.

Cyberattaque France Travail : 43 millions de personnes menacées par une fuite de données !

France Travail, anciennement Pôle Emploi, est victime d'une nouvelle cyberattaque associée à une fuite de données ! Les pirates seraient parvenus à voler les données personnelles de, potentiellement, 43 millions de personnes. Faisons le point sur cet incident de sécurité.

En août 2023, il y a donc moins d'un an, Pôle Emploi (son nom de l'époque), avait déjà subi une cyberattaque et les pirates étaient parvenus à voler des informations au sujet de 10 millions de personnes inscrites à Pôle Emploi.

L'histoire se répète, et cette fois-ci, cela semble encore plus grave. Le 13 mars 2024, France Travail a publié un nouveau communique de presse pour révéler officiellement cet incident de sécurité qui aurait eu lieu entre le 6 février et le 5 mars 2024. Pour le moment, l'organisme français n'a donné aucune précision sur la nature de cette cyberattaque.

France Travail explique que les pirates sont parvenus à voler une base de données contenant les données personnelles de "potentiellement" 43 millions de personnes (pour reprendre le terme employé dans le communiqué).

Pour bien comprendre qui est impacté, France Travail précise que cette base de données contient les données "des personnes actuellement inscrites et des personnes précédemment inscrites au cours des 20 dernières années ainsi que des personnes non inscrites sur la liste des demandeurs d'emploi mais ayant un espace candidat sur francetravail.fr." - Ah oui, un historique sur 20 ans : étonnant, non ?

À quoi correspondent ces informations personnelles ?

Cette base de données contient de nombreuses informations sur les personnes concernées : nom, prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresse e-mail, adresse postale, et numéro de téléphone.

D'après France Travail, il n'y a pas de risque de compromission de votre espace utilisateur, ni même de fuite de vos coordonnées bancaires : "Les mots de passe et les coordonnées bancaires ne sont pas concernés par cet acte de cybermalveillance. Il n’existe donc aucun risque sur l’indemnisation."

Désormais, cet ensemble de données devrait se retrouver en vente sur le Dark Web et il sera probablement exploité par les cybercriminels pour mener des campagnes de phishing dans le but de vous arnaquer. Bien qu'il n'y ait aucune certitude, le risque est élevé. Avec autant d'informations personnelles disponibles, les pirates peuvent facilement usurper l'identité de France Travail en vous contactant (voire même de l'Assurance Maladie).

Par ailleurs, FranceConnect ne permet plus de s'authentifier à partir de son compte Ameli. Il s'agit probablement d'une mesure préventive prise par le gouvernement, puisque l'identifiant du compte Ameli est le numéro de sécurité sociale et que ce dernier est présent dans la fuite de données associée à cet incident de sécurité.

Source

The post Cyberattaque France Travail : 43 millions de personnes menacées par une fuite de données ! first appeared on IT-Connect.

DDoS : la France ciblée par des cyberattaques d’une intensité inédite !

À quelques mois des Jeux Olympiques de Paris 2024, la pression continue de monter. Dimanche soir, plusieurs services de l'État ont été ciblés par des attaques informatiques d'une intensité inédite. À l'heure actuelle, certains sites restent inaccessibles. Voici ce que l'on sait.

Dimanche 10 mars 2024, dans la soirée, une vague d'attaques par déni de service distribué s'est abattu sur la France. Les pirates ont pris pour cible les sites de certaines entreprises, mais également plusieurs services de l'État : ministère de la Justice, ministère de la Culture, le site du Service à la personne, Géoportail, etc... Par exemple, les pirates ont attaqué une trentaine de sous-domaines de "gouv.fr". Au total, il y a eu au moins 200 sites visés simultanément, d'après le site Ouest France.

Dans le cas présent, l'objectif des pirates n'est pas de gagner de l'argent, mais plutôt de perturber et déstabiliser la cible, en l'occurrence, la France : ses services publics, ses entreprises. À l'heure actuelle, certains sites sont toujours indisponibles. Lundi 11 mars 2024, le gouvernement français a indiqué que ces attaques étaient d'une intensité inédite.

Pour parvenir à frapper fort, plusieurs groupes de pirates peuvent unir leurs forces pour mettre en œuvre des attaques par déni de service distribué (DDoS) dont l'objectif est de saturer une cible (ici, les sites web) jusqu'à la rendre indisponible et créer une interruption de service. Parmi les groupes qui participent à ces attaques, il y aurait les hacktivistes d'Anonymous Sudan qui ont pour habitude de s'en prendre "aux ennemis de la Russie". Même si ce groupe de hackers a revendiqué certaines de ces attaques sur Telegram, il convient de rester prudent quant à la crédibilité de cette information.

Il y a quelques jours, l'Union européenne a annoncé le lancement de son "Bouclier Cyber", un dispositif d'alerte qui vise à améliorer la détection des attaques informatiques et qui permettra aux pays européens d'unir leur force. Pour cela, l'Europe va s'appuyer sur un réseau de 6 ou 7 "cyber hubs" en charge de la détection des menaces et des attaques.

The post DDoS : la France ciblée par des cyberattaques d’une intensité inédite ! first appeared on IT-Connect.

Cyberattaque : la CISA, agence américaine de la cybersécurité, victime des failles Ivanti !

Fait très surprenant : l'agence américaine CISA, spécialisée dans la cybersécurité, a été victime d'une cyberattaque lors de laquelle les pirates ont exploité des failles de sécurité présentes dans les solutions Ivanti. Faisons le point sur cet incident de sécurité.

Pour ceux qui l'ignorent, aux États-Unis, la CISA c'est l'équivalent de l'ANSSI en France. À l'instar de l'ANSSI, cette agence américaine propose de nombreux guides de bonnes pratiques, de recommandations, parfois rédigés en collaboration avec la NSA. Elle est aussi garante d'un catalogue qui recense toutes les vulnérabilités connues et exploitées dans le cadre d'attaques.

Pourtant, des pirates sont parvenues à compromettre une partie de l'infrastructure de la CISA en exploitant des failles de sécurité présentes dans les systèmes Ivanti, et très largement exploitées depuis plusieurs semaines. D'ailleurs, le 29 février 2024, la CISA a mis en ligne un nouveau bulletin d'alerte pour indiquer que les cybercriminels exploitaient massivement les vulnérabilités présentes dans Ivanti Connect Secure et Policy Secure Gateways. L'agence américaine insiste bien sur le fait que les agences fédérales et les organisations privées doivent faire le nécessaire au plus vite pour se protéger (à croire que l'information n'a pas bien circulée en interne).

D'après des propos obtenus par les journalistes du site CNN, il y a eu deux systèmes impactés par cette cyberattaque. Le premier correspond à un programme permettant aux responsables fédéraux, étatiques et locaux de partager des outils d'évaluation de la cybersécurité et de la sécurité physique. Le second système, quant à lui, stocke des informations sur l'évaluation de la sécurité des installations chimiques, ce qui correspond à des informations sensibles.

Suite à cette cyberattaque, un porte-parole de la CISA a précisé qu'« il n'y a aucun impact opérationnel pour le moment ». Il a également précisé que l'agence américaine travaille sur son infrastructure afin de « mettre à niveau et de moderniser nos [ses] systèmes ».

Finalement, dans cette situation, l'expression "Les cordonniers sont souvent les plus mal chaussés" prend tout son sens... Et c'est surprenant, car la CISA était très bien informée sur le sujet...

The post Cyberattaque : la CISA, agence américaine de la cybersécurité, victime des failles Ivanti ! first appeared on IT-Connect.

❌