Vue lecture

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.

La faille matérielle GoFetch affecte les puces Apple M1, M2 et M3 et ne peut pas être corrigée !

GoFetch, c'est le nom d'une attaque qui exploite une faille de sécurité importante découverte dans les puces Apple M1, M2 et M3 utilisées par les générations les plus récentes de Mac. La particularité de cette vulnérabilité : elle ne peut pas être corrigée, à moins d'impacter très fortement les performances des puces fabriquées par Apple. Faisons le point !

Une équipe de chercheurs du MIT Computer Science & Artificial Intelligence Laboratory (CSAIL) a mis au point une technique d'attaque baptisée GoFetch, qui exploite une faille de sécurité matérielle présente dans les puces Apple Silicon. Cette attaque de type "side-channel" cible une fonction d'optimisation matérielle appelée Data Memory-dependent Prefetcher (DMP).

Le DMP est une fonction intégrée dans les puces Apple et qui a pour objectif d'aider le processeur à deviner les données dont il pourrait avoir besoin ensuite afin d'optimiser les performances (principe du prefetch). Dans le cas présent, l'attaque permet de tromper la fonction DMP afin qu'elle révèle des informations sensibles stockées en mémoire.

En effet, en exploitant GoFetch, un attaquant pourrait extraire des clés cryptographiques stockées sur un Mac (OpenSSL Diffie-Hellman, Go RSA, CRYSTALS Kyber et Dilithium) dans le but de contourner les opérations de chiffrement effectuées directement par la puce Apple Silicon. Il serait possible de compromettre les clés utilisées par divers algorithmes de chiffrement. In fine, ceci facilite l'accès aux données stockées sur le Mac.

Pour mener à bien cette attaque, l'attaquant doit convaincre la victime d'exécuter un malware (par l'intermédiaire d'un e-mail malveillant, par exemple). Le malware doit être exécuté en parallèle de l'application prise pour cible, et ce, pendant un certain temps afin de pouvoir voler la clé.

Comment se protéger de la faille GoFetch ?

GoFetch fait référence à une faille de sécurité matérielle dans l'architecture même des puces Apple, donc en raison de sa nature, il ne sera pas possible de corriger directement la vulnérabilité. L'intégration d'un correctif ou d'une mesure d'atténuation va passer par la couche logicielle.

Le problème, c'est que la mise en œuvre d'un quelconque correctif va très fortement dégrader les performances des puces Apple, en particulier les deux premières générations : Apple M1 et M2. D'ailleurs, au passage, cette histoire n'est pas sans rappeler les failles de sécurité Meltdown et Spectre qui touchaient de nombreux processeurs Intel et AMD et dont la correction impactait également les performances du processeur.

Pour en savoir plus, vous pouvez consulter le site officiel de GoFetch. Sur ce site, il est d'ailleurs précisé qu'un code PoC sera mis en ligne prochainement... Apple ne s'est pas encore exprimé au sujet de GoFetch. Affaire à suivre...

The post La faille matérielle GoFetch affecte les puces Apple M1, M2 et M3 et ne peut pas être corrigée ! first appeared on IT-Connect.

Cette faille critique dans FortiClient EMS permet d’exécuter du code à distance en tant que SYSTEM

Une faille de sécurité critique présente dans la solution FortiClient Enterprise Management Server (EMS) de chez Fortinet est activement exploitée par les cybercriminels ! Voici ce qu'il faut savoir sur cette menace !

Le 12 mars 2024, Fortinet a mis en ligne un bulletin de sécurité pour informer ses utilisateurs de la présence d'une vulnérabilité critique (score CVSSv3 de 9.3 sur 10) présente dans la solution FortiClient EMS.

Associée à la référence CVE-2023-48788, il s'agit d'une faiblesse de type "injection SQL" permettant à un attaquant non authentifié d'exécuter du code ou des commandes à distance sur la machine vulnérable. Autrement dit, un attaquant en mesure de communiquer avec un serveur vulnérable peut exécuter du code avec les privilèges SYSTEM dans le but de compromettre la machine.

Dans ce même bulletin de sécurité, nous pouvons lire ceci : "Cette vulnérabilité est exploitée dans la nature". De plus, mercredi 20 mars 2024, les chercheurs en sécurité de chez Horizon3.ai ont mis en ligne un rapport et un exploit PoC au sujet de cette faille de sécurité. Cet exploit se présente sous la forme d'un script Python et il est disponible sur GitHub.

"Pour transformer cette vulnérabilité d'injection SQL en exécution de code à distance, nous avons utilisé la fonctionnalité xp_cmdshell intégrée de Microsoft SQL Server.", peut-on lire dans le rapport d'Horizon3.ai. Cette fonction n'est pas activée par défaut sur SQL Server, ce qui explique de jouer certaines commandes en amont par l'intermédiaire de l'injection SQL.

Une recherche sur Shodan montre qu'il y a actuellement 446 serveurs FortiClient EMS exposés sur Internet, dont 13 en France et au Canada, 8 en Suisse et 4 en Belgique.

Shodan - CVE-2023-48788 - 21 mars 2024

Comment se protéger ?

Voici un tableau récapitulatif avec la liste des versions affectées et la liste des versions qui intègrent un correctif de sécurité pour la CVE-2023-48788.

Version (branche)Versions vulnérablesSolution
FortiClientEMS 7.27.2.0 à 7.2.2Mettre à niveau vers 7.2.3 ou supérieur
FortiClientEMS 7.07.0.1 à 7.0.10Mettre à niveau vers 7.0.11 ou supérieur

Source

The post Cette faille critique dans FortiClient EMS permet d’exécuter du code à distance en tant que SYSTEM first appeared on IT-Connect.

Une faille de sécurité dans Aiohttp exploitée par le gang de ransomware ShadowSyndicate

Le gang de ransomware ShadowSyndicate analyse les serveurs Web exposés sur Internet à la recherche de serveurs vulnérables à la CVE-2024-23334 présente dans une bibliothèque Python nommée "aiohttp". Faisons le point sur cette menace.

Aiohttp est une bibliothèque Python open-source capable de gérer de grandes quantités de requêtes HTTP en simultanés, de façon asynchrones. Elle est basée sur le framework d'E/S AsyncIO, lui aussi codé en Python. Cette bibliothèque est utilisée par les développeurs qui ont besoin de mettre en place des applications et des services web avec un niveau élevé de performances performance. Elle semble relativement populaire puisque la page du projet sur Pypi.org compte près de 14 500 Stars.

La faille de sécurité CVE-2024-23334 dans Aiohttp

Le 28 janvier 2024, les développeurs de la bibliothèque Aiohttp ont mis en ligne la version 3.9.2 dans le but de corriger une faille de sécurité importante associée à la référence CVE-2024-23334. Toutes les versions avant la version 3.9.2 sont affectées par cette faille de sécurité. Depuis, la version 3.9.3 a été publiée, et il y a même une release candidate de la version 3.9.4.

La CVE-2024-23334 est une faiblesse de type "Path transversal" pouvant permettre à un attaquant non authentifié d'accéder à des données sensibles hébergées sur le serveur applicatif. Voici ce que l'on peut lire sur le site du NIST : "Cela peut conduire à des vulnérabilités de traversée de répertoire, entraînant un accès non autorisé à des fichiers arbitraires sur le système, même lorsque les liens symboliques ne sont pas présents."

Désormais, cette vulnérabilité est bien connue et il existe plusieurs ressources permettant de faciliter son exploitation, notamment un PoC sur GitHub relayé sur X (Twitter) le 27 février 2024, ou encore cette vidéo YouTube publiée début mars.

Des tentatives d'exploitation depuis le 29 février 2024

D'après les analystes de Cyble, il y a eu des premières tentatives d'exploitation dès le 29 février, et à présent les scans et les tentatives d'exploitation s'intensifient. Plusieurs adresses IP différentes sont à l'origine de ces tentatives, et précédemment, l'une de ces adresses IP a été associée au gang de ransomware ShadowSyndicate. Il s'agit d'un groupe de cybercriminels lancé en juillet 2022.

Voici les adresses IP malveillantes identifiées par Cyble :

  • 81[.]19[.]136[.]251
  • 157[.]230[.]143[.]100
  • 170[.]64[.]174[.]95
  • 103[.]151[.]172[.]28
  • 143[.]244[.]188[.]172

Toujours d'après les informations fournies par Cyble, à l'aide du scanner ODIN (voir cette page), il y aurait actuellement plus de 44 500 serveurs exposés sur Internet où l'en-tête HTTP correspond à Aiohttp. Ceci ne veut pas dire que ces serveurs sont vulnérables, car tout dépend de la version utilisée.

Comme le montre le graphique ci-dessous, il y a environ 1 300 hôtes situés en France : ce sont des cibles potentielles.

Vulnérabilité CVE-2024-23334 dans Aiohttp - Mars 2024

Si vous utilisez la bibliothèque Aiohttp, vous devez passer sur la version 3.9.2 ou supérieure, dès que possible.

Source

The post Une faille de sécurité dans Aiohttp exploitée par le gang de ransomware ShadowSyndicate first appeared on IT-Connect.

GhostRace – Nouvelle attaque de type Spectre / Meltdown contre les processeurs

Accrochez-vous bien à vos chaises (ou à vos hamacs, je ne juge pas 😉) car des chercheurs en sécurité nous ont encore pondu une nouvelle attaque qui devrait bien faire stresser sur la sécurité de vos CPU !

Oui je sais, on en a déjà vu des vertes et des pas mûres avec Spectre, Meltdown et toute la clique… Mais là, c’est tout aussi lourd. Ça s’appelle GhostRace et ça va vous hanter jusque dans vos cauchemars !

En gros, c’est une variante de Spectre qui arrive à contourner toutes les protections logicielles contre les race conditions. Les mecs de chez IBM et de l’université d’Amsterdam ont donc trouvé un moyen d’exploiter l’exécution spéculative des processeurs (le truc qui leur permet de deviner et d’exécuter les instructions à l’avance) pour court-circuiter les fameux mutex et autres spinlocks qui sont censés empêcher que plusieurs processus accèdent en même temps à une ressource partagée.

Résultat des courses: les attaquants peuvent provoquer des race conditions de manière spéculative et en profiter pour fouiner dans la mémoire et chopper des données sensibles ! C’est vicieux… En plus de ça, l’attaque fonctionne sur tous les processeurs connus (Intel, AMD, ARM, IBM) et sur n’importe quel OS ou hyperviseur qui utilise ce genre de primitives de synchronisation. Donc en gros, personne n’est à l’abri !

Les chercheurs ont même créé un scanner qui leur a permis de trouver plus de 1200 failles potentielles rien que dans le noyau Linux. Et leur PoC arrive à siphonner la mémoire utilisée par le kernel à la vitesse de 12 Ko/s. Bon après, faut quand même un accès local pour exploiter tout ça, mais quand même, ça la fout mal…

Bref, c’est la grosse panique chez les fabricants de CPU et les éditeurs de systèmes qui sont tous en train de se renvoyer la balle façon ping-pong. 🏓 Les premiers disent « mettez à jour vos OS« , les seconds répondent « patchez d’abord vos CPU !« . En attendant, c’est nous qui trinquons hein…

Mais y’a quand même une lueur d’espoir: les chercheurs ont aussi proposé une solution pour « mitiger » le problème. Ça consiste à ajouter des instructions de sérialisation dans toutes les primitives de synchronisation vulnérables. Bon ok, ça a un coût en perfs (5% sur LMBench quand même) mais au moins ça colmate les brèches. Reste plus qu’à convaincre Linus Torvalds et sa bande de l’implémenter maintenant… 😒

En attendant, je vous conseille de garder l’œil sur les mises à jour de sécurité de votre OS et de votre microcode, on sait jamais ! Et si vous voulez en savoir plus sur les dessous techniques de l’attaque, jetez un œil au white paper et au blog des chercheurs, c’est passionnant.

A la prochaine pour de nouvelles (més)aventures !

Cette faille critique dans le VPN SSL de Fortinet affecte toujours près de 150 000 appareils !

Il y a un mois, nous apprenions l'existence d'une nouvelle faille de sécurité critique présente dans la fonction de VPN SSL des appareils FortiGate et FortiProxy de chez Fortinet. Aujourd'hui encore, il y a encore près de 150 000 équipements vulnérables. Faisons le point sur cette menace.

Rappel sur la CVE-2024-21762

La vulnérabilité associée à la référence CVE-2024-21762 est une faille de sécurité critique de type "out-of-bounds write", avec un score CVSS est de 9.6 sur 10, présente dans le système FortiOS de Fortinet. D'après l'entreprise américaine, cette vulnérabilité affecte les firewalls FortiGate et les équipements FortiProxy. En l'exploitant, un attaquant non authentifié peut exécuter du code à distance sur l'équipement pris pour cible, à l'aide d'une requête spécialement conçue dans ce but.

D'ailleurs, d'après l'agence américaine CISA, cette vulnérabilité a été activement exploitée dans la foulée de sa divulgation. La CISA avait ordonné aux agences fédérales américaines de protéger leurs appareils FortiOS contre cette vulnérabilité avant le 16 février 2024.

Près de 150 000 équipements vulnérables

D'après les derniers chiffres de The Shadowserver Foundation, au niveau mondial, il y a encore environ 150 000 équipements exposés sur Internet et vulnérables à la faille de sécurité CVE-2024-21762. Ce chiffre est fou, surtout que cette vulnérabilité a été très largement médiatisée...

Si l'on regarde la carte publiée par The Shadowserver Foundation, nous pouvons constater qu'il y a plus de 4 400 équipements Fortinet vulnérables en France, au même titre qu'au Canada, à quelques équipements près. En Suisse, il y a 1 700 équipements vulnérables, tandis qu'on en compte approximativement 1 500 pour la Belgique. À titre de comparaison, il y en a plus de 24 000 aux États-Unis.

J'en profite pour rappeler qu'il existe des correctifs de sécurité, publiés par Fortinet et disponible depuis 1 mois. Enfin, sachez que vous pouvez vérifier si votre VPN SSL est vulnérable en exécutant ce script Python développé par les chercheurs de la société BishopFox.

Source

The post Cette faille critique dans le VPN SSL de Fortinet affecte toujours près de 150 000 appareils ! first appeared on IT-Connect.

Windows : le groupe Lazarus a exploité cette faille de sécurité zero-day dans AppLocker !

Dans le cadre de ses activités malveillantes, le célèbre groupe Lazarus a exploité une faille de sécurité présente dans le pilote AppLocker de Windows. Grâce à cette vulnérabilité, les hackers ont pu obtenir un accès au niveau du noyau et désactiver les outils de sécurité présents sur la machine. Faisons le point.

CVE-2024-21338, c'est la référence CVE associée à la faille de sécurité exploitée par le groupe de hackers nord-coréen Lazarus. Microsoft l'a patché le 13 février dernier, à l'occasion de son Patch Tuesday de février 2024.

Les experts d'Avast ont mis en ligne un nouveau rapport pour évoquer ces cyberattaques. Il permet d'apprendre que le groupe Lazarus a exploité cette vulnérabilité par l'intermédiaire d'une nouvelle version de son rootkit FudModule. Ce dernier est désormais plus furtif et plus difficile à détecter, en plus d'être capable de désactiver les solutions de sécurité présentes sur la machine Windows, notamment Microsoft Defender et CrowdStrike Falcon.

Avast explique également que le groupe Lazarus a exploité cette faille de sécurité en tant que zero-day, ce qui signifie qu'il n'existait pas encore de patch de sécurité. Avast a détecté cette vulnérabilité et l'a signalée à Microsoft. "L'exploitation de la vulnérabilité zero-day constitue une autre étape importante, alors que Lazarus utilisait auparavant des techniques BYOVD (Bring Your Own Vulnerable Driver) beaucoup plus bruyantes pour franchir la frontière entre l'administrateur et le noyau.", peut-on lire.

Quelles sont les versions de Windows affectées ? Quels sont les risques ?

Si l'on se réfère au site de Microsoft, nous pouvons voir que cette vulnérabilité affecte Windows 10 version 1809 et supérieur, Windows 11, ainsi que Windows Server 2019 et Windows Server 2022. "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM.", précise Microsoft.

Dans le cas présent, c'est le logiciel malveillant déployé sur la machine qui va directement exploiter cette vulnérabilité présente dans le pilote "appid.sys" utilisé par AppLocker afin d'obtenir une liste blanche d'applications. Ainsi, ils ont accès au noyau de l'OS et peuvent en prendre le contrôle.

Pour vous protéger, vous n'avez qu'une seule option : installer les dernières mises à jour sur vos machines Windows et Windows Server.

Source

The post Windows : le groupe Lazarus a exploité cette faille de sécurité zero-day dans AppLocker ! first appeared on IT-Connect.

WordPress : cette vulnérabilité dans LiteSpeed expose des millions de sites !

Une faille de sécurité critique a été découverte et corrigée dans l'extension WordPress nommée LiteSpeed Cache. Il s'agit d'une extension populaire : on parle de 5 millions d'installations actives. Faisons le point.

LiteSpeed Cache est une extension pour WordPress dont l'objectif est d'améliorer la vitesse de votre site web grâce à diverses optimisations autour de la mise en cache, du chargement différé de ressources, ou encore de la minification de fichiers JavaScript et CSS. À ce jour, on compte plus de 5 millions d'installations actives de cette extension.

La faille de sécurité critique qui a fait l'objet d'un rapport détaillé sur le blog de Patchstack est associée à la référence CVE-2023-40000. Même si elle est mise en lumière seulement maintenant, elle n'est pas récente puisqu'elle a été corrigée en octobre 2023 au sein de la version 5.7.0.1 de l'extension LiteSpeed Cache. En fait, elle a été découverte le 17 octobre 2023 par Patchstack, qui l'a ensuite remonté au développeur de l'extension, qui a mis en ligne un correctif le 25 octobre 2023.

Il s'agit d'une vulnérabilité de type XSS qui est exploitable à distance, sans être authentifié. Un attaquant peut élever ses privilèges grâce à cette faille de sécurité. Le chercheur en sécurité Rafie Muhammad précise : "[Elle] pourrait permettre à n'importe quel utilisateur non authentifié de voler des informations sensibles et, dans ce cas, d'escalader les privilèges sur le site WordPress en effectuant une seule requête HTTP.

WordPress LiteSpeed Cache - CVE-2023-40000

Comment se protéger ?

Depuis tout ce temps, d'autres versions de LiteSpeed Cache ont été publiées. Aujourd'hui, la dernière version est la 6.1 et elle a été publiée le 5 février 2024. Si vous effectuez un suivi régulier de vos mises à jour, vous êtes probablement déjà protégés.

Au minimum, pour vous protéger, vous devez passer sur la version 5.7.0.1 ou supérieure dès que possible.

À en croire les statistiques relatives aux versions actives, il y a encore 39,8% des installations actives qui tournent sur une version inférieure à la version 5.7 de l'extension. Sans compter 10.8% d'installations actives sur la version 5.7. Cependant, les chiffres ne sont pas assez précis pour savoir s'il s'agit de la version 5.7.0.1 ou non.

WordPress LiteSpeed Cache - CVE-2023-40000 - Stats

Source

The post WordPress : cette vulnérabilité dans LiteSpeed expose des millions de sites ! first appeared on IT-Connect.

Patchez ScreenConnect : une faille critique est exploitée par les gangs de ransomware Black Basta et Bl00dy

Une faille de sécurité critique découverte dans l'application ScreenConnect Server est très appréciée par les cybercriminels. Elle est exploitée par plusieurs gangs, dont Black Basta et Bl00dy. Faisons le point.

ScreenConnect et la faille de sécurité CVE-2024-1709

Lundi 19 février 2024, ConnectWise, éditeur de la solution ScreenConnect, a mis en ligne un bulletin de sécurité pour évoquer une faille de sécurité critique présente dans la partie "Serveur" de son application : CVE-2024-1709. ScreenConnect est une solution de prise en main à distance, et vous avez la possibilité d'héberger votre propre serveur, ou d'utiliser l'infrastructure de ConnectWise.

En exploitant cette vulnérabilité, un attaquant peut contourner l'authentification et exécuter du code à distance, sans aucune interaction de la part d'un utilisateur. La vulnérabilité est facile à exploiter et implique que l'attaquant soit en mesure de communiquer avec le serveur ScreenConnect. Résultat, elle peut être utilisée pour compromettre le serveur grâce à la création d'un compte administrateur.

Le problème, c'est qu'il y a énormément de serveurs ScreenConnect exposés sur Internet : on parle de plus de 10 000 serveurs, si l'on effectue une recherche via Shodan. Seuls environ 15% de ces serveurs utilisent la version 23.9.8 permettant de se protéger.

ConnectWise invite ses utilisateurs à patcher leur serveur dès que possible : "ConnectWise recommande aux partenaires de procéder immédiatement à une mise à jour vers la version 23.9.8 ou une version plus récente afin de remédier aux vulnérabilités signalées." - D'ailleurs, vous devez suivre l'upgrade path suivant : 2.1 → 2.5 → 3.1 → 4.4 → 5.4 → 19.2 → 22.8 → 23.3 → 23.9.

Remarque : ConnectWise a également corrigé la vulnérabilité CVE-2024-1708, de type Path-traversal.

Une vulnérabilité exploitée par plusieurs groupes de cybercriminels

Depuis une semaine, et un jour après la mise en ligne du correctif de sécurité, cette vulnérabilité est exploitée massivement par les cybercriminels. D'après Shadowserver, il y a plusieurs dizaines d'adresses IP à l'origine d'attaques à destination de serveurs ScreenConnect, dans le but de les compromettre en exploitant la faille de sécurité CVE-2024-1709.

Désormais, nous savons que les gangs de ransomware Black Basta et Bl00dy sont sur le coup ! Les chercheurs de Trend Micro ont fait cette découverte lors de l'analyse de plusieurs incidents de sécurité. Après avoir compromis le serveur ScreenConnect, les pirates ont pu accéder au réseau de l'entreprise ciblée pour déployer un web shell.

Trend Micro évoque également des notes de rançon, ainsi que d'autres malwares tel que XWorm, un logiciel malveillant assez polyvalent (remote access trojan avec des fonctions de ransomware).

Si vous utilisez ScreenConnect, patchez dès que possible ! Cette faille de sécurité critique est massivement exploitée par les gangs de ransomware !

Source

The post Patchez ScreenConnect : une faille critique est exploitée par les gangs de ransomware Black Basta et Bl00dy first appeared on IT-Connect.

Plusieurs failles de sécurité XSS découvertes dans Joomla exposent des sites Web !

Joomla, un système de gestion de contenus similaire à WordPress, est affecté par 5 failles de sécurité qui peuvent permettre à un attaquant d'exécuter du code arbitraire grâce à des failles XSS. Faisons le point sur cette menace.

Même s'il n'est pas aussi populaire que WordPress, Joomla représente une alternative sérieuse et ce CMS est utilisé aujourd'hui pour faire tourner au moins 1,6 million de sites web (d'après une donnée de 2020).

Un nouveau bulletin de sécurité a été publié sur le site de Joomla pour avertir les utilisateurs de la présence de 5 failles de sécurité dans le core du CMS. Voici la liste des vulnérabilités en question :

  • CVE-2024-21722 : la fonctionnalité de gestion du MFA ne termine pas correctement les sessions d'un utilisateur lorsqu'il modifie ses méthodes d'authentification associées au MFA
  • CVE-2024-21723 : Une analyse inadéquate des URLs pourrait entraîner une redirection ouverte.
  • CVE-2024-21724 : Une validation inadéquate lors de la sélection d'un média est à l'origine de plusieurs vulnérabilités de type cross-site scripting (XSS) dans diverses extensions.
  • CVE-2024-21725 : Un échappement inadéquat des adresses de messagerie entraîne des vulnérabilités de type XSS dans divers composants.
  • CVE-2024-21726 : Un filtrage inadéquat du contenu dans le code de filtrage conduit à des vulnérabilités de type XSS.

D'après les informations disponibles sur le site de Joomla, la CVE-2024-21725 elle celle qui représente le risque le plus élevé. Un rapport publié par Stefan Schiller sur le site de Sonar donne des précisions sur une autre vulnérabilité, la CVE-2024-21726, découverte par l'équipe de chercheurs en sécurité de Sonar.

Ce rapport précise : "Les attaquants peuvent tirer parti de ce problème de sécurité pour exécuter un code à distance en incitant un administrateur à cliquer sur un lien malveillant." - En effet, une vulnérabilité de type XSS peut permettre à un attaquant d'injecter des scripts malveillants dans le contenu diffusé aux autres utilisateurs du site, ce qui permet d'exécuter un script malveillant dans le navigateur de la victime.

Comment se protéger ?

Joomla a mis en ligne de nouvelles versions de son CMS pour vous protéger de ces vulnérabilités : Joomla 5.0.3 et Joomla 4.4.3. Vous devez installer cette mise à jour de sécurité dès que possible. Sonar vous encourage également à agir rapidement : "Nous ne divulguerons pas de détails techniques pour l'instant, mais nous tenons à souligner l'importance d'une action rapide pour atténuer ce risque."

Source

The post Plusieurs failles de sécurité XSS découvertes dans Joomla exposent des sites Web ! first appeared on IT-Connect.

Si vous utilisez ce plugin d’authentification VMware, vous devez le désinstaller dès maintenant !

Si vous utilisez VMware vSphere et que VMware Enhanced Authentication Plug-in (EAP) est installé sur votre machine, vous devez le désinstaller dès que possible : il contient deux failles de sécurité qui ne seront pas corrigées par VMware, car c'est un composant en fin de vie. Faisons le point.

VMware a mis en ligne un nouveau bulletin de sécurité pour deux vulnérabilités présentes dans le plugin "VMware Enhanced Authentication". Il s'agit d'un logiciel qui s'installe sur Windows et qui permet de bénéficier d'une authentification transparente sur la console de gestion de vSphere, en s'appuyant sur l'authentification Windows et la fonctionnalité de carte à puce de Windows.

Il est encore utilisé aujourd'hui par des administrateurs systèmes, bien qu'il soit obsolète et en fin de vie depuis mars 2021, suite à la sortie de VMware vCenter Server 7.0 Update 2. "VMware prévoit d'interrompre la prise en charge de l'authentification de session Windows (SSPI) utilisée dans le cadre de l'Enhanced Authentication Plug-in, de la prise en charge des cartes à puce et de RSA SecurID pour vCenter Server.", précise le journal des modifications de cette version.

VMware Enhanced Authentication Plug-in : CVE-2024-22245 et CVE-2024-22250

Le nouveau bulletin de sécurité de VMware fait référence à ces deux vulnérabilités :

  • CVE-2024-22245 :

Il s'agit d'une vulnérabilité critique associée à un score CVSS de 9.6 sur 10. Elle peut être utilisée pour relayer des tickets de service Kerberos. VMware précise qu'un attaquant pourrait un utilisateur cible en "demandant et en relayant des tickets de service pour des Service Principal Names (SPN) arbitraires d'Active Directory".

  • CVE-2024-22250 :

Il s'agit d'une vulnérabilité importante associée à un score CVSS de 7.8 sur 10 et qui va permettre d'effectuer une élévation de privilèges. Elle peut être exploitée par un attaquant qui dispose déjà d'un accès local non privilégié sur une machine Windows. Grâce à cette vulnérabilité, il peut détourner une session EAP privilégiée lorsqu'elle est initiée par un utilisateur de domaine privilégié sur le même système.

Comment se protéger ?

Il n'y a pas et il n'y aura pas de correctif pour ces deux vulnérabilités. VMware invite les administrateurs systèmes à ne plus utiliser l'EAP, ce qui signifie qu'il faut désinstaller le plugin de votre navigateur et/ou l'application pour Windows associée à un service. Ceci fait référence à "VMware Enhanced Authentication Plug-in 6.7.0" et "VMware Plug-in Service".

Pour vous accompagner dans cette démarche, VMware a mis en ligne un nouvel article de support avec des instructions. En fait, vous pouvez utiliser l'interface graphique de Windows pour désinstaller les applications (méthode classique) ou utiliser les commandes PowerShell suivantes :

# VMware Enhanced Authentication Plug-in 6.7.0
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Enhanced Authentication Plug-in")}).Uninstall()
# VMware Plug-in Service
(Get-WmiObject -Class Win32_Product | Where-Object{$_.Name.StartsWith("VMware Plug-in Service")}).Uninstall()

Si vous ne pouvez pas faire la désinstallation dans l'immédiat, VMware vous encourage à arrêter et désactiver le service. Voici les commandes fournies :

Stop-Service -Name "CipMsgProxyService"
Set-Service -Name "CipMsgProxyService" -StartupType "Disabled"

Pour finir, je tiens à préciser que le composant VMware Enhanced Authentication n'est pas installé par défaut, y compris sur le serveur VMware vCenter.

Si vous avez des interrogations, vous pouvez commenter cet article ou vous référer à la documentation de VMware.

Source

The post Si vous utilisez ce plugin d’authentification VMware, vous devez le désinstaller dès maintenant ! first appeared on IT-Connect.

CVE-2024-21410 – Au moins 28 500 serveurs Exchange vulnérables à cette faille de sécurité exploitée !

À l'heure où ces lignes sont écrites, il y a au moins 28 500 serveurs de messagerie Exchange vulnérables à la nouvelle faille de sécurité critique CVE-2024-21410 patchée la semaine dernière par Microsoft. En réalité, le nombre de serveurs vulnérables pourrait être beaucoup plus élevé. Faisons le point !

À l'occasion de son Patch Tuesday de Février 2024, Microsoft a corrigé 73 failles de sécurité, ainsi que plusieurs failles zero-day. C'est notamment le cas de la CVE-2024-21410, car cette vulnérabilité présente dans Microsoft Exchange Server a été exploitée par les pirates en tant que faille zero-day avant qu'elle ne soit patchée.

Associée à un score CVSS v3.1 de 9.8 sur 10, cette faille de sécurité critique permet à un attaquant non authentifié d'élever ses privilèges en s'appuyant sur une attaque par relais NTLM ciblant un serveur Microsoft Exchange vulnérable.

Comme souvent, le service de monitoring The Shadowserver a mis en ligne quelques statistiques intéressantes pour nous indiquer combien il y a de machines potentielles vulnérables. Les serveurs Exchange étant, généralement, exposés sur Internet, il est possible de les sonder et de récupérer le numéro de version.

Ainsi, sur un total de 97 000 serveurs Exchange identifiés, il y a 28 500 serveurs qui sont vulnérables à la vulnérabilité CVE-2024-21410. Pour environ 68 500 serveurs, l'état est inconnu puisque cela dépend si les administrateurs ont appliqué ou non les mesures d'atténuation. Nous pouvons imaginer que c'est le cas pour une partie des serveurs, mais pas pour tous... Ce qui augmente forcément le nombre de serveurs vulnérables.

La France, dans le Top 5

En ce qui concerne les pays avec le plus de serveurs Exchange vulnérables, The Shadowserver a publié une liste sur cette page. Voici le Top 5 :

PaysNombre d'adresses IP uniques
Allemagne22 903
États-Unis19 434
Royaume-Uni3 665
Pays-Bas3 108
France3 074

Nous savons que cette vulnérabilité est exploitée dans le cadre d'attaques. À l'heure actuelle, aucun exploit PoC public semble être disponible. Pour autant, il convient de se protéger dès que possible.

Comment se protéger ?

Sur Exchange Server 2019, vous devez installer la Cumulatice Update 14 (CU14) pour vous protéger. Pour en savoir plus sur cette vulnérabilité, et savoir comment se protéger sur les différentes versions d'Exchange Server, consultez notre article ci-dessous :

Source

The post CVE-2024-21410 – Au moins 28 500 serveurs Exchange vulnérables à cette faille de sécurité exploitée ! first appeared on IT-Connect.

Microsoft Exchange affecté par une nouvelle faille zero-day : CVE-2024-21410

Microsoft a actualisé le bulletin de sécurité associé à la faille de sécurité CVE-2024-21410. La raison ? Il s'avère que cette vulnérabilité présente dans Exchange Server a été exploitée par les pirates en tant que faille zero-day avant qu'elle ne soit patchée. Faisons le point.

La faille de sécurité CVE-2024-21410 est considérée comme étant critique puisqu'elle hérite d'un score CVSS v3.1 de 9.8 sur 10. Elle a été divulguée par Microsoft ce mardi 13 février 2024 à l'occasion de la sortie du nouveau Patch Tuesday.

En l'exploitant, un attaquant non authentifié peut élever ses privilèges en s'appuyant sur une attaque par relais NTLM ciblant un serveur Microsoft Exchange vulnérable. Cela signifie que l'attaquant va parvenir à s'authentifier auprès du serveur de messagerie en usurpant l'identité de l'utilisateur pris pour cible.

Sur son site, Microsoft explique : "Un attaquant peut cibler un client NTLM tel qu'Outlook avec une vulnérabilité de type NTLM credentials-leaking. Les informations d'identification divulguées peuvent alors être relayées contre le serveur Exchange pour obtenir des privilèges en tant que client victime et effectuer des opérations sur le serveur Exchange au nom de la victime."

Comment se protéger ?

Pour vous protéger, Microsoft a publié une nouvelle cumulative update pour Exchange Server 2019 dont l'objectif est d'activer Exchange Extended Protection for Authentication (EPA). Le fait d'activer cette fonctionnalité va vous protéger contre les attaques de type relais NTLM et man-in-the-middle, ce qui permet de bloquer les tentatives d'exploitation de cette vulnérabilité.

Sur Exchange Server 2019, le fait d'installer la mise à jour "Microsoft Exchange Server 2019 Cumulative Update 14" va permettre d'activer par défaut l'Extended Protection for Authentication, ce qui va vous protéger. Pour les versions plus anciennes, vous devez l'activer vous-même à l'aide d'un script. Mais attention, en fonction de l'usage qui est fait de l'Exchange Server, le fait d'activer cette fonctionnalité de sécurité peut avoir des effets de bords.

Voici des scripts utiles pour vous aider :

Source

The post Microsoft Exchange affecté par une nouvelle faille zero-day : CVE-2024-21410 first appeared on IT-Connect.

D’après la CISA, la faille de sécurité critique dans le VPN SSL de Fortinet est déjà exploitée !

La nouvelle est tombée le vendredi 9 février 2024 : les firewalls Fortinet sont affectés par une faille de sécurité critique présente dans la fonction VPN SSL de FortiOS. Une vulnérabilité qui serait exploitée dans le cadre d'attaques, d'après la CISA. Voici les dernières informations.

Pour rappel, cette nouvelle faille de sécurité critique de type "out-of-bounds write", associée à la référence CVE-2024-21762 et à un score CVSS de 9.6 sur 10, a été identifiée sur le système FortiOS. Elle permet à un attaquant non authentifié d'exécuter du code à distance sur le firewall Fortinet, à l'aide d'une requête spécialement conçue dans ce but.

Suite à la divulgation et à la correction de cette faille de sécurité dans plusieurs versions de FortiOS, Fortinet a mis en ligne un bulletin de sécurité. D'ailleurs, dans ce bulletin de sécurité, il est précisé : "Cette vulnérabilité est potentiellement exploitée dans la nature." - Ce qui laisse planer le doute : Fortinet ne semble pas certain que la vulnérabilité soit exploitée dans le cadre d'attaques.

Du côté de la CISA, l'agence américaine spécialisée dans la cybersécurité, c'est plus clair : la faille de sécurité CVE-2024-21762 a été ajoutée au catalogue de la CISA qui référence les vulnérabilités connues et exploitées dans le cadre d'attaques. Ceci est visible sur cette page.

Aux États-Unis, le fait que cette vulnérabilité soit ajoutée à ce référentiel n'est pas anodin. En effet, ceci permet à la CISA d'ordonner aux agences fédérales américaines de protéger leurs appareils FortiOS contre cette vulnérabilité dans un délai de 7 jours, soit avant le 16 février 2024 dans le cas présent. Ceci est probablement la preuve qu'il y a un risque élevé associé à cette faille de sécurité.

Enfin, il est important de préciser que cette vulnérabilité affecte également FortiProxy, comme le montre le tableau ci-dessous. La version disponible dans un premier temps faisait mention uniquement de FortiOS, mais FortiProxy est venu s'ajouter à son tour.

FortiOS et FortiProxy - CVE-2024-21762

Un autre bulletin de sécurité fait référence à la CVE-2024-23113 : une faille de sécurité critique permettant une exécution de code à distance et présente dans FortiOS, FortiPAM, FortiProxy et FortiSwitchManager.

The post D’après la CISA, la faille de sécurité critique dans le VPN SSL de Fortinet est déjà exploitée ! first appeared on IT-Connect.

Fortinet – CVE-2024-21762 : la fonction VPN SSL affectée par une nouvelle faille de sécurité critique !

Depuis plusieurs jours, il y avait quelques rumeurs sur le sujet. Désormais, c'est officiel : une nouvelle faille de sécurité critique est présente dans la fonction VPN SSL des firewalls Fortinet. Il est fort probable qu'elle soit déjà exploitée. Voici ce qu'il faut savoir.

Il y a un peu plus d'un an, une importante faille de sécurité avait été découverte dans la fonction VPN SSL de FortiOS, le système utilisé par les firewalls Fortinet. Malheureusement, l'histoire semble se répéter.

Une nouvelle faille de sécurité critique de type "out-of-bounds write", associée à la référence CVE-2024-21762 et à un score CVSS de 9.6 sur 10, a été identifiée sur le système FortiOS. Elle permet à un attaquant non authentifié d'exécuter du code à distance sur le firewall Fortinet, à l'aide d'une requête spécialement conçue dans ce but. On peut imaginer que cette vulnérabilité permette de compromettre le firewall.

Pour rendre accessible l'interface VPN SSL permettant la connexion des clients VPN distants, le firewall Fortinet doit être exposé sur Internet. De ce fait, si vous utilisez la fonction de VPN SSL, votre firewall est probablement vulnérable à cette attaque. Dans le bulletin de sécurité de Fortinet, il est précisé : "Cette vulnérabilité est potentiellement exploitée dans la nature.", mais nous ne savons pas ni comment, ni par qui. Ce sera à suivre de près dans les prochains jours.

Les versions de FortiOS vulnérables et comment se protéger ?

Comme le montre le tableau ci-dessous, cette vulnérabilité affecte quasiment toutes les versions de FortiOS, à part la version FortiOS 7.6. Pour toutes les autres versions, vous devez effectuer une mise à jour (colonne "Solution").

Fortinet VPN SSL - CVE-2024-21762

Les équipements Fortinet étant très populaires, ils sont une cible privilégiée par plusieurs groupes de cybercriminels. Si vous utilisez un firewall Fortinet, il est plus que recommandé d'effectuer la mise à jour dès que possible. Maintenant que la faille est divulguée, il est probable qu'elle soit exploitée massivement dans les prochains jours...

Si vous ne pouvez pas appliquer le correctif dès maintenant, vous devez désactiver l'accès VPN SSL temporairement. À ce sujet, Fortinet précise : "Désactiver le mode web n'est PAS une solution valable.".

Source

The post Fortinet – CVE-2024-21762 : la fonction VPN SSL affectée par une nouvelle faille de sécurité critique ! first appeared on IT-Connect.

Debian, Ubuntu, Red Hat, etc. : une faille de sécurité critique a été corrigée dans le bootloader Shim

Une faille de sécurité critique a été découverte dans le bootloader Shim utilisé par des distributions Linux populaires telles que Debian, Ubuntu et Red Hat. En l'exploitant, un attaquant peut exécuter du code sur la machine avant même que les fonctions de sécurité du système soient chargées. Faisons le point.

Qu'est-ce que Shim ?

Shim est un bootloader open source, ou un chargeur d'amorçage en français. Il a pour objectif d'être initialisé par le firmware pour servir d'intermédiaire entre le matériel et le système d'exploitation. Autrement dit, il est chargé avant le système d'exploitation lui-même. Dans le cas d'une machine sous Linux, Shim intervient avant le chargement de GRUB2.

Maintenu par Red Hat et signé avec une clé Microsoft, Shim sert à ajouter la prise en charge du Secure Boot sur les machines avec de l'UEFI. En principe, le Secure Boot est là pour renforcer la sécurité de la machine en évitant que du code malveillant puisse être exécuté pendant le processus de démarrage.

La vulnérabilité CVE-2023-40547 dans Shim

Bill Demirkapi, un chercheur en sécurité de chez Microsoft, a fait la découverte d'une faille de sécurité critique dans Shim. Associée à la référence CVE-2023-40547, elle a été divulguée pour la première fois le 24 janvier 2024.

La faille de sécurité de type "out-of-bounds write" se situe dans le composant "httpboot.c" qui est utilisé par Shim pour charger une image réseau via le protocole HTTP. A partir d'une requête HTTP spécialement conçue pour exploiter cette vulnérabilité, un attaquant peut compromettre une machine via l'exécution de code privilégié avant même que le système d'exploitation soit chargé. Ainsi, le code malveillant peut agir avant que les fonctions de sécurité du système soient activées.

Dans un rapport publié au sujet de cette vulnérabilité, la société Eclypsium évoque trois scénarios d'exploitation possibles :

  • Une attaque à distance basée sur un scénario man-in-the-middle, où l'attaquant va se positionner entre la machine qui effectue un boot réseau et le serveur HTTP où la machine doit récupérer l'image.
  • Une attaque en local basée sur l'utilisation d'un live CD Linux (ou d'une clé USB bootable) pour modifier les variables EFI ou la partition EFI de la machine.
  • Une attaque via le réseau local où le pirate s'appuie sur un serveur PXE malveillant

Comment se protéger ?

Le 5 décembre 2023, Red Hat a mis à jour Shim pour corriger la faille de sécurité découverte par Bill Demirkapi. La version 15.8 de Shim permet de se protéger.

Désormais, il faut que cette modification soit prise en charge dans les différentes distributions où Shim est utilisée. Il y a déjà plusieurs bulletins de sécurité disponibles du côté de Red Hat, SUSE, Debian et Ubuntu.

Enfin, Eclypsium explique qu'en plus de la mise à jour Shim, les utilisateurs doivent mettre à jour la liste de récovation DBX du Secure Boot UEFI. Cette opération peut être effectuée via l'interface graphique de Linux, ou en ligne de commande via "fwupdmgr update" qui s'appuie sur le paquet fwupd.

Source

The post Debian, Ubuntu, Red Hat, etc. : une faille de sécurité critique a été corrigée dans le bootloader Shim first appeared on IT-Connect.

Solutions Ivanti : les pirates exploitent massivement une nouvelle faille zero-day (CVE-2024-21893) !

Depuis plusieurs semaines, la situation est très compliquée pour l'éditeur Ivanti et ses clients : une nouvelle faille de sécurité zero-day a été découverte dans les solutions Ivanti Connect Secure et Ivanti Policy Secure. Les pirates l'exploitent massivement dans le cadre de cyberattaques. Faisons le point sur la situation.

Le 31 janvier 2024, Ivanti a tiré la sonnette d'alarme pour avertir ses clients de la présence d'une nouvelle faille zero-day dans ses solutions, notamment au sein du composant SAML, en publiant un nouveau bulletin de sécurité. Désormais, cette faille de sécurité, de type SSRF (Server-Side Request Forgery) est associée à la référence CVE-2024-21893. Plusieurs agences, dont l'ANSSI au niveau français, ainsi que l'agence américaine CISA, ont publiées des alertes de sécurité pour cette nouvelle CVE.

Depuis le 2 février, la vulnérabilité est massivement exploitée par les cybercriminels ! Il faut dire qu'il y a plusieurs exploits PoC disponibles sur Internet, comme sur cette page. D'après le service de monitoring TheShadowServer, 170 adresses IP différentes sont à l'origine d'attaques ayant pour objectif de compromettre des instances Ivanti. Il faut dire que cette faille est intéressante pour les pirates puisqu'elle s'exploite à distance, et lorsque, l'attaque réussie, elle permet d'outrepasser l'authentification et d'accéder à certaines ressources.

Ivanti CVE-2024-21893

Toujours d'après TheShadowServer, actuellement, près de 22 500 instances Ivanti Connect Secure sont exposés sur Internet. Attention, il s'agit du nombre total d'instances, et nous ignorons combien d'entre elles sont vulnérables à cette faille zero-day.

Comment se protéger ?

Si vous utilisez Ivanti Connect Secure, Ivanti Policy Secure, mais aussi Ivanti ZTA, vous devez installer le dernier correctif de sécurité pour vous protéger de cette nouvelle faille zero-day, ainsi que de celles dévoilées dernièrement : CVE-2023-46805, CVE-2024-21887, CVE-2024-21888 et CVE-2024-21893.

Le 1er février 2024, Ivanti a indiqué ceci sur son bulletin de sécurité : "Un correctif corrigeant toutes les vulnérabilités connues est maintenant disponible pour Ivanti Connect Secure version 22.5R2.2 et Ivanti Policy Secure 22.5R1.1."

C'est réellement à effectuer en priorité si vous utilisez ces solutions.

Source

The post Solutions Ivanti : les pirates exploitent massivement une nouvelle faille zero-day (CVE-2024-21893) ! first appeared on IT-Connect.

Linux : obtenez un accès root grâce à cette nouvelle faille critique dans glibc !

Une nouvelle faille de sécurité critique a été découverte dans une bibliothèque très populaire puisque présente dans de nombreuses distributions Linux : GNUC C (glibc). En l'exploitant, un attaquant peut obtenir un accès root sur la machine. Voici ce qu'il faut savoir.

Les chercheurs en sécurité de chez Qualys ont mis en ligne un nouveau rapport dans lequel ils évoquent la découverte de 4 vulnérabilités dans la bibliothèque GNU C.

Celle qui est particulièrement dangereuse, c'est la faille de sécurité associée à la référence CVE-2023-6246 est présente dans la fonction "__vsyslog_internal()" de la bibliothèque glibc. Cette fonction est très utilisée par les distributions Linux par l'intermédiaire de syslog et vsyslog afin d'écrire des messages dans les journaux.

Cette vulnérabilité de type "heap-based buffer overflow" permet une élévation de privilèges sur une machine locale sur laquelle un attaquant à déjà accès avec un compte utilisateur standard. Ainsi, il peut élever ses privilèges pour devenir root ("super administrateur") sur cette machine. De nombreuses distributions populaires sont vulnérables, comme le précise le rapport de Qualys : "Les principales distributions Linux telles que Debian (versions 12 et 13), Ubuntu (23.04 et 23.10) et Fedora (37 à 39) sont confirmées comme étant vulnérables." - Pour Debian, rendez-vous sur cette page pour obtenir la liste des versions où cette vulnérabilité a été corrigée.

Il est à noter que cette vulnérabilité a été introduite dans la bibliothèque GNU C en août 2022, au sein de glibc 2.37. Par ailleurs, elle a été accidentellement intégrée dans la version 2.36 de glibc lorsque les développeurs ont intégré un correctif pour une autre vulnérabilité : CVE-2022-39046. Par ailleurs, la fonction "qsort()" de glibc contient une vulnérabilité qui affecte toutes les versions de la 1.04 (septembre 1992) à la version 2.38, qui est la plus récente.

L'occasion pour Qualys de rappeler l'importance de la sécurité des bibliothèques populaires : "Ces failles soulignent le besoin critique de mesures de sécurité strictes dans le développement de logiciels, en particulier pour les bibliothèques de base largement utilisées dans de nombreux systèmes et applications."

Ces dernières années, Qualys a fait la découverte de plusieurs failles de sécurité importantes au sein de Linux, notamment Looney Tunables et PwnKit.

Source

The post Linux : obtenez un accès root grâce à cette nouvelle faille critique dans glibc ! first appeared on IT-Connect.

GitLab (CVE-2023-7028) – Plus de 5 000 serveurs exposés à des attaques, dont près de 300 en France !

Depuis une dizaine de jours, une faille de sécurité critique a été dévoilée et corrigée dans GitLab : la CVE-2023-7028. Le problème, c'est qu'il y aurait encore plus de 5 000 instances exposées sur Internet et vulnérables !

La faille de sécurité CVE-2023-7028 peut être exploitée à distance par un attaquant pour réinitialiser le mot de passe d'un compte utilisateur afin d'en prendre le contrôle, sans aucune action de la part de l'utilisateur. Il suffit d'avoir accès à l'instance GitLab et de connaître le nom d'un utilisateur afin de le compromettre et d'en prendre le contrôle, à moins que le MFA soit activé et configuré sur le compte en question.

Pour corriger cette vulnérabilité, GitLab a mis en ligne de nouvelles versions pour GitLab Community Edition (CE) et Enterprise Edition (EE) : 16.7.2, 16.6.4 et 16.5.6. Pour les versions plus anciennes, GitLab a également publié d'autres correctifs dans un second temps : 16.1.6, 16.2.9 et 16.3.7.

Comme souvent, TheShadowServer a mis en ligne une carte interactive qui permet de se faire une idée de la quantité de serveurs vulnérables à l'échelle mondiale. A l'heure actuelle, on compte plus de 5 000 serveurs GitLab exposés sur Internet et vulnérable à la CVE-2023-7028. Voici quelques chiffres clés :

  • Etats-Unis : 964 serveurs
  • Allemagne : 730
  • Russie : 721
  • Chine : 503
  • France : 298
  • Canada : 99
  • Suisse : 53
  • Belgique : 38

Si vous utilisez GitLab, ne trainez pas pour patcher votre instance : la compromission d'une instance peut être lourde de conséquences puisse qu'elle peut donner lieu à la fuite de code source, de clés d'API, ou encore permettre à l'attaquant d'infecter le code source d'une application afin de mettre en place une attaque de la chaine d'approvisionnement (supply chain attack).

De plus, il existe déjà au moins un exploit PoC disponible sur GitHub, notamment à cette adresse.

Que faire si mon instance est compromise ?

Dans le cas où votre instance GitLab est compromise, vous devez effectuer la modification des mots de passe de tous les utilisateurs, vérifier que le MFA est bien activé, mais aussi renouveler tous les certificats et clés d'API associés à vos projets afin de limiter l'impact d'une éventuelle fuite de données.

Vous pouvez approfondir ce point en lisant cette page de la documentation GitLab.

Source

The post GitLab (CVE-2023-7028) – Plus de 5 000 serveurs exposés à des attaques, dont près de 300 en France ! first appeared on IT-Connect.

Les pirates exploitent une faille dans une extension WordPress avec plus d’un million d’installations

Une campagne de cyberattaque est actuellement menée par des pirates dans le but de compromettre des sites WordPress grâce à l'exploitation d'une faille de sécurité critique présente dans l'extension "Better Search Replace". Faisons le point sur cette menace.

Tout d'abord, parlons de l'extension Better Search Replace pour WordPress en elle-même. Elle facilite les opérations de modifications massives dans la base de données d'un ou plusieurs sites WordPress, notamment avec une puissante fonction de type "Rechercher et remplacer". C'est une extension relativement populaire puisqu'elle compte plus d'un million d'installations !

Il y a quelques jours, WP Engine, l'éditeur de cette extension, a mis en ligne la version 1.4.5 de cette extension dans le but de corriger la faille de sécurité critique associée à la référence CVE-2023-6933 et de type "PHP object injection".

D'après une publication de Wordfence, une solution spécialisée dans la sécurité des sites WordPress, cette vulnérabilité pourrait permettre l'exécution de code à distance, de récupérer des données sensibles ou de supprimer des fichiers. Toujours d'après Wordfence, cette faille de sécurité n'est pas directement exploitable via l'extension Better Search Replace, mais par l'intermédiaire d'un autre plugin ou thème installé sur le même site et qui contiendrait une chaîne POP (Property Oriented Programming).

Comment se protéger ?

La vulnérabilité affecte toutes les versions de l'extension "Better Search Replace" jusqu'à la version 1.4.4. Vous l'aurez compris, si vous utilisez cette extension, il est fortement recommandé d'effectuer la mise à jour vers la version 1.4.5 dès que possible. C'est urgent, car au cours des dernières 24 heures, le système de Wordfence a bloqué plus de 2 000 tentatives d'exploitation de cette vulnérabilité.

Cette extension a été beaucoup téléchargée au cours des 7 derniers jours, ce qui pourrait être un signe que de nombreux administrateurs ont fait le nécessaire pour se protéger. Mais, il y a encore plusieurs milliers de sites vulnérables, car au moins 18.7% des sites Web utilisent une version antérieure à la version majeure 1.4. Sans compter les sites qui utilisent une version 1.4.X inférieure à la version 1.4.5, mais WordPress ne fournit pas de statistiques sur les versions mineures utilisées, donc c'est difficile de le savoir.

Source

The post Les pirates exploitent une faille dans une extension WordPress avec plus d’un million d’installations first appeared on IT-Connect.

❌