Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Hier — 18 mars 2024Flux principal

Une faille de sécurité dans Aiohttp exploitée par le gang de ransomware ShadowSyndicate

18 mars 2024 à 14:35

Le gang de ransomware ShadowSyndicate analyse les serveurs Web exposés sur Internet à la recherche de serveurs vulnérables à la CVE-2024-23334 présente dans une bibliothèque Python nommée "aiohttp". Faisons le point sur cette menace.

Aiohttp est une bibliothèque Python open-source capable de gérer de grandes quantités de requêtes HTTP en simultanés, de façon asynchrones. Elle est basée sur le framework d'E/S AsyncIO, lui aussi codé en Python. Cette bibliothèque est utilisée par les développeurs qui ont besoin de mettre en place des applications et des services web avec un niveau élevé de performances performance. Elle semble relativement populaire puisque la page du projet sur Pypi.org compte près de 14 500 Stars.

La faille de sécurité CVE-2024-23334 dans Aiohttp

Le 28 janvier 2024, les développeurs de la bibliothèque Aiohttp ont mis en ligne la version 3.9.2 dans le but de corriger une faille de sécurité importante associée à la référence CVE-2024-23334. Toutes les versions avant la version 3.9.2 sont affectées par cette faille de sécurité. Depuis, la version 3.9.3 a été publiée, et il y a même une release candidate de la version 3.9.4.

La CVE-2024-23334 est une faiblesse de type "Path transversal" pouvant permettre à un attaquant non authentifié d'accéder à des données sensibles hébergées sur le serveur applicatif. Voici ce que l'on peut lire sur le site du NIST : "Cela peut conduire à des vulnérabilités de traversée de répertoire, entraînant un accès non autorisé à des fichiers arbitraires sur le système, même lorsque les liens symboliques ne sont pas présents."

Désormais, cette vulnérabilité est bien connue et il existe plusieurs ressources permettant de faciliter son exploitation, notamment un PoC sur GitHub relayé sur X (Twitter) le 27 février 2024, ou encore cette vidéo YouTube publiée début mars.

Des tentatives d'exploitation depuis le 29 février 2024

D'après les analystes de Cyble, il y a eu des premières tentatives d'exploitation dès le 29 février, et à présent les scans et les tentatives d'exploitation s'intensifient. Plusieurs adresses IP différentes sont à l'origine de ces tentatives, et précédemment, l'une de ces adresses IP a été associée au gang de ransomware ShadowSyndicate. Il s'agit d'un groupe de cybercriminels lancé en juillet 2022.

Voici les adresses IP malveillantes identifiées par Cyble :

  • 81[.]19[.]136[.]251
  • 157[.]230[.]143[.]100
  • 170[.]64[.]174[.]95
  • 103[.]151[.]172[.]28
  • 143[.]244[.]188[.]172

Toujours d'après les informations fournies par Cyble, à l'aide du scanner ODIN (voir cette page), il y aurait actuellement plus de 44 500 serveurs exposés sur Internet où l'en-tête HTTP correspond à Aiohttp. Ceci ne veut pas dire que ces serveurs sont vulnérables, car tout dépend de la version utilisée.

Comme le montre le graphique ci-dessous, il y a environ 1 300 hôtes situés en France : ce sont des cibles potentielles.

Vulnérabilité CVE-2024-23334 dans Aiohttp - Mars 2024

Si vous utilisez la bibliothèque Aiohttp, vous devez passer sur la version 3.9.2 ou supérieure, dès que possible.

Source

The post Une faille de sécurité dans Aiohttp exploitée par le gang de ransomware ShadowSyndicate first appeared on IT-Connect.

Sécurisez votre surface d’attaque avec cette fonctionnalité de Cloudflare

Par : Korben
18 mars 2024 à 10:57

Vous pensiez que votre infra était bien protégée ? Détrompez-vous les amis, les cyberattaques sont de plus en plus vicieuses et sophistiquées !

J’sais pas si vous utilisez Cloudflare pour sécuriser et optimiser votre site, mais si c’est le cas, vous allez être heureux puisqu’ils ont sorti un nouvel outil pour nous aider à garder nos sites en sécurité: Cloudflare Security Center.

Cette nouvelle fonctionnalité nous permet d’avoir une vision globale de notre surface d’attaque, c’est-à-dire tous les points d’entrée potentiels pour les hackers. On parle des serveurs, des applis, des APIs, bref, tout ce qui est exposé sur le web. Le Security Center scanne tout ça et nous alerte sur les failles de sécurité et les mauvaises configurations qui pourraient nous mettre dans la mouise.

Vous aurez donc besoin :

  • D’un compte Cloudflare (bah oui sinon ça marche pas)
  • Au moins un site web sous leur protection (logique)

Passons maintenant à l’activation de la fonctionnalité et le lancement du scan initial

  1. Rendez-vous sur le dashboard de Cloudflare et sélectionnez votre compte.
  2. Foncez ensuite dans « Security Center » > « Security Insights« .
  3. Sous « Enable Security Center scans« , vous avez un bouton magique « Start scan« . Et bien cliquez dessus !
  4. Et patientez… Zzzz.. Le premier scan peut prendre un peu de temps selon la taille de votre site.
  5. Une fois fini, la mention « Scan in Progress » disparaît et laisse place à la date et l’heure du dernier scan. Easy !

Vous verrez alors les problèmes détectés sur votre compte Cloudfalre ainsi que leur sévérité. De mon côté, rien de bien méchant.

Mais attention, c’est pas juste un simple scanner ! L’outil a aussi des fonctionnalités de gestion des risques. Il vous aide à prioriser les problèmes et vous guide pour les résoudre rapidement. Plus besoin de se prendre la tête pendant des heures, on clique sur quelques boutons et hop, c’est réglé !

Ensuite, vous n’aurez rien à gérer puisque Security Center fera des scans régulièrement en fonction de votre forfait. Plus vous avez un plan costaud, plus vos scans seront fréquents.

Ce centre de sécurité propose également un scan de votre infra pour voir tous vos sous-domaines et savoir s’ils sont correctement sécurisés. Et si y’a une adresse IP, un nom de domaine, une URL ou un AS sur laquelle vous avez un doute, vous pouvez même mener une petite enquête dessus

En plus, le Security Center surveille aussi les tentatives d’usurpation d’identité et de phishing. C’est encore en beta, donc j’ai pas pu tester, mais imaginez un peu que des petits malins qui essaient de se faire passer pour votre boîte pour piquer les données de vos clients… Et bien avec Cloudflare qui veille au grain, vous devriez vite les débusquer.

Bref, que vous ayez un petit site vitrine ou une grosse plateforme e-commerce, si vous utilisez Cloudflare, je vous invite à y faire un tour.

Incogni et les différents leaks du milieu de l’automobile

Par : Korben
18 mars 2024 à 09:53

Bannière Incogni

— Article en partenariat avec Incogni

Salut la compagnie, vous vous souvenez de cette époque éloignée de fin 2023 ? Je vous avais présenté une source de fuite potentielle de vos données privées : votre voiture « intelligente ». Et bien depuis j’ai continué à voir des choses pas très fun pour nous, pauvres consommateurs de ce genre de véhicules que nous sommes.

Alors je ne sais pas si c’est le phénomène Baader-Meinhof qui agit, mais je vois passer plus souvent des informations sur le sujet depuis quelques mois. Pour ceux qui ne sachez pas, cet effet c’est une sorte de biais cognitif qui fait que lorsqu’on remarque une chose pour la première fois, on a tendance à la voir plus souvent. L’exemple typique : vous achetez un nouveau pull et subitement vous voyez 4 personnes chaque jour qui portent le même. Après c’est de votre faute aussi, vous auriez pu vous douter que 75% de la population se fournit dans les mêmes boutiques de fringues ou portent les 12 mêmes marques.

Bref, pour en revenir aux voitures, depuis l’étude Mozilla partagée dans mon article précédent … je ne vois plus que des fuites d’huile de données dans le monde de l’auto. Rien qu’en janvier, nous avons eu droit :

  • au hack de la National Automobile Dealers Association (NADA, importante organisation commerciale représentant les concessionnaires franchisés de voitures et de camions neufs aux US). Numéros de téléphones, emails, factures, paiements et cartes des acheteurs … au total plus d’un million de données.
  • Mercedez-Benz qui oublie une clé privée dans un repo GitHub public, donnant accès à tout son code source.
  • Hyundai Inde qui expose les données perso de ses clients (noms, adresses physiques …)
  • Plus de 100Gb de données récupérées chez Nissan après une attaque visant les acheteurs australien et néo-zélandais

Et ce n’est que sur une période d’un mois ! Ce qui confirme plutôt bien ce que j’écrivais dans l’article de l’an dernier : sécuriser vos données chez les constructeurs automobiles ? Aussi important qu’un grain de sable au milieu du Sahara pour un Inuit.

Ces informations sont ensuite revendues aux data brokers. Qui peuvent alors les combiner avec les nombreuses bases de données déjà récupérées ailleurs sur le web (légalement ou non). Le mail et les données bancaires que vous avez donnés au concessionnaire se retrouvent aussi dans une base de boutique en ligne qui dispose de l’historique de vos achats fringues et gadgets ? Paf, on a un profil plutôt complet de vous. De votre nom et prénom, à votre adresse physique, la voiture que vous conduisez, ce que vous faites durant vos temps libres et comment vous vous habillez. Plutôt précis. Sans compter que les endroits que vous fréquentez sont éventuellement dans la liste aussi (que ce soit via les déplacements de la voiture, ou depuis votre téléphone).

Incogni Infos Perso

Même en étant parano c’est compliqué de ne rien laisser filtrer. D’où l’intérêt de ne pas laisser trainer nos données déjà récupérées par l’un ou l’autre broker. Et pour y arriver sans passer des journées entières à effectuer les recherches en solo dans son coin : il y a Incogni.

Je vous ai déjà présenté le service à de multiples reprises ici, mais un petit rappel ne fait pas de mal. En vous abonnant à Incogni, vous allez lui donner l’autorisation de contacter les data brokers (il en connait quasi 200) en votre nom. Et leur demandera de retirer les informations que vous voulez voir disparaitre, en faisant valoir les lois en vigueur (RGPD & co). En quelques jours/semaines vous verrez les premières suppressions arriver dans votre tableau de bord.

Est-ce que ça marche ? Oui, en grande partie. J’ai d’ailleurs fait un retour d’expérience personnel sur plusieurs mois d’utilisation. Tous les brokers n’ont pas joué le jeu, mais la majorité l’a fait. Et je peux vous dire que j’ai senti une réelle différence dans le nombre de spams et de sollicitations que je reçois. Après je sais que j’ai un profil d’utilisateur du web plutôt « power user », avec une adresse mail qui traine partout depuis 20 ans et des centaines (et sans doute milliers) de sites testés pour vous concocter mes petits articles quotidiens pleins d’amour. Ce sera forcément moins sensible si vous apparaissez seulement dans 3 bases de données.

Le petit plus d’Incogni c’est qu’une fois qu’un broker vous a retiré de sa base, l’outil va continuer à vérifier de temps en temps que vous n’y revenez pas. Et son interface est ultra simple à prendre en main. Elle vous donnera même des informations précieuses sur l’avancée des travaux, mais aussi la dangerosité des gens qui ont rachetés vos infos.

Jusqu’ici le service de Surfshark se targue d’avoir validé plus de 20 millions de demandes de retraits. L’air de rien ça doit commencer à faire un peu moins de profils complets chez certains brokers. Continuons donc à leur mettre des bâtons dans les roues.

Découvrir Incogni !

GhostRace – Nouvelle attaque de type Spectre / Meltdown contre les processeurs

Par : Korben
16 mars 2024 à 01:57

Accrochez-vous bien à vos chaises (ou à vos hamacs, je ne juge pas 😉) car des chercheurs en sécurité nous ont encore pondu une nouvelle attaque qui devrait bien faire stresser sur la sécurité de vos CPU !

Oui je sais, on en a déjà vu des vertes et des pas mûres avec Spectre, Meltdown et toute la clique… Mais là, c’est tout aussi lourd. Ça s’appelle GhostRace et ça va vous hanter jusque dans vos cauchemars !

En gros, c’est une variante de Spectre qui arrive à contourner toutes les protections logicielles contre les race conditions. Les mecs de chez IBM et de l’université d’Amsterdam ont donc trouvé un moyen d’exploiter l’exécution spéculative des processeurs (le truc qui leur permet de deviner et d’exécuter les instructions à l’avance) pour court-circuiter les fameux mutex et autres spinlocks qui sont censés empêcher que plusieurs processus accèdent en même temps à une ressource partagée.

Résultat des courses: les attaquants peuvent provoquer des race conditions de manière spéculative et en profiter pour fouiner dans la mémoire et chopper des données sensibles ! C’est vicieux… En plus de ça, l’attaque fonctionne sur tous les processeurs connus (Intel, AMD, ARM, IBM) et sur n’importe quel OS ou hyperviseur qui utilise ce genre de primitives de synchronisation. Donc en gros, personne n’est à l’abri !

Les chercheurs ont même créé un scanner qui leur a permis de trouver plus de 1200 failles potentielles rien que dans le noyau Linux. Et leur PoC arrive à siphonner la mémoire utilisée par le kernel à la vitesse de 12 Ko/s. Bon après, faut quand même un accès local pour exploiter tout ça, mais quand même, ça la fout mal…

Bref, c’est la grosse panique chez les fabricants de CPU et les éditeurs de systèmes qui sont tous en train de se renvoyer la balle façon ping-pong. 🏓 Les premiers disent « mettez à jour vos OS« , les seconds répondent « patchez d’abord vos CPU !« . En attendant, c’est nous qui trinquons hein…

Mais y’a quand même une lueur d’espoir: les chercheurs ont aussi proposé une solution pour « mitiger » le problème. Ça consiste à ajouter des instructions de sérialisation dans toutes les primitives de synchronisation vulnérables. Bon ok, ça a un coût en perfs (5% sur LMBench quand même) mais au moins ça colmate les brèches. Reste plus qu’à convaincre Linus Torvalds et sa bande de l’implémenter maintenant… 😒

En attendant, je vous conseille de garder l’œil sur les mises à jour de sécurité de votre OS et de votre microcode, on sait jamais ! Et si vous voulez en savoir plus sur les dessous techniques de l’attaque, jetez un œil au white paper et au blog des chercheurs, c’est passionnant.

A la prochaine pour de nouvelles (més)aventures !

À partir d’avant-hierFlux principal

Une faille dans Windows SmartScreen exploitée pour déployer le malware DarkGate !

15 mars 2024 à 08:38

Pour déployer le malware DarkGate, les pirates exploitent une faille de sécurité corrigée en février 2024 par Microsoft. Présente dans la fonctionnalité SmartScreen de Windows Defender, elle permet de contourner les contrôles de sécurité, et donc l'exécution de code malveillant. Voici ce qu'il faut savoir !

La faille de sécurité CVE-2024-21412

Avant d'évoquer cette campagne malveillante, parlons de la vulnérabilité CVE-2024-21412. Microsoft l'a corrigée à l'occasion de la sortie de ton Patch Tuesday de Février 2024, et l'a alors présenté comme une faille de sécurité zero-day, c'est-à-dire une vulnérabilité déjà connue et exploitée par les pirates avant qu'elle ne soit corrigée.

Présente dans Windows, elle permet d'outrepasser la fonction de vérification Mark of the Web (MoTW) à partir d'un fichier de type raccourci Internet. Ce qui fait que SmartScreen ne se déclenche pas, car le fait de tromper la fonction MoTW engendre un défaut sur ce marqueur permettant de faire croire au système qu'il s'agit d'un lien vers un fichier local, même si celui-ci se situe sur Internet.

Là encore, pour que l'attaque aboutisse, il doit y avoir une interaction avec l'utilisateur : "Un attaquant non authentifié pourrait envoyer à l'utilisateur ciblé un fichier spécialement conçu pour contourner les contrôles de sécurité affichés. [...] L'attaquant devra convaincre l'utilisateur d'agir en cliquant sur le lien du fichier."

La campagne d'attaques DarkGate

Au moment où Microsoft a divulgué cette vulnérabilité, la Trend Micro Zero Day Initiative, à l'origine de sa découverte, avait publié un rapport sur la CVE-2024-21412 qui permettait d'apprendre que cette faille de sécurité a été activement exploitée par le groupe APT DarkCasino (Water Hydra) dans le cadre d'une campagne malveillante ciblant les traders financiers.

Désormais, c'est un second rapport publié par Trend Micro qui évoque l'exploitation de cette vulnérabilité par un autre groupe de pirates, cette fois-ci dans le but de déployer le malware DarkGate. Cette campagne a été repérée mi-janvier 2024.

Cette attaque commence par un e-mail malveillant contenant un fichier PDF en pièce jointe et un ensemble de liens qui s'appuient sur des redirections Google DoubleClick pour contourner les contrôles de sécurité des e-mails. Si un utilisateur clique sur le lien, il est redirigé vers un site web sur lequel est hébergé un fichier de raccourci, en ".url", qui lui-même renvoie vers un second raccourci hébergé sur un serveur WebDAV piloté par l'attaquant.

Cette "astuce" utilisée par les cybercriminels permet d'exploiter la faille de sécurité CVE-2024-21412. Le second raccourci quant à lui est là pour exécuter, de façon automatique, un fichier MSI malveillant sur la machine Windows. Il y a plusieurs fichiers MSI différents utilisés par les cybercriminels, et à chaque fois, tout est fait pour que le fichier semble légitime en se faisant passer pour une application de NVIDIA, l'application iTunes d'Apple ou encore Notion. Ce package MSI va ensuite s'appuyer sur des DLL pour télécharger, déchiffrer, et charger le logiciel malveillant DarkGate sur la machine.

Source : Trend Micro

Ce malware est utilisé par certains cybercriminels depuis 2017. Il offre diverses fonctionnalités comme la prise en main à distance via hVNC, l'enregistrement de la saisie au clavier (keylogger), le déploiement d'un reverse shell, le vol du contenu du presse-papiers ou encore le vol de données à partir des volumes de l'ordinateur et des navigateurs Web.

Dans le cas présent, Trend Micro précise que c'est la version 6.1.7 de DarkGate qui a été repérée. Elle ajoute des fonctionnalités supplémentaires, comme le chiffrement XOR de la configuration, et offre plus de flexibilité aux pirates avec la possibilité d'utiliser des paramètres pour mettre en place diverses tactiques opérationnelles et techniques d'évasion.

Si vous n'avez pas encore déployé les mises à jour cumulatives de février 2024, vous savez ce qu'il vous reste à faire...

Source

The post Une faille dans Windows SmartScreen exploitée pour déployer le malware DarkGate ! first appeared on IT-Connect.

Le 1er avril 2024, Microsoft Copilot for Security sera disponible pour tout le monde !

15 mars 2024 à 06:00

Le lancement de l'IA Copilot for Security est imminent : Microsoft a annoncé que ce service sera disponible pour tout le monde, à partir du 1er avril 2024.

"Aujourd'hui, nous sommes heureux d'annoncer que Microsoft Copilot for Security sera disponible dans le monde entier le 1er avril 2024.", c'est de cette façon que commence le nouvel article mis en ligne par Microsoft. Ce nouveau service sera accessible dans 25 langues différentes, dès son lancement.

Depuis plusieurs mois, l'entreprise américaine travaille à l'intégration de l'intelligence artificielle dans l'ensemble de ses services, que ce soit dans Azure, dans Microsoft 365 (Microsoft 365 Copilot) ou directement dans Windows 10 et Windows 11 (Copilot pour Windows 11). Dans le cas de "Microsoft Copilot for Security", c'est bien les utilisateurs de Microsoft 365 qui pourront bénéficier de cette IA générative orientée cybersécurité, qui a pour objectif de faciliter le travail des professionnels de la sécurité et de l'informatique afin d'avoir une meilleure visibilité sur ce qu'il se passe et d'être plus réactif en cas d'incident.

Le service Copilot for Security crée un hub pour centraliser les informations recueillies par les produits de sécurité Microsoft, mais aussi d'autres outils de sécurité compatibles. L'IA va venir compléter le travail effectué par les solutions de sécurité, notamment en facilitant l'analyse des informations.

"Copilot s'appuie sur des données à grande échelle et des renseignements sur les menaces, dont plus de 78 billions de signaux de sécurité traités par Microsoft chaque jour, et les associe à de vastes modèles linguistiques pour fournir des informations personnalisées et guider les prochaines étapes.", précise Microsoft.

Au moment de la sortie de ce service, Copilot for Security intégrera les nouvelles capacités suivantes :

  • Les guides personnalisés permettent aux clients de créer et d'enregistrer leurs propres séries d'invites en langage naturel pour les flux de travail et les tâches de sécurité courantes.
  • L'intégration des bases de connaissances (preview), vous permet d'intégrer Copilot for Security à votre contexte professionnel, de sorte que vous puissiez effectuer des recherches et des requêtes sur votre contenu propriétaire.
  • Connectez-vous à votre surface d'attaque externe à partir de Microsoft Defender External Attack Surface Management pour identifier et analyser les informations les plus récentes sur les risques liés à la surface d'attaque externe de votre organisation.
  • Les journaux d'audit et de diagnostic de Microsoft Entra fournissent des informations supplémentaires pour une enquête de sécurité ou une analyse des problèmes informatiques des journaux d'audit liés à un utilisateur ou à un événement spécifique, résumés en langage naturel.
  • Les rapports d'utilisation fournissent un tableau de bord sur la façon dont vos équipes utilisent Copilot afin que vous puissiez identifier encore plus d'opportunités d'optimisation.

Il est important de préciser que Microsoft va proposer Copilot for Security via un modèle de licence "pay-as-you-go" afin de le rendre accessible à un plus grand nombre d'organisations. Autrement dit, il s'agit d'un modèle de tarification basé sur la consommation, et non un abonnement récurrent.

Je vous laisse en compagnie de la vidéo de lancement officielle :

The post Le 1er avril 2024, Microsoft Copilot for Security sera disponible pour tout le monde ! first appeared on IT-Connect.

Il y avait des failles critiques dans ChatGPT et ses plugins

Par : Korben
14 mars 2024 à 16:11

Vous avez entendu parler de ces vulnérabilités dans ChatGPT et ses plugins ?

Ça n’a rien à voir avec l’article précédent, car cette fois c’est Salt Labs qui a découvert le pot aux roses et publié ça dans un article de blog où ils explique comment des affreux pouvaient accéder aux conversations privées des utilisateurs et même à leurs comptes GitHub perso, juste en exploitant des failles dans l’implémentation d’OAuth.

Bon déjà, c’est quoi OAuth ?

C’est un protocole qui permet à une appli d’accéder à vos données sur un autre site sans que vous n’ayez à filer vos identifiants. Hyper pratique mais faut pas se louper dans le code sinon ça part en sucette… Et devinez quoi ? Bah c’est exactement ce qui s’est passé avec certains plugins de ChatGPT !

Salt Labs a trouvé notamment une faille bien vicieuse dans PluginLab, un framework que plein de devs utilisent pour concevoir des plugins. En gros, un attaquant pouvait s’infiltrer dans le compte GitHub d’un utilisateur à son insu grâce au plugin AskTheCode. Comment ? Tout simplement en bidouillant la requête OAuth envoyée par le plugin pour injecter l’ID d’un autre utilisateur au lieu du sien. Vu que PluginLab ne vérifiait pas l’origine des demandes, c’était open bar !

Le pire c’est que cet ID utilisateur, c’était juste le hash SHA-1 de son email. Donc si le hacker connaissait l’email de sa victime, c’était gagné d’avance. Et comme si ça suffisait pas, y’avait carrément un endpoint de l’API PluginLab qui balançait les ID quand on lui envoyait une requête avec une adresse email. Un boulevard pour les cybercriminels !

Une fois qu’il avait chopé le précieux sésame OAuth en se faisant passer pour sa victime, l’attaquant pouvait alors se servir de ChatGPT pour fouiner dans les repos privés GitHub de sa cible. Au menu : liste des projets secrets et accès en lecture aux fichiers confidentiels, le jackpot pour voler du code proprio, des clés d’API ou d’autres données sensibles.

Mais attendez, c’est pas fini ! Salt Labs a déniché deux autres failles bien creepy. La première dans ChatGPT lui-même : un attaquant pouvait créer son propre plugin pourri et le faire valider par ChatGPT sans que l’utilisateur ait son mot à dire. Ensuite en envoyant un lien piégé il installait direct son plugin à la victime qui cliquait dessus. Ni vu ni connu le plugin malveillant aspirait alors les conversations privées sur ChatGPT.

L’autre faille concernait des plugins comme Charts by Kesem AI qui ne vérifiaient pas la destination des tokens OAuth. Du coup un hacker pouvait intercepter le lien d’authentification, mettre son propre domaine dedans et envoyer ça à sa proie. Et bam, quand le pigeon cliquait, le token OAuth partait direct dans la poche du méchant qui pouvait ensuite se servir dans le compte lié sur ChatGPT ! Un vol d’identité en 2 clics…

Bon OK, OpenAI et les dévs ont colmaté les brèches rapidos une fois prévenu par les gentils chercheurs en sécu. Mais ça calme… 😰

Salt Labs compte d’ailleurs balancer bientôt d’autres résultats de recherche flippants sur les failles dans les plugins ChatGPT. Sans parler des menaces encore plus perverses comme le vol de prompts, la manipulation des IA ou la création de malwares et de phishing à la chaîne…

Source

Vos chats privés avec les IA lisibles malgré le chiffrement

Par : Korben
14 mars 2024 à 15:15

Oh la vache les amis, j’ai une nouvelle de dingue à vous raconter ! Vous savez, on kiffe tous nos IA assistants, genre ChatGPT et compagnie. On leur confie nos pensées les plus intimes, nos secrets les mieux gardés. Que ce soit pour des questions de santé, de couple, de taf… On se dit « pas de soucis, c’est crypté, personne ne pourra lire nos conversations privées » (oui, moi je dis « chiffré », mais vous vous dites « crypté »). Eh ben figurez-vous qu’une bande de joyeux lurons (des chercheurs en cybersécu quoi…) a trouvé une faille de ouf qui permet de déchiffrer les réponses des IA avec une précision hallucinante ! 😱

En gros, ils exploitent un truc qui s’appelle un « canal auxiliaire » (ou « side channel » pour les bilingues). C’est présent dans quasiment toutes les IA, sauf Google Gemini apparemment. Grâce à ça et à des modèles de langage spécialement entraînés, un hacker qui espionne le trafic entre vous et l’IA peut deviner le sujet de 55% des réponses interceptées, souvent au mot près. Et dans 29% des cas, c’est même du 100% correct, mot pour mot. Flippant non ?

Concrètement, imaginez que vous discutiez d’un éventuel divorce avec ChatGPT. Vous recevez une réponse du style : « Oui, il y a plusieurs aspects juridiques importants dont les couples devraient être conscients quand ils envisagent un divorce…bla bla bla » Eh ben le hacker pourra intercepter un truc comme : « Oui, il existe plusieurs considérations légales dont une personne devrait avoir connaissance lorsqu’elle envisage un divorce…« 

C’est pas exactement pareil mais le sens est là ! Pareil sur d’autres sujets sensibles. Microsoft, OpenAI et les autres se font vraiment avoir sur ce coup-là… 🙈

En fait cette faille elle vient des « tokens » utilisés par les IA pour générer leurs réponses. Pour vous la faire simple, c’est un peu comme des mots codés que seules les IA comprennent. Le souci c’est que les IA vous envoient souvent ces tokens au fur et à mesure qu’elles créent leur réponse, pour que ce soit plus fluide. Sauf que du coup, même si c’est crypté, ça crée un canal auxiliaire qui fuite des infos sur la longueur et la séquence des tokens… C’est ce que les chercheurs appellent la « séquence de longueurs de tokens ». Celle-là, on l’avait pas vu venir ! 😅

Bon vous allez me dire : c’est quoi un canal auxiliaire exactement ?

Alors c’est un moyen détourné d’obtenir des infos secrètes à partir de trucs anodins qui « fuient » du système. Ça peut être la conso électrique, le temps de traitement, le son, la lumière, les ondes… Bref, tout un tas de signaux physiques auxquels on prête pas attention. Sauf qu’en les analysant bien, des hackers malins arrivent à reconstituer des données sensibles, comme vos mots de passe, le contenu de mémoire chiffrée, des clés de chiffrement… C’est ouf ce qu’on peut faire avec ces techniques !

Après attention hein, faut quand même avoir accès au trafic réseau des victimes. Mais ça peut se faire facilement sur un Wi-Fi public, au taf ou n’importe où en fait. Et hop, on peut espionner vos conversations privées avec les IA sans que vous vous doutiez de rien…

Donc voilà, le message que j’ai envie de faire passer avec cet article c’est : Ne faites pas une confiance aveugle au chiffrement de vos conversations avec les IA ! Ça a l’air sûr comme ça, mais y a toujours des ptits malins qui trouvent des failles auxquelles personne n’avait pensé… La preuve avec ce coup de la « séquence de longueurs de tokens » ! Donc faites gaffe à ce que vous confiez aux ChatGPT et autres Claude, on sait jamais qui pourrait mettre son nez dans vos petits secrets… 😉

Allez, je vous laisse méditer là-dessus ! Si vous voulez creuser le sujet, je vous mets le lien vers l’article d’Ars Technica qui détaille bien le truc.

Prenez soin de vous et de vos données surtout ! ✌️ Peace !

L’intelligence artificielle, la plus importante menace pour l’élection présidentielle américaine de 2024

Par : UnderNews
14 mars 2024 à 15:13

Aux États-Unis, Démocrates et Républicains sont d’accord : l’intelligence artificielle est la plus importante menace pour l’élection présidentielle de 2024. Selon une nouvelle étude réalisée par Yubico et l’organisation Defending Digital Campaigns, les deux partis (42 % de Démocrates et 49 % de Républicains) estiment que l’IA aura un effet négatif sur le résultat du prochain scrutin. Communiqué […]

The post L’intelligence artificielle, la plus importante menace pour l’élection présidentielle américaine de 2024 first appeared on UnderNews.

Sécuriser le cloud hybride : mission impossible ?

Par : UnderNews
14 mars 2024 à 11:38

Selon la 5e édition du rapport Enterprise Cloud Index de Nutanix publiée en 2023, les entreprises françaises sont en transition progressive vers le cloud hybride, et sont 57% à avoir recours à plusieurs modes d’exploitation informatique. Une tendance qui ne s’observe pas qu’en France : ainsi, Alstom a récemment fait part de sa volonté d’approfondir […]

The post Sécuriser le cloud hybride : mission impossible ? first appeared on UnderNews.

Cyberattaque France Travail : 43 millions de personnes menacées par une fuite de données !

14 mars 2024 à 07:52

France Travail, anciennement Pôle Emploi, est victime d'une nouvelle cyberattaque associée à une fuite de données ! Les pirates seraient parvenus à voler les données personnelles de, potentiellement, 43 millions de personnes. Faisons le point sur cet incident de sécurité.

En août 2023, il y a donc moins d'un an, Pôle Emploi (son nom de l'époque), avait déjà subi une cyberattaque et les pirates étaient parvenus à voler des informations au sujet de 10 millions de personnes inscrites à Pôle Emploi.

L'histoire se répète, et cette fois-ci, cela semble encore plus grave. Le 13 mars 2024, France Travail a publié un nouveau communique de presse pour révéler officiellement cet incident de sécurité qui aurait eu lieu entre le 6 février et le 5 mars 2024. Pour le moment, l'organisme français n'a donné aucune précision sur la nature de cette cyberattaque.

France Travail explique que les pirates sont parvenus à voler une base de données contenant les données personnelles de "potentiellement" 43 millions de personnes (pour reprendre le terme employé dans le communiqué).

Pour bien comprendre qui est impacté, France Travail précise que cette base de données contient les données "des personnes actuellement inscrites et des personnes précédemment inscrites au cours des 20 dernières années ainsi que des personnes non inscrites sur la liste des demandeurs d'emploi mais ayant un espace candidat sur francetravail.fr." - Ah oui, un historique sur 20 ans : étonnant, non ?

À quoi correspondent ces informations personnelles ?

Cette base de données contient de nombreuses informations sur les personnes concernées : nom, prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresse e-mail, adresse postale, et numéro de téléphone.

D'après France Travail, il n'y a pas de risque de compromission de votre espace utilisateur, ni même de fuite de vos coordonnées bancaires : "Les mots de passe et les coordonnées bancaires ne sont pas concernés par cet acte de cybermalveillance. Il n’existe donc aucun risque sur l’indemnisation."

Désormais, cet ensemble de données devrait se retrouver en vente sur le Dark Web et il sera probablement exploité par les cybercriminels pour mener des campagnes de phishing dans le but de vous arnaquer. Bien qu'il n'y ait aucune certitude, le risque est élevé. Avec autant d'informations personnelles disponibles, les pirates peuvent facilement usurper l'identité de France Travail en vous contactant (voire même de l'Assurance Maladie).

Par ailleurs, FranceConnect ne permet plus de s'authentifier à partir de son compte Ameli. Il s'agit probablement d'une mesure préventive prise par le gouvernement, puisque l'identifiant du compte Ameli est le numéro de sécurité sociale et que ce dernier est présent dans la fuite de données associée à cet incident de sécurité.

Source

The post Cyberattaque France Travail : 43 millions de personnes menacées par une fuite de données ! first appeared on IT-Connect.

Malwarebytes 5.0 est là !

Par : Korben
14 mars 2024 à 07:10

Les amis, ça y est, Malwarebytes 5.0 tout frais démoulé est dans la place ! 🎉

Après presque 5 ans depuis la dernière version majeure, les p’tits gars de chez Malwarebytes nous ont pondu une nouvelle mouture de leur célèbre outil de sécurité. Et attention, c’est du lourd ! Enfin, à première vue en tout cas…

Alors, qu’est-ce qui a changé ?

Eh bien déjà, l’interface a été totalement « reimaginée », pour reprendre leur jargon marketing. On a le droit à un nouveau dashboard tout beau tout propre, centré sur 3 widgets principaux : Sécurité (pour lancer des scans ou voir l’historique), Confidentialité en ligne (en gros pour vous refourguer leur VPN maison), et un truc nommé « Trusted Advisor » (conseiller de confiance ??).

Ce fameux « conseiller de confiance », c’est un peu la nouveauté phare de cette version.

Son but ? Vous filer des infos en temps réel sur l’état de protection de votre bécane, avec un score et des recommandations d’expert. Sur le papier, ça a l’air plutôt cool. Mais en pratique, c’est un peu limité… Le score se base essentiellement sur les réglages de Malwarebytes lui-même, genre est-ce que la protection temps réel est activée, est-ce que les mises à jour automatiques sont en place, etc. Bref, ça ne va pas chercher bien loin. Dommage !

Sinon, pas de révolution côté sécurité pure à première vue. Malwarebytes annonce que les scans devraient mieux fonctionner sur les écrans haute résolution et que l’interface sera plus véloce. Ça c’est une bonne nouvelle ! Parce que bon, sur certaines machines, les anciennes versions ça ramait pas mal… Wait & see comme on dit.

Ah et pour les réglages, y a 2-3 trucs à savoir.

Par défaut MB 5.0 envoie désormais vos stats d’utilisation et les menaces détectées au QG de la firme. Vous pouvez le désactiver dans les paramètres si ça vous chante (et je vous le conseille !). Vous pouvez aussi toujours ne pas utiliser Malwarebytes en tant que solution de sécurité principale de Windows si vous préférez laisser faire l’antivirus intégré.

Dans les nouveaux réglages intéressants, on note l’option pour scanner les rootkits (désactivée par défaut), la détection des modifications suspectes (activée) et tout un tas de notifications (activées aussi, évidemment 🙄).

Dernier point qui fâche un peu : ce satané widget VPN qu’on ne peut pas virer de l’interface ! Si vous n’êtes pas abonné à la formule « Premium Plus » de Malwarebytes, ce machin ne vous servira à rien mais il squattera quand même votre tableau de bord… C’est ballot.

Bref, vous l’aurez compris, cette version 5.0 est surtout un gros changement cosmétique. Quelques ajustements bienvenus côté technique, mais rien de vraiment révolutionnaire sous le capot apparemment. Le fameux conseiller Trusted Advisor est un peu gadget à mon humble avis. À voir si Malwarebytes va bosser dessus pour le rendre vraiment utile à l’avenir.

Comme d’habitude, si ça vous branche, c’est dispo sous Windows, Mac, iOS, et Android en cliquant ici.

Après, les premières impressions sont plutôt positives concernant la vélocité et la consommation de ressources, c’est déjà ça de pris ! Faudra creuser un peu plus pour voir si la protection est vraiment au rendez-vous face à la concurrence.

Source

Passez sur GLPI 10.0.13 pour vous protéger de 6 failles de sécurité, dont une injection SQL

14 mars 2024 à 06:00

Mercredi 13 mars 2024, l'éditeur Teclib a publié une nouvelle version de la solution GLPI ! Cette nouvelle version, estampillée 10.0.13, corrige au total 6 failles de sécurité. Faisons le point.

Parmi les 6 failles de sécurité corrigées par l'équipe de développeurs de GLPI, il y a 5 vulnérabilités avec une sévérité modérée et 1 vulnérabilité de type "injection SQL" associée à une sévérité élevée. Au-delà de cette injection SQL, il y a plusieurs vulnérabilités XSS et un problème de sécurité de type SSRF.

Voici la liste des vulnérabilités :

  • CVE-2024-27096 (élevée) : injection SQL à travers le moteur de recherche
  • CVE-2024-27098 : SSRF aveugle utilisant l’instanciation arbitraire d’objets
  • CVE-2024-27104 : XSS stockée dans les tableaux de bord
  • CVE-2024-27914 : XSS reflétée en mode debug
  • CVE-2024-27930 : Accès à des données sensibles via les listes déroulantes
  • CVE-2024-27937 : Énumération des emails des utilisateurs

À première vue, et même si ce n'est pas précisé, il faut que l'attaquant soit connecté sur l'application GLPI pour espérer exploiter l'une de ces vulnérabilités (ceci est une déduction vis-à-vis des fonctionnalités affectées). Néanmoins, il est probable que ces vulnérabilités permettent à un utilisateur standard authentifié d'élever ses privilèges, d'exécuter du code sur le serveur, ou d'accéder à des informations sensibles. Difficile d'être plus précis car Teclic ne fournit pas le moindre détail technique, ni même d'informations sur les risques potentiels.

Attention : n'installez pas la version 10.0.13, mais passez directement sur la version 10.0.14 car la précédente version a introduit deux bugs plutôt gênants, comme le mentionne cette page.

GLPI : les mises à jour de sécurité s'enchaînent

Depuis le dernier trimestre de l'année 2024, les mises à jour de sécurité s'accumulent, pour GLPI. Tout a commencé au mois d'octobre dernier lorsque Teclib a publié GLPI 10.0.10 pour corriger 10 vulnérabilités, dont une faille de sécurité critique permettant d'exécuter du code PHP : CVE-2023-42802. Puis, en décembre 2023, la version GLPI 10.0.11 a été publiée pour corriger 3 failles de sécurité (dont deux "injection SQL").

Au mois de février 2024, Teclic a publié GLPI 10.0.12 pour corriger deux failles de sécurité. Cette fois-ci, la nouvelle version permet d'en corriger 6 supplémentaires.

Si vous utilisez GLPI 10, il est temps de passer sur GLPI 10.0.13 pour vous protéger contre une bonne vingtaine de failles de sécurité. J'en profite pour vous annoncer qu'un tutoriel sur la mise à jour de GLPI sera publié dans les prochains jours !

Source

The post Passez sur GLPI 10.0.13 pour vous protéger de 6 failles de sécurité, dont une injection SQL first appeared on IT-Connect.

SASE + XDR : La Formule Gagnante d’une Cyberdéfense moderne

Par : UnderNews
13 mars 2024 à 16:16

Dans un monde toujours plus connecté et à l’équilibre géopolitique fragilisé, la cybermenace est omniprésente et chaque jour plus sophistiquée.  Tribune Jérôme BEAUFILS – CEO de SASETY – Les cyberattaquants, usant de tactiques de plus en plus élaborées, exploitent les failles des systèmes numériques pour lancer des offensives allant de la cybercriminalité opportuniste à des campagnes orchestrées […]

The post SASE + XDR : La Formule Gagnante d’une Cyberdéfense moderne first appeared on UnderNews.

Kaspersky rapporte une augmentation des violences numériques à l’échelle internationale

Par : UnderNews
13 mars 2024 à 16:15

Le dernier rapport Kaspersky State of Stalkerware 2023 révèle que près de 31 000 détenteurs de téléphones mobiles dans le monde ont été victimes de stalkerwares, ces logiciels de surveillance illicite employés par les agresseurs dans le cadre des violences domestiques pour surveiller leurs victimes. Mais le phénomène du stalking ne se limite malheureusement pas aux stalkerwares : en France, […]

The post Kaspersky rapporte une augmentation des violences numériques à l’échelle internationale first appeared on UnderNews.

En Europe, 63 % des experts en cybersécurité admettent avoir commis des erreurs professionnelles du fait d’un manque de connaissances

Par : UnderNews
13 mars 2024 à 09:49

Alors que l’erreur humaine est à l’origine d’un grand nombre de cyber incidents en entreprise, avec 12 % d’entre eux étant causé par la pénurie de personnel qualifié en matière de sécurité informatique, une nouvelle étude Kasperksy révèle que plus de six professionnels européens de la cybersécurité sur dix admettent avoir commis des erreurs au début de leur […]

The post En Europe, 63 % des experts en cybersécurité admettent avoir commis des erreurs professionnelles du fait d’un manque de connaissances first appeared on UnderNews.

Patch Tuesday – Mars 2024 : 60 vulnérabilités corrigées !

13 mars 2024 à 08:28

Le mardi 12 mars, Microsoft a publié son troisième Patch Tuesday de l'année 2024 ! Cette fois-ci, les équipes de Microsoft ont corrigé 60 failles de sécurité, et il n'y a pas la moindre zero-day. Faisons le point !

À l'occasion du Patch Tuesday de Mars 2024, Microsoft a corrigé 2 failles de sécurité critiques et elles sont toutes les deux présentes dans Hyper-V : CVE-2024-21407 et CVE-2024-21408. La première permet une exécution de code à distance sur l'hyperviseur (et serait difficile à exploiter), tandis que la seconde permet un déni de service. Au total, 18 vulnérabilités permettent une exécution de code à distance.

La grande majorité des autres vulnérabilités sont considérées comme importantes et elles affectent différents produits et services de chez Microsoft. Notamment : Exchange Server, SharePoint, l'agent Intune pour Linux, Microsoft WDAC OLE DB provider for SQL, le client Skype, Visual Studio Code, Windows Installer, l'implémentation de Kerberos dans Windows, le driver ODBC, le driver d'impression USB, ou encore plusieurs failles de sécurité dans le noyau Windows. À noter également la correction de 4 vulnérabilités dans le navigateur Edge, ainsi qu'une faille de sécurité dans l'application Microsoft Authenticator.

Aucune zero-day

Ce mois-ci, Microsoft n'a pas corrigé la moindre faille de sécurité zero-day. Néanmoins, ceci ne signifie pas que les vulnérabilités corrigées par Microsoft ne représentent pas un risque, ou qu'elles ne seront pas exploitées par les attaquants dans les prochaines semaines.

Voici quelques vulnérabilités à surveiller :

  • CVE-2024-26199 - Élévation de privilèges dans Microsoft Office, ce qui permet à l'attaquant d'obtenir les droits SYSTEM sur la machine locale.
  • CVE-2024-20671 - Contournement de la sécurité de Microsoft Defender, car cette vulnérabilité peut empêcher la solution de sécurité de démarrer, ce qui la rend inopérante. Toutefois, une mise à jour automatique de Windows Defender Antimalware Platform permet de corriger cette faille de sécurité.
  • CVE-2024-21411 - Exécution de code malveillant au travers de l'application Skype for Consumer, à partir d'un lien ou d'une image malveillante.

D'autres articles sur les nouvelles mises à jour pour Windows 10 et Windows 11 seront publiés dans la journée.

Source

The post Patch Tuesday – Mars 2024 : 60 vulnérabilités corrigées ! first appeared on IT-Connect.

En 2023, près de 12,8 millions de secrets d’authentification ont été divulgués sur GitHub !

13 mars 2024 à 07:40

Un nouveau rapport publié par GitGuardian met en lumière les problèmes de sécurité associés aux dépôts GitHub. En 2023, les utilisateurs ont exposé 12,8 millions de secrets d'authentification dans un total de 3 millions de dépôts publics !

Les experts en sécurité de GitGuardian ont mis en ligne un nouveau rapport qui permet de se rendre compte à quel point les dépôts GitHub sont susceptibles de contenir des données sensibles pouvant mettre en péril la sécurité d'une organisation. En l'occurrence, il s'agit d'informations d'authentifications disponibles en libre accès au sein de millions de dépôts GitHub publics.

En 2023, GitGuardian a détecté près de 12,8 millions de secrets dans répartis dans 3 millions de dépôts publics, ce qui représente une augmentation de 28% vis-à-vis de l'année précédente. Au total, il est question de près de 3,7 millions de secrets uniques. Pour essayer d'améliorer la situation, GitGuardian a émis 1,8 million d'alertes par e-mail afin d'alerter certains utilisateurs ayant divulgué des secrets sur GitHub. Néanmoins, seul 1,8 % des utilisateurs contactés ont fait le nécessaire dans les jours suivant la notification.

Des millions de secrets dans les dépôts publics GitHub
Source : GitGuardian

À quoi correspondent ces secrets ?

Il s'agit de mots de passe de comptes, de clés d'API, de certificats SSL/TLS, de clés de chiffrement, de jetons OAuth, ou d'autres identifiants. Autrement dit, ce sont des informations pouvant permettre à un tiers d'obtenir un accès à des ressources privées.

Grâce à un algorithme de machine learning, GitGuardian est capable de différencier les secrets basiques de ceux un peu plus spécifiques. Si l'on s'intéresse plus particulièrement à des secrets spécifiques, nous avons trouvé plus de 1 million de secrets d'API Google valides (occurrences), 250 000 secrets Google Cloud et 140 000 secrets AWS IAM.", peut-on lire.

La très forte augmentation de l'utilisation de plusieurs intelligences artificielles se traduit par la fuite de clés d'API : "En 2023, GitGuardian a observé une multiplication par 1212 du nombre de fuites de clés API OpenAI par rapport à l'année précédente, ce qui en fait sans surprise le détecteur ayant connu la plus forte croissance." - OpenAI étant la société créatrice de ChatGPT. Dans une moindre mesure, ceci s'applique à d'autres IA comme Google Bard, Claude, ou Cohere.

À qui appartiennent ces secrets ?

D'après le rapport de GitGuardian, le secteur de l'IT est le plus impacté et arrive en tête avec 65,9 %, suivi par le secteur de l'éducation avec 20,1 %. Pour le reste, ce qui représente 14%, GitGuardian ne fait pas la distinction et regroupe tous les autres secteurs.

Parlons maintenant de la provenance géographique de ces secrets. Et, ce n'est pas rassurant, car la France se classe 5ème dans le "Top 10" des pays avec le plus de leaks de secrets dans GitHub (GitGuardian s'appuie sur la localisation précisée sur le profil GitHub des utilisateurs). Surtout, le classement de la France a progressé, de façon négative, vis-à-vis de l'année précédente.

GitHub - Pays avec le plus de leak de secrets
Source : GitGuardian

Comment se protéger ?

Tout cela est effrayant quand on sait que de nombreuses attaques et fuites de données sont souvent associées à la compromission d'un compte... Pour lutter contre ce problème, GitGuardian a mis en ligne un outil gratuit nommé "Has My Secret Leaked?". Nous en avions parlé dans cet article :

En complément, sachez que le mois dernier, GitHub a activé par défaut une protection pour éviter l'exposition accidentelle de secrets lors d'un push vers un dépôt GitHub.

Source

The post En 2023, près de 12,8 millions de secrets d’authentification ont été divulgués sur GitHub ! first appeared on IT-Connect.

NerbianRAT – Un nouveau malware Linux furtif qui vole vos identifiants

Par : Korben
12 mars 2024 à 11:03

Oh my god !

Voici une bien mauvaise nouvelle pour les utilisateurs de Linux que nous sommes ! Un malware baptisé NerbianRAT sévit dans la nature depuis au moins 2 ans et il vient juste d’être identifié. Cette saleté est capable de voler vos identifiants en exploitant des failles de sécurité récemment corrigées.

C’est la boîte de sécu Checkpoint Research qui a révélé l’existence de cette variante Linux de NerbianRAT. D’après eux, c’est un groupe de cybercriminels nommé « Magnet Goblin » qui est derrière tout ça. Et leur technique est bien vicieuse : ils exploitent des vulnérabilités à peine patchées (les fameux « 1-day ») en rétro-ingéniérant les mises à jour de sécurité. Comme ça, ils peuvent cibler les machines pas encore à jour. Malin !

En plus de NerbianRAT, Checkpoint a aussi découvert un autre malware appelé MiniNerbian. C’est une version allégée utilisée pour backdoorer les serveurs e-commerce Magento et les transformer en serveurs de commande et contrôle pour le botnet NerbianRAT.

Mais le plus inquiétant c’est que Magnet Goblin est très réactif pour s’accaparer les dernières vulnérabilités 1-day et déployer ses saloperies comme NerbianRAT et MiniNerbian. Ça leur permet d’infecter des machines jusqu’ici épargnés comme les appareils qui se trouvent en périphérie de réseau comme le matériel IoT.

Checkpoint est tombé sur NerbianRAT en analysant les attaques récentes qui exploitent des failles critiques dans Ivanti Secure Connect. Dans le passé, Magnet Goblin a aussi exploité des 1-day dans Magento, Qlink Sense et possiblement Apache ActiveMQ pour propager son malware.

Les chercheurs ont trouvé cette variante Linux de NerbianRAT sur des serveurs compromis contrôlés par Magnet Goblin, avec des URLs du style :

  • http://94.156.71[.]115/lxrt
  • http://91.92.240[.]113/aparche2
  • http://45.9.149[.]215/aparche2

C’est pas tout ! Magnet Goblin déploie aussi une version modifiée d’un autre malware voleur d’infos appelé WarpWire. D’après la boîte Mandiant, cette variante engrange des identifiants VPN qu’elle expédie ensuite sur un serveur du domaine miltonhouse[.]nl.

Contrairement à sa version Windows qui est bien obfusquée, NerbianRAT Linux se protège à peine. Son code contient même des infos de debug qui permettent aux chercheurs de voir des trucs comme les noms de fonctions et de variables. Du beau travail…

Alors les amis linuxiens, méfiance ! Même si on se sent à l’abri avec notre machot, faut bien garder à l’esprit qu’aucun OS n’est invulnérable. La sécurité c’est aussi une histoire de comportement. Pensez à mettre régulièrement à jour vos machines, évitez les sites et les programmes louches, et utilisez vos neurones.

Un petit scan antivirus de temps en temps, ça peut pas faire de mal non plus. Et puis au pire, si vous chopez NerbianRAT, dites-vous que vous aurez participé bien malgré vous à une opération de recherche collaborative via VirusTotal 😉

Je vous laisse méditer là-dessus. En attendant portez-vous bien, pensez à éteindre la lumière en partant et que la Force soit avec vous !

Source

❌
❌