Depuis quelques jours, la faille de sécurité critique découverte dans le système PAN-OS utilisé par les firewalls de Palo Alto Networks fait beaucoup parler d'elle. Désormais, un code d'exploitation est disponible et pourrait être utilisé pour compromettre les firewalls exposés sur Internet. Faisons le point.

Rappel sur la vulnérabilité CVE-2024-3400

Voici un résumé de la situation actuelle, avec quelques dates et points clés :

Depuis le 26 mars 2024, une nouvelle faille de sécurité zero-day est exploitée par les cybercriminels dans le cadre d'attaque. Elle a été utilisée pour déployer une porte dérobée nommée Upstyle et pivoter vers l'infrastructure interne de l'entreprise. Lors d'une attaque, les pirates sont parvenus à voler des données sensibles telles que la base de données Active Directory.

Vendredi 12 avril 2024, Palo Alto Networks a publié un bulletin de sécurité pour évoquer cette vulnérabilité (CVE-2024-3400) et les risques associés.

Dimanche 14 avril 2024, l'éditeur a publié de premiers correctifs de sécurité à destination de ses firewalls sous PAN-OS : PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 et PAN-OS 11.1.2-h3. Depuis, de nouveaux correctifs ont été publiés, car Palo Alto Networks va publier des patchs pour une dizaine de versions différentes de PAN-OS.

Voici nos précédents articles pour approfondir le sujet :

• Firewalls Palo Alto : cette faille de sécurité zero-day non corrigée est déjà exploitée dans des attaques !
• Firewalls Palo Alto : la faille de sécurité CVE-2024-3400 exploitée depuis mars 2024 pour déployer une porte dérobée !
• Firewalls Palo Alto – CVE-2024-3400 : les premiers correctifs de sécurité sont disponibles !

Un code d'exploit et des dizaines de milliers de firewalls vulnérables

Le mardi 16 avril 2024, watchTowr Labs a publié un rapport au sujet de cette vulnérabilité, ainsi qu'un PoC d'exploitation permettant d'exécuter des commandes à distance sur un firewall vulnérable. Dans le même temps, Justin Elze, directeur technique de TrustedSec, a également évoqué sur X (Twitter) un exploit utilisé par les cybercriminels pour exporter la configuration du pare-feu Palo Alto pris pour cible.

D'après une carte partagée par The Shadowserver Foundation, il y a environ 156 000 firewalls Palo Alto exposé sur Internet et potentiellement vulnérables. Ce chiffre est à prendre avec des pincettes, car il ne tient pas compte de la version de PAN-OS, ni de la configuration.

Vendredi dernier, le chercheur en sécurité  Yutaka Sejiyama, a partagé sur X (Twitter) des statistiques au sujet des firewalls vulnérables à cette faille de sécurité. Il en a identifié un peu plus de 82 000 firewalls. Ce chiffre a certainement diminué désormais, mais le nombre de cibles potentielles doit rester élevé.

Voici quelques chiffres clés (nombre de firewalls vulnérables par pays) :

• États-Unis : 32 916
• Allemagne : 3 268
• Royaume-Uni : 3 213
• Canada : 2 239
• France : 1 794 (sur un total de 3 162, si l'on s'appuie sur la carte de The Shadowserver Foundation)
• Belgique : 772
• Suisse : 561

Le correctif de sécurité comme seule et unique solution pour se protéger

La seule solution pour vous protéger, c'est d'installer le correctif de sécurité sur votre firewall. La mesure d'atténuation partagée initialement par Palo Alto consistait à désactiver la télémétrie, mais elle n'est pas efficace et ne permet pas de se protéger.

Voici ce que l'on peut lire dans le bulletin de sécurité de Palo Alto : "La désactivation de la télémétrie sur l'équipement n'est plus une mesure d'atténuation efficace. Il n'est pas nécessaire que la télémétrie soit activée pour que les pare-feux PAN-OS soient exposés aux attaques liées à cette vulnérabilité."

Malgré tout, si vous avez un abonnement à la fonction "Threat Prevention", vous pouvez bloquer cette attaque en activant la protection contre la menace avec l'ID 95187. De plus, assurez-vous que cette protection soit activée sur l'interface GlobalProtect, en suivant cette page de la documentation. Cette méthode est toujours efficace.

Source

The post Patchez votre firewall Palo Alto : un exploit est disponible pour la CVE-2024-3400 first appeared on IT-Connect.

Vous connaissez probablement l'application PuTTY. Sachez que de nombreuses versions sont affectées par une nouvelle vulnérabilité pouvant permettre de deviner votre clé privée. D'autres applications sont impactées. Faisons le point sur cette menace !

Pour rappel, PuTTY est une application open source permettant de se connecter à des équipements réseaux ou des serveurs distants, généralement sous Linux, par l'intermédiaire de plusieurs protocoles, dont le SSH et le Telnet. Même s'il existe de nombreuses alternatives et des gestionnaires de connexions plus complets, PuTTY reste un "client SSH" populaire et très utilisé par les administrateurs systèmes sous Windows.

Cette vulnérabilité, associée à la référence CVE-2024-31497, a été découverte par Fabian Bäumer et Marcus Brinkmann de l'Université de la Ruhr à Bochum, en Allemagne.

Elle est liée à la manière dont l'application PuTTY génère les nonces ECDSA pour la courbe NIST P-521 utilisée dans le cadre de l'authentification SSH. Un nonce ECDSA est un nombre aléatoire utilisé dans le processus de création de la signature ECDSA. Un nonce est unique pour chaque signature. Dans le cas présent, nous pouvons dire que la fonction de génération de signatures est biaisée à cause de ce problème de sécurité lié à la génération des nonces.

Cette signature numérique est créée à partir de la clé privée de l'utilisateur, et cette clé, comme son nom l'indique, doit rester uniquement en possession de son propriétaire. La signature doit être vérifiée à partir de la clé publique (on parle d'une paire de clés) afin de garantir l'identité de l'utilisateur et sécuriser la connexion.

Calculer la clé privée grâce à la CVE-2024-31497

En exploitant cette vulnérabilité, un attaquant peut parvenir à calculer la clé privée utilisée par l'utilisateur, sans en avoir connaissance à la base.

Pour cela, comme l'explique Marcus Brinkmann sur X (Twitter) : "L'attaque de l'ECDSA avec des nonces biaisés est une technique standard. Un attaquant collecte au moins 521/9≈58 signatures à partir de commits Git signés ou de connexions de victimes au serveur SSH de l'attaquant. Un peu de mathématiques permet à l'attaquant de calculer la clé privée hors ligne."

Ceci implique la collecte de 58 signatures effectuées à partir de la même clé privée pour que celle-ci puisse être découverte. La collecte de ces informations à partir de commits Git signés est certainement plus réaliste et plus "pratique" pour les attaquants.

Pour avoir des techniques, je vous recommande de lire le bulletin de sécurité de PuTTY.

Qui est affecté ? Comment se protéger ?

Cette vulnérabilité, associée à la référence CVE-2024-31497, affecte toutes les versions de PuTTY de la 0.68 à la 0.80, publiée en décembre 2023. La dernière version, à savoir PuTTY 0.81, a été développée et publiée ce lundi 15 avril 2024 dans l'unique but de corriger cette faille de sécurité.

Cependant, il est essentiel de préciser que toutes les clés privées P-521 générée à l'aide d'une version vulnérable de l'outil pourraient être compromises et elles représentent un risque. Dans ce cas, ces clés doivent être renouvelées pour éliminer tous les risques de compromission, et elles sont également à retirer de la liste "authorized_keys" de vos serveurs et équipements.

D'autres logiciels s'appuie directement sur PuTTY et sont également affectés.

Voici une liste, probablement pas exhaustive, de logiciels et des versions impactées :

• FileZilla 3.24.1 - 3.66.5 (corrigé dans 3.67.0)
• WinSCP 5.9.5 - 6.3.2 (corrigé dans 6.3.3)
• TortoiseGit 2.4.0.2 - 2.15.0 (corrigé en 2.15.0.1)
• TortoiseSVN 1.10.0 - 1.14.6 (atténuation possible en configurant TortoiseSVN pour utiliser Plink)

D'autres logiciels sont potentiellement affectés, ce qui pourrait être le cas si un outil s'appuie sur PuTTY (à voir, selon la version).

Source

The post Une faille de sécurité dans le client SSH PuTTY permet de récupérer les clés privées ! first appeared on IT-Connect.

Votre PC est sous Windows et vous utilisez l'application Telegram pour ce système d'exploitation ? Alors, sachez que Telegram a effectué une modification pour vous protéger d'une nouvelle faille de sécurité zero-day.

Telegram a corrigé une faille de sécurité zero-day pour protéger les utilisateurs de son application bureau pour Windows. En l'exploitant, un attaquant peut contourner les mécanismes de protection et exécuter des scripts Python sur la machine cible. In fine, ceci permettrait d'exécuter du code à distance sur la machine de l'utilisateur qui utilise une version vulnérable de l'application Telegram, même si cela implique une interaction de la part de l'utilisateur.

Une démonstration de l'exploitation de cette vulnérabilité a été publiée sur le réseau social X. Telegram a d'abord indiqué qu'il s'agissait d'un canular. Mais, le lendemain, un exploit PoC a été publié sur le forum de piratage XSS pour montrer qu'il était possible d'exécuter des scripts Python ayant l'extension ".pyzw" sur Windows, par l'intermédiaire de l'application Telegram. Ainsi, un attaquant pourrait utiliser l'icône d'une vidéo pour inciter l'utilisateur à cliquer sur un lien dans le but d'exécuter le script malveillant.

En principe, l'application Telegram devrait déclencher un avertissement pour "bloquer" l'exécution de ce type de fichiers, mais là ce n'est pas le cas. Précisons également que Python doit être installé sur l'ordinateur de l'utilisateur pour que le script soit exécuté, ce qui fait une condition supplémentaire.

Finalement, Telegram a reconnu l'existence de cette vulnérabilité et a pris la décision de la corriger. Toutefois, le correctif a été implémenté du côté des serveurs Telegram, donc les utilisateurs n'ont rien à faire : il n'y a aucune mise à jour installer. "Un correctif côté serveur a été appliqué pour s'assurer que ce problème ne se reproduise plus, de sorte que toutes les versions de Telegram Desktop (y compris les plus anciennes) n'ont plus ce problème.", a précisé Telegram.

En fait, Telegram s'appuie sur une liste d'extensions correspondante à tous les fichiers "à risques" et potentiellement malveillants. Celle-ci permet d'indiquer à l'application Telegram quand elle doit afficher l'avertissement de sécurité.

Source

The post Telegram a corrigé une faille de sécurité zero-day dans son application pour Windows first appeared on IT-Connect.

Dimanche 14 avril 2024, Palo Alto Networks a tenu sa promesse en mettant en ligne des premiers correctifs pour corriger la nouvelle faille de sécurité critique (CVE-2024-3400) découverte dans le système PAN-OS de ses firewalls. D'autres correctifs sont attendus dans les prochains jours. Faisons le point.

Rappel sur la CVE-2024-3400

Le système PAN-OS, qui équipe les firewalls de l'entreprise Palo Alto Networks, est affectée par une faille de sécurité critique (CVE-2024-3400) associée à un score CVSS de 10 sur 10 ! C'est une vulnérabilité de type "injection de commande" et elle a été découverte dans la fonction GlobalProtect du système PAN-OS.

Désormais, des correctifs sont disponibles pour certaines versions de PAN-OS. Sinon, sans ce correctif, pour vous protéger, vous devez désactiver la télémétrie sur votre firewall, ou activer la protection contre la menace avec l'ID 95187 dans la fonction "Threat Prevention".

Il est important de rappeler également qu'il y a des tentatives d'exploitation de cette faille de sécurité depuis le 26 mars 2024. Les pirates l'utilisent pour déployer une porte dérobée sur le firewall Palo Alto, et ensuite, essaient de pivoter vers le réseau interne de l'entreprise.

Pour en savoir plus, et connaitre les versions de PAN-OS impactées, lisez nos articles sur cette alerte de sécurité :

• Firewalls Palo Alto : cette faille de sécurité zero-day non corrigée est déjà exploitée dans des attaques !
• Palo Alto : la faille de sécurité CVE-2024-3400 exploitée depuis mars 2024 pour déployer une porte dérobée !

Les correctifs de sécurité pour la CVE-2024-3400

Les firewalls Palo Alto qui exécute les versions suivantes de PAN-OS sont potentiellement vulnérables : PAN-OS 10.2, 11.0 et 11.1. Désormais, l'éditeur a mis en ligne des correctifs de sécurité et il a mis à jour son bulletin de sécurité.

Pour le moment, trois correctifs de sécurité sont disponibles :

• PAN-OS 10.2.9-h1
• PAN-OS 11.0.4-h1
• PAN-OS 11.1.2-h3

Dans les prochains jours, d'autres correctifs sont attendus. Voici un tableau récapitulatif :

Version	Date de publication du correctif
10.2.8-h3	15/04/2024
10.2.7-h8	15/04/2024
10.2.6-h3	15/04/2024
10.2.5-h6	16/04/2024
10.2.4-h16	19/04/2024
10.2.3-h13	17/04/2024
10.2.1-h2	17/04/2024
10.2.2-h5	18/04/2024
10.2.0-h3	18/04/2024
11.0.3-h10	15/04/2024
11.0.2-h4	16/04/2024
11.0.1-h4	17/04/2024
11.0.0-h3	18/04/2024
11.1.1-h1	16/04/2024
11.1.0-h3	17/04/2024

Par ailleurs, rappelons deux choses :

• L'exploitation de la vulnérabilité dépend de la configuration du firewall : "Ce problème s'applique uniquement aux pare-feu PAN-OS 10.2, PAN-OS 11.0 et PAN-OS 11.1 avec les configurations de la passerelle GlobalProtect et la télémétrie de l'appareil activées.", précise Palo Alto.
• Cette vulnérabilité affecte uniquement le système PAN-OS, donc certaines versions spécifiques comme Cloud NGFW et Prisma Access ne sont pas impactées.

Si vous avez besoin d'aide pour installer la mise à jour, référez-vous à la documentation officielle de Palo Alto, notamment cette page.

The post Firewalls Palo Alto – CVE-2024-3400 : les premiers correctifs de sécurité sont disponibles ! first appeared on IT-Connect.

Les dernières nouvelles au sujet de la CVE-2024-3400 ne sont pas bonnes : depuis le 26 mars 2024, un groupe de pirates exploite cette faille de sécurité zero-day présente dans le système PAN-OS des firewalls Palo Alto pour déployer une porte dérobée et s'introduire dans le réseau interne des organisations dont le matériel a été compromis.

Rappel sur la CVE-2024-3400

Le système PAN-OS, qui équipe les firewalls de l'entreprise Palo Alto Networks, est affectée par une faille de sécurité critique (CVE-2024-3400) associée à un score CVSS de 10 sur 10 ! C'est une vulnérabilité de type "injection de commande" et elle a été découverte dans la fonction GlobalProtect du système PAN-OS.

Un correctif est attendu pour ce dimanche 14 avril, mais à l'heure où ces lignes sont écrites, le correctif n'a pas encore été publié par Palo Alto Networks. En attendant, pour vous protéger, vous devez désactiver la télémétrie sur votre firewall, ou activer la protection contre la menace avec l'ID 95187 dans la fonction "Threat Prevention".

Pour en savoir plus, et connaitre les versions de PAN-OS impactées, lisez cet article publié vendredi dernier sur notre site :

• Firewalls Palo Alto : cette faille de sécurité zero-day non corrigée est déjà exploitée dans des attaques !

Une première tentative d'exploitation le 26 mars 2024

Dans son bulletin de sécurité, Palo Alto évoque le fait que cette vulnérabilité a déjà été exploitée par les cybercriminels, sans donner plus de précisions : "Palo Alto Networks a connaissance d'un nombre limité d'attaques qui exploitent cette vulnérabilité".

Néanmoins, si nous regardons ce rapport publié par la société Volexity, à l'origine de la découverte de cette vulnérabilité critique, nous apprenons qu'elle a été exploitée pour la première fois en mars 2024 : "La première preuve de tentative d'exploitation observée par Volexity jusqu'à présent remonte au 26 mars 2024, lorsque les attaquants ont semblé vérifier que l'exploitation fonctionnait correctement." - Le jour suivant, une autre tentative a été repérée par Volexity, puis, les pirates ont attendu le 10 avril 2024 pour déployer un payload.

L'acteur malveillant à l'origine de cette tentative d'exploitation est suivi par Veloxity sous le nom de UTA0218, et d'après eux, il est fort probable que ce soit un groupe de pirates sponsorisés par un État.

"Volexity estime qu'il est très probable que UTA0218 soit un acteur de menace soutenu par un État, compte tenu des ressources nécessaires pour développer et exploiter une vulnérabilité de cette nature, du type de victimes ciblées par cet acteur et des capacités affichées pour installer la porte dérobée Python et accéder aux réseaux des victimes", peut-on lire.

Une porte dérobée déployée, mais pas uniquement...

L'implant principal, appelé "Upstyle", correspond à une porte dérobée installée par l'intermédiaire d'un script Python associé à un fichier de configuration ("/usr/lib/python3.6/site-packages/system.pth"). Une fois que cette backdoor est déployée, les pirates peuvent l'exploiter pour exécuter des commandes sur le firewall compromis.

Comme le montre le schéma ci-dessous, les pirates transmettent les commandes à exécuter par l'intermédiaire de requêtes HTTP et ils génèrent volontairement une erreur. Ceci permet d'inscrire la requête, et donc la commande, dans le journal des erreurs du serveur Web du pare-feu. La porte dérobée va ensuite lire ce fichier journal et décoder la commande (base64) afin de l'exécuter.

En complément de la porte dérobée, d'autres payloads sont déployés sur le firewall : un reverse shell, un outil de suppression des logs, un outil pour exporter la configuration de PAN-OS ou encore l'outil de tunneling GOST.

Dans une attaque observée par Volexity, les pirates informatiques sont parvenus à pivoter vers le réseau interne et à voler différentes informations, parmi lesquelles la base de données Active Directory ("ntds.dit"), des journaux d'événements Windows, ou encore des données de navigateurs tels que Google Chrome et Microsoft Edge (identifiants et cookies).

Mon firewall Palo Alto a-t-il été compromis ?

Voilà une question que certains d'entre vous doivent se poser. Elle est légitime puisque cela fait plusieurs jours que cette vulnérabilité est exploitée par les cybercriminels et qu'il y a déjà eu plusieurs victimes.

Voici ce que nous dit Volexity :

"Il existe deux méthodes principales pour identifier la compromission d'un pare-feu concerné. La première méthode consiste à surveiller le trafic et l'activité du réseau émanant des dispositifs de pare-feu Palo Alto Networks. Volexity travaille toujours à la coordination avec Palo Alto Networks concernant la seconde méthode et ne la décrit donc pas pour l'instant.".

Au niveau des flux réseau, voici ce que vous devez vérifier dans les journaux :

- Vérifier si le pare-feu a effectué des requêtes "wget" vers Internet pour effectuer le téléchargement de ressources. En effet, les pirates utilisent cette commande pour récupérer des fichiers malveillants depuis leur serveur. Il s'agit de requête directe vers des adresses IP, notamment "172.233.228[.]93".

- Vérifier s'il y a eu des tentatives de connexions SMB et/ou RDP vers plusieurs systèmes de votre environnement, depuis l'appliance Palo Alto.

- Vérifier s'il y a eu des requêtes HTTP vers "worldtimeapi[.]org/api/timezone/etc/utc" à partir du pare-feu.

Nous vous tiendrons informés lorsque les correctifs seront mis en ligne.

Source

The post Palo Alto : la faille de sécurité CVE-2024-3400 exploitée depuis mars 2024 pour déployer une porte dérobée ! first appeared on IT-Connect.

Alerte chez Palo Alto Networks : une faille de sécurité zero-day, non patchée à l'heure actuelle, a déjà été exploitée dans le cadre de plusieurs cyberattaques ! Voici ce que l'on sait !

Le système PAN-OS, qui équipe les firewalls de l'entreprise Palo Alto Networks, est affectée par une faille de sécurité critique associée à un score CVSS de 10 sur 10 ! Elle a été découverte par les chercheurs en sécurité de Volexity et elle est désormais associée à la référence CVE-2024-3400. Il s'avère que cette vulnérabilité de type "injection de commande" a été découverte dans la fonction GlobalProtect du système PAN-OS.

Dans la pratique, un attaquant, situé à distance, peut exploiter cette vulnérabilité pour exécuter des commandes sur le firewall, sans aucune interaction de la part d'un utilisateur, et sans disposer de privilèges spéciaux. Il est question ici d'exécuter des commandes en tant qu'administrateur.

À l'heure actuelle, cette faille de sécurité a déjà été exploitée : "Palo Alto Networks a connaissance d'un nombre limité d'attaques qui exploitent cette vulnérabilité", peut-on lire dans le bulletin de sécurité mis en ligne par l'éditeur de solutions de sécurité.

Quelles sont les versions de PAN-OS affectées ?

Les firewalls Palo Alto qui exécute les versions suivantes de PAN-OS sont potentiellement vulnérables : PAN-OS 10.2, 11.0 et 11.1. Ceci affecte uniquement PAN-OS, donc certaines versions spécifiques comme Cloud NGFW et Prisma Access ne sont pas impactées.

Voici le tableau récapitulatif publié par Palo Alto :

Il est important de préciser que l'exploitation de la vulnérabilité dépend de la configuration du firewall : "Ce problème s'applique uniquement aux pare-feu PAN-OS 10.2, PAN-OS 11.0 et PAN-OS 11.1 avec les configurations de la passerelle GlobalProtect et la télémétrie de l'appareil activées.", précise Palo Alto.

Comment se protéger de la CVE-2024-3400 ?

Pour le moment, aucun correctif n'est disponible ! Les correctifs, pour les différentes versions affectées, sont en cours de développement et sont attendus pour le dimanche 14 avril 2024, au plus tard.

Voici les versions qui seront publiées :

• PAN-OS 10.2.9-h1
• PAN-OS 11.0.4-h1
• PAN-OS 11.1.2-h3

En attendant, et avant de partir en week-end, il est impératif de désactiver la télémétrie sur votre firewall, en suivant cette documentation officielle. Ceci empêche l'exploitation de la vulnérabilité.

Sachez que si vous avez un abonnement à la fonction "Threat Prevention", vous pouvez bloquer cette attaque en activant la protection contre la menace avec l'ID 95187. De plus, assurez-vous que cette protection soit activée sur l'interface GlobalProtect, en suivant cette page de la documentation.

Source

The post Firewalls Palo Alto : cette faille de sécurité zero-day non corrigée est déjà exploitée dans des attaques ! first appeared on IT-Connect.

Le serveur Web des contrôleurs BMC (Baseboard Management Controller) utilisés par plusieurs fabricants de serveurs, dont Lenovo et Intel, est impacté par une faille de sécurité patchée il y a environ 6 ans ! Voici ce qu'il faut savoir sur cette menace potentielle.

Le Baseboard Management Controller (BMC) est un microcontrôleur intégré sur la carte mère de certains serveurs dont l'objectif est de faciliter la gestion à distance et la surveillance à distance du serveur. Ceci implique l'utilisation d'un serveur Web afin de publier l'interface de gestion. Dans le cas présent, Lighttpd est implémenté en tant que serveur Web.

Lors d'un scan récent sur des interfaces BMC, les chercheurs en sécurité de chez Binarly ont découvert que la version de Lighttpd utilisée contient une faille de sécurité. En l'exploitant, un attaquant pourrait exfiltrer les adresses de la mémoire des processus, ce qui faciliterait le contournement de certaines fonctions de sécurité comme l'ASLR (Address Space Layout Randomization).

Il s'avère qu'elle a été corrigée en août 2018, de façon relativement discrète, par les mainteneurs du projet Lighttpd, et cette faille de sécurité n'a même pas été associée à une référence CVE ! Il y a eu un manque de transparence de la part de l'équipe de Lighttpd.

De ce fait, les développeurs d'AMI MegaRAC BMC n'ont pas vu le correctif et ne l'ont pas intégré à leur produit... Résultat, nous avons encore un bel exemple d'un problème de sécurité qui affecte la chaine d'approvisionnement puisque cela impact les vendeurs de serveurs et leurs clients.

Voici un schéma très explicite intégré dans le rapport de Binarly :

Intel, Lenovo et Supermicro impactés !

Plusieurs fabricants et références de serveurs sont concernés par ce problème de sécurité, notamment Intel, Lenovo et Supermicro. Voici des précisions apportées par Binarly (avec des ID internes associés à ces problèmes de sécurité) :

• BRLY-2024-002 : Vulnérabilité spécifique dans la version 1.4.45 de Lighttpd utilisée dans la version 01.04.0030 (la plus récente) du micrologiciel de la série M70KLP d'Intel, impactant certains modèles de serveurs Intel.
• BRLY-2024-003 : Vulnérabilité spécifique dans Lighttpd version 1.4.35 dans le firmware Lenovo BMC version 2.88.58 (la plus récente) utilisé dans les modèles de serveurs Lenovo HX3710, HX3710-F, et HX2710-E.
• BRLY-2024-004 : Vulnérabilité générale dans les versions du serveur web Lighttpd antérieures à 1.4.51, permettant la lecture de données sensibles depuis la mémoire du processus du serveur.

Certains systèmes Intel et Lenovo ont été commercialisés récemment et devraient bénéficier d'un correctif. Néanmoins, ce ne sera pas le cas pour tous les serveurs, car certains modèles ne sont plus pris en charge. Par exemple, l'Intel Server System M70KLP a été lancé au premier trimestre 2021 et abandonné en février 2024 (ce qui est très court, en fait !).

Malheureusement, d'après Binarly, il y a une quantité importante d'interfaces BMC vulnérables et accessibles sur Internet, qui correspondent à du matériel en fin de vie et qui resteront vulnérables...

Source

The post Depuis 6 ans, des serveurs Lenovo, Intel et Supermicro sont affectés par une faille dans BMC first appeared on IT-Connect.

BatBadBut, c'est le nom d'une nouvelle faille de sécurité critique découverte dans la bibliothèque Rust ! Elle pourrait être exploitée par un attaquant pour exécuter des commandes sur les machines sous Windows ! Faisons le point.

Cette vulnérabilité associée à la référence CVE-2024-24576 est considérée comme critique : son score CVSS est de 10 sur 10, ce qui représente le niveau de sévérité maximal.

Pour autant, cette faille de sécurité peut être exploitée uniquement dans des scénarios spécifiques : "La bibliothèque standard Rust n'échappait pas correctement les arguments lors de l'invocation de fichiers batch (avec les extensions bat et cmd) sous Windows à l'aide de l'API Command", peut-on lire dans le bulletin de sécurité publié sur le site de Rust, le 9 avril 2024. Ceci explique que la vulnérabilité soit exploitable uniquement sur Windows.

Pour exploiter cette vulnérabilité, l'attaquant doit contrôler les arguments transmis au processus créé au moment de l'invocation du fichier batch pour exécuter les commandes shell arbitraires, en contournant le mécanisme d'échappement (escaping).

Le chercheur en sécurité RyotaK de chez Flatt Security a fait la découverte de cette vulnérabilité présente dans toutes les versions de Rust avant la version 1.77.2. Si vous utilisez Rust, vous devez donc effectuer la mise à jour vers 1.77.2 car cette version corrige cette faille de sécurité (voir cette page).

Rust ne serait pas le seul langage affecté par BatBadBut

RyotaK a surnommé cette vulnérabilité BatBadBut, et d'après lui, Rust n'est pas le seul langage de programmation affecté : tout dépend de comment est géré la fonction CreateProcess de Windows.

"CreateProcess() crée implicitement cmd.exe lors de l'exécution de fichiers batch (.bat, .cmd, etc.), même si l'application ne les a pas spécifiés dans la ligne de commande. Le problème est que cmd.exe a des règles de parsing compliquées pour les arguments de la commande, et que les exécutions des langages de programmation ne parviennent pas à échapper correctement les arguments de la commande.", précise-t-il dans un rapport publié sur le site de Flatt Security.

Pour le moment, tous les langages de programmation affectés n'ont pas résolu le problème, et il y a un travail à réaliser également du côté développement pour mieux gérer l'échappement.

• Voici un tableau récapitulatif publié par RyotaK :

Si vous êtes développeur, le rapport de RyotaK pourra vous apporter des détails techniques intéressants, notamment pour améliorer votre code afin de gérer ce problème de sécurité.

Source

The post BatBadBut : une faille critique de Rust expose les machines Windows à des attaques ! first appeared on IT-Connect.

À l'occasion de son Patch Tuesday d'avril 2024, Microsoft a corrigé deux failles de sécurité zero-day dans Windows. Elles sont déjà connues des attaquants et exploitées dans le cadre de cyberattaques. Faisons le point sur ces deux menaces !

Pour rappel, le Patch Tuesday d'avril 2024 de Microsoft permet de corriger au total 150 failles de sécurité, ainsi que les deux zero-day évoquées dans cet article.

CVE-2024-26234 - Vulnérabilité dans le pilote de Proxy de Windows (spoofing)

En décembre 2023, l'équipe de chercheurs en sécurité Sophos X-Ops a fait la découverte de cette faille de sécurité dans le pilote de Proxy de Windows. Elle a été reportée à Microsoft par l'intermédiaire de Christopher Budd. Cette vulnérabilité permet d'usurper l'identité de l'éditeur de Microsoft, car elle permet de signer un pilote ou un exécutable avec le certificat "Microsoft Hardware Publisher". Un certificat valide et approuvé par le système d'exploitation Windows.

C'est en effectuant l'analyse d'un exécutable nommé "Catalog.exe" émanant de "Catalog Thales" et décrit comme "Catalog Authentication Client Service" que Sophos a fait la découverte de ce problème de sécurité. Il s'agit sans aucun doute d'une tentative d'usurpation d'identité du groupe Thales, tentée par les pirates.

"Toutefois, après avoir consulté nos données internes et les rapports de VirusTotal, nous avons découvert que le fichier était auparavant intégré à un fichier d'installation pour un produit appelé LaiXi Android Screen Mirroring", peut-on lire dans le rapport publié par Sophos. Ceci est cohérent vis-à-vis d'une découverte effectuée également par les équipes de Stairwell, comme nous pouvons le voir dans ce rapport.

Sophos n'est pas parvenu à savoir si cette application provenait d'un éditeur légitime ou non, mais "nous sommes convaincus que le fichier que nous avons examiné est une porte dérobée malveillante.", précise leur rapport.

Ensuite, Sophos a pris contact avec l'équipe du Microsoft Security Response Center dans le but de signaler ce problème de sécurité. Microsoft a pris la décision de révoquer le certificat de signature de code utilisé par les pirates, grâce à la mise à jour de la liste de révocation (d'où la CVE-2024-26234 et le correctif associé.

CVE-2024-29988 - Vulnérabilité dans la fonction SmartScreen de Windows (bypass)

La vulnérabilité CVE-2024-29988 est présente dans la fonction de sécurité SmartScreen de Windows. Elle met en défaut le mécanisme de protection visant à protéger l'utilisateur contre l'exécution de fichiers potentiellement dangereux. La protection SmartScreen peut être contournée par cette vulnérabilité. Ainsi, elle ouvre la porte à l'exécution de malwares.

Ce problème de sécurité n'est pas nouveau, car il s'avère que la vulnérabilité CVE-2024-29988 permet de contourner le correctif CVE-2024-21412 précédemment mis au point par Microsoft (correctif publié en février 2024), qui lui-même permettait de bypasser le correctif CVE-2023-36025. Il s'avère que le précédent patch n'a pas corrigé totalement la vulnérabilité. Elle a été découverte par Peter Girnus de l'équipe Trend Micro Zero Day Initiative, ainsi que Dmitrij Lenz et Vlad Stolyarov de l'équipe Google Threat Analysis Group.

D'après Dustin Childs de l'équipe Trend Micro Zero Day Initiative (voir cette page), cette vulnérabilité est activement utilisée dans des attaques pour déployer des logiciels malveillants sur les machines Windows, en échappant aux systèmes de détection EDR/NDR et contournant la fonction "Mark of the Web" sur laquelle s'appuie SmartScreen, grâce à l'utilisation d'un fichier ZIP.

D'ailleurs, le groupe de pirates Water Hydra a exploité la vulnérabilité CVE-2024-21412 et il exploite désormais la CVE-2024-29988 dans le but d'infecter l'appareil des victimes avec le malware DarkMe, qui est un cheval de Troie d'accès à distance (RAT). Ce groupe cible en priorité les forums et canaux Telegram de forex.

Source

The post Windows : Microsoft a corrigé deux failles zero-day exploitées dans des attaques de malwares ! first appeared on IT-Connect.

Si vous utilisez un NAS D-Link, vous devriez lire cet article avec attention : un chercheur en sécurité a fait la découverte d'une porte dérobée codée en dur dans le firmware de nombreux modèles ! Le problème, c'est que ce sont des modèles en fin de vie. Faisons le point sur ce problème de sécurité !

Derrière la référence CVE-2024-3273 se cache une faille de sécurité associée à deux problèmes de sécurité. Tout d'abord, il y a une porte dérobée accessible par l'intermédiaire d'un compte utilisateur codé en dur, avec le nom d'utilisateur "messagebus" et sans mot de passe. Puis, un paramètre nommé "system" permet d'effectuer de l'exécution de commande. Cela signifie que si un NAS vulnérable est exposé sur Internet, un attaquant peut exécuter des commandes sur l'appareil, à distance.

Netsecfish, à l'origine de la découverte de cette vulnérabilité, a indiqué qu'elle était présente dans le script "/cgi-bin/nas_sharing.cgi" de certains NAS D-Link.

"L'exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant d'exécuter des commandes arbitraires sur le système, ce qui pourrait conduire à un accès non autorisé à des informations sensibles, à la modification des configurations du système ou à des conditions de déni de service", précise-t-il.

Quels sont les modèles affectés ?

Plusieurs modèles de NAS D-Link sont directement affectés par cette vulnérabilité et ce problème de sécurité important. Voici la liste :

• DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013
• DNS-325 Version 1.01
• DNS-327L Version 1.09, Version 1.00.0409.2013
• DNS-340L Version 1.08

La mauvaise nouvelle, c'est que ce sont des appareils en fin de vie et D-Link n'effectue plus la moindre prise en charge sur ces modèles. Dans un article mis en ligne sur son site officiel, D-Link recommande à ses utilisateurs d'arrêter d'utiliser ces modèles et de les remplacer par des modèles plus récents. En attendant, il est recommandé de ne pas exposer ces appareils sur Internet.

Plus de 92 000 NAS exposés et vulnérables

D'après un scan réalisé par le chercheur en sécurité Netsecfish, il y a plus de 92 000 NAS D-Link vulnérables à la CVE-2024-3273 et qui sont exposés sur Internet. Autrement dit, ils sont à la portée d'un pirate informatique. La compromission d'un NAS D-Link peut servir d'accès initial à un attaquant...

Source

The post Une porte dérobée codée en dur met en danger plus de 92 000 NAS D-Link exposés sur Internet first appeared on IT-Connect.

Mauvaise nouvelle ! Un chercheur en sécurité du nom de « Netsecfish » vient de dénicher une faille bien vicieuse dans les NAS D-Link. C’est pas un petit bug de rien du tout puisque c’est une backdoor (porte dérobée) qui permet carrément d’exécuter des commandes à distance sur votre NAS ! Ce qui est flippant, c’est qu’il y aurait plus de 92 000 appareils exposés sur Internet qui seraient vulnérables à cette RCE.

D’après Netsecfish, la faille se planque dans le script « /cgi-bin/nas_sharing.cgi », qui gère les requêtes HTTP GET et qui autorise un compte caché avec le nom d’utilisateur « messagebus » et un mot de passe vide. Et en plus de cette porte dérobée, il y a également une faille d’injection de commande via le paramètre « system » qui permet d’exécuter tout et n’importe quoi sur le NAS. Une vraie passoire donc !

Quand on sait que sur nos NAS, on stocke à peu près tout, de nos photos perso à nos backups, je pense que là, on peut dire que ça craint. Bien sûr, vous vous dites sûrement : « Pas de panique, D-Link va corriger ça vite fait bien fait« .

Ah ah, que vous êtes drôles vous. Bah oui, parce que les modèles concernés sont en fin de vie, obsolètes, has been (comme vos t-shirts), donc D-Link ne compte pas développer de patch. Bouuuh les affreux ! La seule solution, c’est donc remplacer votre vieux NAS par un modèle plus récent. Ouin… Cela dit, je pense que les clients D-Link passeront à la concurrence… Au hasard Synology ????

92 000 appareils exposés, ça fait une belle brochette et même si c’est du vieux matos, ça doit trainer chez pas mal de monde et d’entreprises qui doivent encore l’utiliser et qui ne seront même pas au courant de ce problème, sauf s’ils lisent mon site évidemment ^^.

Bref, si vous avez un vieux NAS D-Link qui traîne dans un coin, éteignez-moi ça vite fait. Et par pitié, ne le laissez pas exposé sur Internet, sauf si vous aimez vivre dangereusement.

Source

Grosse alerte de sécurité : la bibliothèque "liblzma" utilisée par de nombreuses distributions Linux est victime d'une compromission de la chaîne d'approvisionnement : les dernières versions contiennent du code malveillant qui permet de déployer une porte dérobée sur le système. Faisons le point sur cette menace.

La bibliothèque liblzma appelée aussi XZ Utils est présente dans de nombreuses distributions Linux, notamment Arch Linux, Fedora, Debian, OpenSUSE, Alpine Linux, etc... Il s'agit d'une bibliothèque de compression de données susceptible d'être utilisées par d'autres applications.

Il s'avère que deux versions de la bibliothèque liblzma sont impactées par une attaque de type supply chain : 5.6.0 ou 5.6.1. La version 5.6.0 date de fin février tandis que la version 5.6.1 a été publiée le 9 mars 2024. Ces deux versions du paquet XZ contiennent du code malveillant qui a été très bien dissimulé par les auteurs de cette attaque, par l'intermédiaire d'un fichier m4 avec du code obfusqué. Il est visible uniquement lorsque le paquet est téléchargé en intégralité, donc il est invisible sur Git, par exemple.

Andres Freund, ingénieur logiciel chez Microsoft, a fait la découverte de ce problème de sécurité en menant des investigations sur une machine Debian Sid, après avoir constaté que les connexions SSH étaient anormalement longues.

Si une version compromise du paquet XZ est installée sur une machine, alors une porte dérobée est également déployée. Celle-ci offre un accès distant à l'attaquant qui pourrait se connecter à votre machine par l'intermédiaire d'une connexion SSH, sans avoir besoin de connaître vos identifiants (car il y a un lien entre systemd et liblzma).

Sachez que ceci est considéré comme une vulnérabilité et que la référence CVE pour cette faille de sécurité critique est la suivante : CVE-2024-3094. Sans surprise, un score CVSS v3.1 de 10 sur 10 a été associé à cette vulnérabilité.

Quels sont les systèmes affectés ?

Même si plusieurs distributions telles que Debian, Fedora ou encore Arch Linux sont concernées, ceci n'affecte pas toutes les versions. En effet, ceci concerne avant tout les versions en cours de développement, dont Debian Sid qui est la future version stable de Debian.

Pour Fedora, sachez que Fedora Rawhide et Fedora 41 sont affectées par ce problème de sécurité. Au sein du bulletin de sécurité de Red Hat, nous pouvons également lire ceci : "Aucune version de Red Hat Enterprise Linux (RHEL) n'est concernée.", ce qui n'est pas surprenant.

Potentiellement, tout autre système avec le paquet XZ en version 5.6.0 ou 5.6.1 est également affecté, donc vérifiez vos machines. Dans ce cas, il convient d'effectuer un downgrade vers la version 5.4.6.

Cette commande doit permettre d'obtenir la version :

dpkg -l | grep "xz-utils"

Pour approfondir le sujet, vous pouvez lire cet article intéressant qui donne des détails techniques supplémentaires, ainsi que l'origine de cette compromission : un nouveau développeur qui est venu épauler le créateur de la bibliothèque XZ Utils.

The post Alerte de sécurité Linux : une porte dérobée a été intégrée dans XZ Utils ! first appeared on IT-Connect.

Saviez-vous qu’une faille de sécurité plus vicieuse qu’un boss de fin de niveau est tapie dans les entrailles de notre cher Linux depuis plus d’une décennie ? Et attention, on ne parle pas d’un vulgaire bug qui fait planter votre distrib’ préférée, non non. Cette saleté, baptisée « WallEscape » par Skyler Ferrante, un chercheur en sécurité un peu barré (on y reviendra), permet ni plus ni moins à un petit malin de vous subtiliser votre précieux mot de passe Admin !

Tout commence avec une commande anodine appelée « wall« , présente dans le package util-linux. Son petit boulot à elle, c’est d’envoyer des messages à tous les utilisateurs connectés sur une même machine. Jusque-là, rien de bien méchant, vous me direz.

Sauf que voilà, un beau jour, ou plutôt un sale jour de 2013, un commit un peu foireux est venu s’immiscer dans le code de wall tel un cheveu sur la soupe. Depuis, cette brebis galeuse s’est gentiment propagée dans toutes les versions de util-linux, tel un virus informatique qui s’ignore.

Mais qu’est-ce qu’il y avait de si terrible dans ce ce commit ? Eh bien, pour faire simple, le dev qui l’a poussé, a tout bonnement oublié de filtrer correctement les fameuses « escape sequences » dans les arguments de la ligne de commande. Résultat des courses : un petit malin un peu bricoleur peut maintenant s’amuser à injecter tout un tas de caractères de contrôle pour faire des trucs pas très catholiques sur votre terminal.

Et c’est là que notre ami chercheur en sécurité dont je vous parlais au début de l’article, entre en scène. Armé de sa curiosité légendaire et de son sens de l’humour douteux, il a flairé le potentiel de la faille et s’est amusé à monter un scénario d’attaque digne d’un film de ma saga préférée : « Die Hard ». L’idée, diaboliquement géniale, est d’utiliser ces fameuses « escape sequences » non filtrées pour créer de fausses invites sudo sur le terminal de la victime. Ainsi, tel un loup déguisé en agneau, l’attaquant peut vous inciter à gentiment taper votre mot de passe administrateur, pensant avoir affaire à une véritable demande d’authentification système.

Bon, je vous rassure tout de suite, il y a quand même quelques conditions à remplir pour que l’attaque fonctionne. Déjà, il faut que l’option « mesg » soit activée sur votre machine et que la commande wall ait les permissions setgid.

Bien sûr, en tant que vrai geek qui se respecte, vous avez probablement déjà mis à jour votre système avec la dernière version de util-linux qui colmate la brèche. Sinon, vous pouvez toujours vérifier que les permissions setgid ne sont pas activées sur wall ou carrément désactiver cette fonctionnalité de messages avec « mesg« .

En attendant, je ne peux que vous encourager à jeter un coup d’œil au PoC de notre ami chercheur, histoire de voir à quoi peut ressembler une fausse invite sudo des familles. C’est toujours ça de pris pour briller en société.

Allez, amusez-vous bien et n’oubliez pas : sudo rm -rf /*, c’est le mal !

Source

GoFetch, c'est le nom d'une attaque qui exploite une faille de sécurité importante découverte dans les puces Apple M1, M2 et M3 utilisées par les générations les plus récentes de Mac. La particularité de cette vulnérabilité : elle ne peut pas être corrigée, à moins d'impacter très fortement les performances des puces fabriquées par Apple. Faisons le point !

Une équipe de chercheurs du MIT Computer Science & Artificial Intelligence Laboratory (CSAIL) a mis au point une technique d'attaque baptisée GoFetch, qui exploite une faille de sécurité matérielle présente dans les puces Apple Silicon. Cette attaque de type "side-channel" cible une fonction d'optimisation matérielle appelée Data Memory-dependent Prefetcher (DMP).

Le DMP est une fonction intégrée dans les puces Apple et qui a pour objectif d'aider le processeur à deviner les données dont il pourrait avoir besoin ensuite afin d'optimiser les performances (principe du prefetch). Dans le cas présent, l'attaque permet de tromper la fonction DMP afin qu'elle révèle des informations sensibles stockées en mémoire.

En effet, en exploitant GoFetch, un attaquant pourrait extraire des clés cryptographiques stockées sur un Mac (OpenSSL Diffie-Hellman, Go RSA, CRYSTALS Kyber et Dilithium) dans le but de contourner les opérations de chiffrement effectuées directement par la puce Apple Silicon. Il serait possible de compromettre les clés utilisées par divers algorithmes de chiffrement. In fine, ceci facilite l'accès aux données stockées sur le Mac.

Pour mener à bien cette attaque, l'attaquant doit convaincre la victime d'exécuter un malware (par l'intermédiaire d'un e-mail malveillant, par exemple). Le malware doit être exécuté en parallèle de l'application prise pour cible, et ce, pendant un certain temps afin de pouvoir voler la clé.

Comment se protéger de la faille GoFetch ?

GoFetch fait référence à une faille de sécurité matérielle dans l'architecture même des puces Apple, donc en raison de sa nature, il ne sera pas possible de corriger directement la vulnérabilité. L'intégration d'un correctif ou d'une mesure d'atténuation va passer par la couche logicielle.

Le problème, c'est que la mise en œuvre d'un quelconque correctif va très fortement dégrader les performances des puces Apple, en particulier les deux premières générations : Apple M1 et M2. D'ailleurs, au passage, cette histoire n'est pas sans rappeler les failles de sécurité Meltdown et Spectre qui touchaient de nombreux processeurs Intel et AMD et dont la correction impactait également les performances du processeur.

Pour en savoir plus, vous pouvez consulter le site officiel de GoFetch. Sur ce site, il est d'ailleurs précisé qu'un code PoC sera mis en ligne prochainement... Apple ne s'est pas encore exprimé au sujet de GoFetch. Affaire à suivre...

The post La faille matérielle GoFetch affecte les puces Apple M1, M2 et M3 et ne peut pas être corrigée ! first appeared on IT-Connect.

Une faille de sécurité critique présente dans la solution FortiClient Enterprise Management Server (EMS) de chez Fortinet est activement exploitée par les cybercriminels ! Voici ce qu'il faut savoir sur cette menace !

Le 12 mars 2024, Fortinet a mis en ligne un bulletin de sécurité pour informer ses utilisateurs de la présence d'une vulnérabilité critique (score CVSSv3 de 9.3 sur 10) présente dans la solution FortiClient EMS.

Associée à la référence CVE-2023-48788, il s'agit d'une faiblesse de type "injection SQL" permettant à un attaquant non authentifié d'exécuter du code ou des commandes à distance sur la machine vulnérable. Autrement dit, un attaquant en mesure de communiquer avec un serveur vulnérable peut exécuter du code avec les privilèges SYSTEM dans le but de compromettre la machine.

Dans ce même bulletin de sécurité, nous pouvons lire ceci : "Cette vulnérabilité est exploitée dans la nature". De plus, mercredi 20 mars 2024, les chercheurs en sécurité de chez Horizon3.ai ont mis en ligne un rapport et un exploit PoC au sujet de cette faille de sécurité. Cet exploit se présente sous la forme d'un script Python et il est disponible sur GitHub.

"Pour transformer cette vulnérabilité d'injection SQL en exécution de code à distance, nous avons utilisé la fonctionnalité xp_cmdshell intégrée de Microsoft SQL Server.", peut-on lire dans le rapport d'Horizon3.ai. Cette fonction n'est pas activée par défaut sur SQL Server, ce qui explique de jouer certaines commandes en amont par l'intermédiaire de l'injection SQL.

Une recherche sur Shodan montre qu'il y a actuellement 446 serveurs FortiClient EMS exposés sur Internet, dont 13 en France et au Canada, 8 en Suisse et 4 en Belgique.

Comment se protéger ?

Voici un tableau récapitulatif avec la liste des versions affectées et la liste des versions qui intègrent un correctif de sécurité pour la CVE-2023-48788.

Version (branche)	Versions vulnérables	Solution
FortiClientEMS 7.2	7.2.0 à 7.2.2	Mettre à niveau vers 7.2.3 ou supérieur
FortiClientEMS 7.0	7.0.1 à 7.0.10	Mettre à niveau vers 7.0.11 ou supérieur

Source

The post Cette faille critique dans FortiClient EMS permet d’exécuter du code à distance en tant que SYSTEM first appeared on IT-Connect.

Le gang de ransomware ShadowSyndicate analyse les serveurs Web exposés sur Internet à la recherche de serveurs vulnérables à la CVE-2024-23334 présente dans une bibliothèque Python nommée "aiohttp". Faisons le point sur cette menace.

Aiohttp est une bibliothèque Python open-source capable de gérer de grandes quantités de requêtes HTTP en simultanés, de façon asynchrones. Elle est basée sur le framework d'E/S AsyncIO, lui aussi codé en Python. Cette bibliothèque est utilisée par les développeurs qui ont besoin de mettre en place des applications et des services web avec un niveau élevé de performances performance. Elle semble relativement populaire puisque la page du projet sur Pypi.org compte près de 14 500 Stars.

La faille de sécurité CVE-2024-23334 dans Aiohttp

Le 28 janvier 2024, les développeurs de la bibliothèque Aiohttp ont mis en ligne la version 3.9.2 dans le but de corriger une faille de sécurité importante associée à la référence CVE-2024-23334. Toutes les versions avant la version 3.9.2 sont affectées par cette faille de sécurité. Depuis, la version 3.9.3 a été publiée, et il y a même une release candidate de la version 3.9.4.

La CVE-2024-23334 est une faiblesse de type "Path transversal" pouvant permettre à un attaquant non authentifié d'accéder à des données sensibles hébergées sur le serveur applicatif. Voici ce que l'on peut lire sur le site du NIST : "Cela peut conduire à des vulnérabilités de traversée de répertoire, entraînant un accès non autorisé à des fichiers arbitraires sur le système, même lorsque les liens symboliques ne sont pas présents."

Désormais, cette vulnérabilité est bien connue et il existe plusieurs ressources permettant de faciliter son exploitation, notamment un PoC sur GitHub relayé sur X (Twitter) le 27 février 2024, ou encore cette vidéo YouTube publiée début mars.

Des tentatives d'exploitation depuis le 29 février 2024

D'après les analystes de Cyble, il y a eu des premières tentatives d'exploitation dès le 29 février, et à présent les scans et les tentatives d'exploitation s'intensifient. Plusieurs adresses IP différentes sont à l'origine de ces tentatives, et précédemment, l'une de ces adresses IP a été associée au gang de ransomware ShadowSyndicate. Il s'agit d'un groupe de cybercriminels lancé en juillet 2022.

Voici les adresses IP malveillantes identifiées par Cyble :

• 81[.]19[.]136[.]251
• 157[.]230[.]143[.]100
• 170[.]64[.]174[.]95
• 103[.]151[.]172[.]28
• 143[.]244[.]188[.]172

Toujours d'après les informations fournies par Cyble, à l'aide du scanner ODIN (voir cette page), il y aurait actuellement plus de 44 500 serveurs exposés sur Internet où l'en-tête HTTP correspond à Aiohttp. Ceci ne veut pas dire que ces serveurs sont vulnérables, car tout dépend de la version utilisée.

Comme le montre le graphique ci-dessous, il y a environ 1 300 hôtes situés en France : ce sont des cibles potentielles.

Si vous utilisez la bibliothèque Aiohttp, vous devez passer sur la version 3.9.2 ou supérieure, dès que possible.

Source

The post Une faille de sécurité dans Aiohttp exploitée par le gang de ransomware ShadowSyndicate first appeared on IT-Connect.

Accrochez-vous bien à vos chaises (ou à vos hamacs, je ne juge pas 😉) car des chercheurs en sécurité nous ont encore pondu une nouvelle attaque qui devrait bien faire stresser sur la sécurité de vos CPU !

Oui je sais, on en a déjà vu des vertes et des pas mûres avec Spectre, Meltdown et toute la clique… Mais là, c’est tout aussi lourd. Ça s’appelle GhostRace et ça va vous hanter jusque dans vos cauchemars !

En gros, c’est une variante de Spectre qui arrive à contourner toutes les protections logicielles contre les race conditions. Les mecs de chez IBM et de l’université d’Amsterdam ont donc trouvé un moyen d’exploiter l’exécution spéculative des processeurs (le truc qui leur permet de deviner et d’exécuter les instructions à l’avance) pour court-circuiter les fameux mutex et autres spinlocks qui sont censés empêcher que plusieurs processus accèdent en même temps à une ressource partagée.

Résultat des courses: les attaquants peuvent provoquer des race conditions de manière spéculative et en profiter pour fouiner dans la mémoire et chopper des données sensibles ! C’est vicieux… En plus de ça, l’attaque fonctionne sur tous les processeurs connus (Intel, AMD, ARM, IBM) et sur n’importe quel OS ou hyperviseur qui utilise ce genre de primitives de synchronisation. Donc en gros, personne n’est à l’abri !

Les chercheurs ont même créé un scanner qui leur a permis de trouver plus de 1200 failles potentielles rien que dans le noyau Linux. Et leur PoC arrive à siphonner la mémoire utilisée par le kernel à la vitesse de 12 Ko/s. Bon après, faut quand même un accès local pour exploiter tout ça, mais quand même, ça la fout mal…

Bref, c’est la grosse panique chez les fabricants de CPU et les éditeurs de systèmes qui sont tous en train de se renvoyer la balle façon ping-pong. 🏓 Les premiers disent « mettez à jour vos OS« , les seconds répondent « patchez d’abord vos CPU !« . En attendant, c’est nous qui trinquons hein…

Mais y’a quand même une lueur d’espoir: les chercheurs ont aussi proposé une solution pour « mitiger » le problème. Ça consiste à ajouter des instructions de sérialisation dans toutes les primitives de synchronisation vulnérables. Bon ok, ça a un coût en perfs (5% sur LMBench quand même) mais au moins ça colmate les brèches. Reste plus qu’à convaincre Linus Torvalds et sa bande de l’implémenter maintenant… 😒

En attendant, je vous conseille de garder l’œil sur les mises à jour de sécurité de votre OS et de votre microcode, on sait jamais ! Et si vous voulez en savoir plus sur les dessous techniques de l’attaque, jetez un œil au white paper et au blog des chercheurs, c’est passionnant.

A la prochaine pour de nouvelles (més)aventures !

Il y a un mois, nous apprenions l'existence d'une nouvelle faille de sécurité critique présente dans la fonction de VPN SSL des appareils FortiGate et FortiProxy de chez Fortinet. Aujourd'hui encore, il y a encore près de 150 000 équipements vulnérables. Faisons le point sur cette menace.

Rappel sur la CVE-2024-21762

La vulnérabilité associée à la référence CVE-2024-21762 est une faille de sécurité critique de type "out-of-bounds write", avec un score CVSS est de 9.6 sur 10, présente dans le système FortiOS de Fortinet. D'après l'entreprise américaine, cette vulnérabilité affecte les firewalls FortiGate et les équipements FortiProxy. En l'exploitant, un attaquant non authentifié peut exécuter du code à distance sur l'équipement pris pour cible, à l'aide d'une requête spécialement conçue dans ce but.

D'ailleurs, d'après l'agence américaine CISA, cette vulnérabilité a été activement exploitée dans la foulée de sa divulgation. La CISA avait ordonné aux agences fédérales américaines de protéger leurs appareils FortiOS contre cette vulnérabilité avant le 16 février 2024.

• En savoir plus sur la CVE-2024-21762

Près de 150 000 équipements vulnérables

D'après les derniers chiffres de The Shadowserver Foundation, au niveau mondial, il y a encore environ 150 000 équipements exposés sur Internet et vulnérables à la faille de sécurité CVE-2024-21762. Ce chiffre est fou, surtout que cette vulnérabilité a été très largement médiatisée...

Si l'on regarde la carte publiée par The Shadowserver Foundation, nous pouvons constater qu'il y a plus de 4 400 équipements Fortinet vulnérables en France, au même titre qu'au Canada, à quelques équipements près. En Suisse, il y a 1 700 équipements vulnérables, tandis qu'on en compte approximativement 1 500 pour la Belgique. À titre de comparaison, il y en a plus de 24 000 aux États-Unis.

J'en profite pour rappeler qu'il existe des correctifs de sécurité, publiés par Fortinet et disponible depuis 1 mois. Enfin, sachez que vous pouvez vérifier si votre VPN SSL est vulnérable en exécutant ce script Python développé par les chercheurs de la société BishopFox.

Source

The post Cette faille critique dans le VPN SSL de Fortinet affecte toujours près de 150 000 appareils ! first appeared on IT-Connect.

Dans le cadre de ses activités malveillantes, le célèbre groupe Lazarus a exploité une faille de sécurité présente dans le pilote AppLocker de Windows. Grâce à cette vulnérabilité, les hackers ont pu obtenir un accès au niveau du noyau et désactiver les outils de sécurité présents sur la machine. Faisons le point.

CVE-2024-21338, c'est la référence CVE associée à la faille de sécurité exploitée par le groupe de hackers nord-coréen Lazarus. Microsoft l'a patché le 13 février dernier, à l'occasion de son Patch Tuesday de février 2024.

Les experts d'Avast ont mis en ligne un nouveau rapport pour évoquer ces cyberattaques. Il permet d'apprendre que le groupe Lazarus a exploité cette vulnérabilité par l'intermédiaire d'une nouvelle version de son rootkit FudModule. Ce dernier est désormais plus furtif et plus difficile à détecter, en plus d'être capable de désactiver les solutions de sécurité présentes sur la machine Windows, notamment Microsoft Defender et CrowdStrike Falcon.

Avast explique également que le groupe Lazarus a exploité cette faille de sécurité en tant que zero-day, ce qui signifie qu'il n'existait pas encore de patch de sécurité. Avast a détecté cette vulnérabilité et l'a signalée à Microsoft. "L'exploitation de la vulnérabilité zero-day constitue une autre étape importante, alors que Lazarus utilisait auparavant des techniques BYOVD (Bring Your Own Vulnerable Driver) beaucoup plus bruyantes pour franchir la frontière entre l'administrateur et le noyau.", peut-on lire.

Quelles sont les versions de Windows affectées ? Quels sont les risques ?

Si l'on se réfère au site de Microsoft, nous pouvons voir que cette vulnérabilité affecte Windows 10 version 1809 et supérieur, Windows 11, ainsi que Windows Server 2019 et Windows Server 2022. "Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait obtenir les privilèges SYSTEM.", précise Microsoft.

Dans le cas présent, c'est le logiciel malveillant déployé sur la machine qui va directement exploiter cette vulnérabilité présente dans le pilote "appid.sys" utilisé par AppLocker afin d'obtenir une liste blanche d'applications. Ainsi, ils ont accès au noyau de l'OS et peuvent en prendre le contrôle.

Pour vous protéger, vous n'avez qu'une seule option : installer les dernières mises à jour sur vos machines Windows et Windows Server.

Source

The post Windows : le groupe Lazarus a exploité cette faille de sécurité zero-day dans AppLocker ! first appeared on IT-Connect.