Récapitulatif de la cybersécurité THN : principales menaces, outils et actualités (21 octobre – 27 octobre)


28 octobre 2024Ravie LakshmananCybersécurité / Actualités sur le piratage

L’actualité de la cybersécurité peut parfois ressembler à un film d’horreur sans fin, n’est-ce pas ? Juste au moment où l’on pense que les méchants sont enfermés, une nouvelle menace surgit de l’ombre.

Cette semaine ne fait pas exception, avec des histoires de failles exploitées, d’espionnage international et de manigances d’IA qui pourraient vous faire tourner la tête. Mais ne vous inquiétez pas, nous sommes là pour tout expliquer dans un anglais simple et vous fournir les connaissances dont vous avez besoin pour rester en sécurité.

Alors prenez votre pop-corn (et peut-être un pare-feu) et plongeons-nous dans le dernier drame de la cybersécurité !

⚡ Menace de la semaine

Une faille critique de Fortinet est exploitée : Fortinet a révélé qu’une faille de sécurité critique affectant FortiManager (CVE-2024-47575, score CVSS : 9,8), qui permet l’exécution de code à distance non authentifié, a été activement exploitée dans la nature. On ne sait pas exactement qui se cache derrière cela. Mandiant, propriété de Google, suit l’activité sous le nom UNC5820.

️🔥 CVE tendances

CVE-2024-41992, CVE-2024-20481, CVE-2024-20412, CVE-2024-20424, CVE-2024-20329, CVE-2024-38094, CVE-2024-8260, CVE-2024-38812, CVE- 2024-9537, CVE-2024-48904

🔔 Meilleures nouvelles

  • Failles cryptographiques graves chez 5 fournisseurs de stockage cloud : Des chercheurs en cybersécurité ont découvert de graves problèmes cryptographiques dans les plates-formes de stockage cloud cryptées de bout en bout (E2EE) Sync, pCloud, Icedrive, Seafile et Tresorit, qui pourraient être exploités pour injecter des fichiers, falsifier les données des fichiers et même obtenir un accès direct au texte brut. . Les attaques dépendent cependant de l’accès d’un attaquant à un serveur afin de les réaliser.
  • Lazarus exploite une faille dans Chrome : L’acteur nord-coréen Lazarus Group a été attribué à l’exploitation Zero Day d’une faille de sécurité désormais corrigée dans Google Chrome (CVE-2024-4947) pour prendre le contrôle des appareils infectés. La vulnérabilité a été corrigée par Google à la mi-mai 2024. La campagne, qui aurait débuté en février 2024, consistait à inciter les utilisateurs à visiter un site Web faisant la publicité d’un jeu de chars d’arène de combat en ligne multijoueur (MOBA), mais incorporait du JavaScript malveillant pour déclencher l’exploiter et accorder aux attaquants un accès à distance aux machines. Le site Web a également été utilisé pour proposer un jeu entièrement fonctionnel, mais contenant du code pour fournir des charges utiles supplémentaires. En mai 2024, Microsoft a attribué l’activité à un cluster qu’il suit sous le nom de Moonstone Sleet.
  • Correction d’une faille de prise de contrôle de compte AWS Cloud Development Kit (CDK) : Une faille de sécurité désormais corrigée affectant le kit de développement cloud (CDK) d’Amazon Web Services (AWS) aurait pu permettre à un attaquant d’obtenir un accès administratif à un compte AWS cible, entraînant ainsi une prise de contrôle complète du compte. Suite à une divulgation responsable le 27 juin 2024, le problème a été résolu par Amazon dans la version 2.149.0 du CDK publiée en juillet 2024.
  • La SEC inflige une amende à 4 entreprises pour divulgations trompeuses sur SolarWinds : La Securities and Exchange Commission (SEC) des États-Unis a accusé quatre sociétés publiques, Avaya, Check Point, Mimecast et Unisys, d’avoir fait des « divulgations matériellement trompeuses » liées à la cyberattaque à grande échelle qui a découlé du piratage de SolarWinds en 2020. L’agence fédérale a accusé les entreprises d’avoir minimisé la gravité de la violation dans leurs déclarations publiques.
  • 4 membres de REvil condamnés en Russie : Quatre membres de l’opération de ransomware REvil, aujourd’hui disparue, Artem Zaets, Alexei Malozemov, Daniil Puzyrevsky et Ruslan Khansvyarov, ont été condamnés à plusieurs années de prison en Russie. Ils ont été initialement arrêtés en janvier 2022 à la suite d’une opération policière menée par les autorités russes.

📰 Autour du cybermonde

  • Delta Air Lines poursuit CrowdStrike pour panne de juillet : Lignes aériennes Delta déposé un procès contre CrowdStrike dans l’État américain de Géorgie, accusant le fournisseur de cybersécurité de rupture de contrat et de négligence après qu’une panne majeure en juillet ait provoqué 7 000 annulations de vols, perturbé les projets de voyage de 1,3 million de clients et coûté au transporteur plus de 500 millions de dollars. « CrowdStrike a provoqué une catastrophe mondiale parce qu’il a rogné sur les raccourcis, pris des raccourcis et contourné les processus de test et de certification annoncés, pour son propre bénéfice et son profit », a-t-il déclaré. « Si CrowdStrike avait testé la mise à jour défectueuse sur un seul ordinateur avant le déploiement, l’ordinateur serait tombé en panne. » CrowdStrike a déclaré que « les affirmations de Delta sont fondées sur des informations erronées, démontrent un manque de compréhension du fonctionnement de la cybersécurité moderne et reflètent une tentative désespérée de rejeter la responsabilité de sa lente reprise sur son incapacité à moderniser son infrastructure informatique désuète. »
  • Meta annonce un moyen sécurisé de stocker les contacts WhatsApp : Meta a annoncé un nouveau système de stockage crypté pour les contacts WhatsApp appelé Identity Proof Linked Storage (IPLS), permettant aux utilisateurs de créer et d’enregistrer des contacts ainsi que leurs noms d’utilisateur directement dans la plate-forme de messagerie en tirant parti du module de transparence des clés et de sécurité matérielle (HSM). Jusqu’à présent, WhatsApp s’appuyait sur le carnet de contacts d’un téléphone à des fins de synchronisation. NCC Group, qui a effectué une évaluation de la sécurité du nouveau cadre et a découvert 13 problèmes, dit IPLS « vise à stocker les contacts intégrés à l’application d’un utilisateur WhatsApp sur les serveurs WhatsApp d’une manière respectueuse de la vie privée » et que « les serveurs WhatsApp n’ont pas de visibilité sur le contenu des métadonnées de contact d’un utilisateur ». Toutes les lacunes identifiées ont été entièrement corrigées depuis septembre 2024.
  • CISA et FBI enquêtent sur les attaques du typhon Salt : L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) dit le gouvernement américain enquête sur « l’accès non autorisé aux infrastructures de télécommunications commerciales » par des acteurs menaçants liés à la Chine. Cette évolution intervient au milieu d’informations selon lesquelles le groupe de piratage Salt Typhoon s’est introduit dans les réseaux d’AT&T, Verizon et Lumen. Les entreprises concernées ont été informées après que « l’activité malveillante » a été identifiée, a indiqué la CISA. L’ampleur de la campagne et la nature des informations compromises, le cas échéant, ne sont pas claires. Plusieurs rapports de Le New York Times, Le Wall Street Journal, Reuters, Presse associéeet Actualités CBS ont affirmé que Salt Typhoon avait utilisé son accès aux géants des télécommunications pour accéder aux téléphones ou aux réseaux utilisés par les campagnes présidentielles démocrates et républicaines.
  • Les stratagèmes frauduleux des informaticiens deviennent un problème encore plus grave : Alors que la Corée du Nord a récemment fait la une des journaux pour ses tentatives d’obtenir des emplois dans des entreprises occidentales, et même d’exiger une rançon dans certains cas, un nouveau rapport de la société de sécurité d’identité HYPR montre que le stratagème de fraude des employés ne se limite pas au pays. La société a déclaré avoir récemment proposé un contrat à un ingénieur logiciel prétendant être originaire d’Europe de l’Est. Mais le processus ultérieur d’intégration et de vérification vidéo a déclenché un certain nombre d’alarmes concernant leur véritable identité et leur emplacement, incitant l’individu anonyme à saisir une autre opportunité. Il n’existe actuellement aucune preuve liant cette embauche frauduleuse à la Corée du Nord, et on ne sait pas clairement ce qu’ils recherchaient. « Mettez en œuvre un processus de vérification multifactorielle pour lier l’identité du monde réel à l’identité numérique pendant le processus d’approvisionnement », HYPR dit. « La vérification par vidéo est un contrôle d’identité essentiel, et pas seulement lors de l’intégration. »
  • Nouvelles attaques contre les outils d’IA : Les chercheurs ont découvert un moyen de manipuler les filigranes numériques générés par AWS Bedrock Titan Image Generator, permettant aux acteurs malveillants non seulement d’appliquer des filigranes à n’importe quelle image, mais également de supprimer les filigranes des images générées par l’outil. Le problème a été corrigé par AWS le 13 septembre 2024. Le développement suit le découverte de failles d’injection rapide dans Google Gemini for Workspace, permettant à l’assistant IA de produire des réponses trompeuses ou involontaires, et même de distribuer des documents et des e-mails malveillants à des comptes cibles lorsque les utilisateurs demandent du contenu lié à leurs e-mails ou des résumés de documents. De nouvelles recherches ont également trouvé une forme d’attaque de détournement de LLM dans laquelle les acteurs malveillants capitalisent sur les informations d’identification AWS exposées pour interagir avec les grands modèles de langage (LLM) disponibles sur Bedrock, dans un cas en les utilisant pour carburant une application de chat de jeu de rôle sexuel qui jailbreake le modèle d’IA pour « accepter et répondre avec du contenu qui serait normalement bloqué » par celui-ci. Plus tôt cette année, Sysdig a détaillé une campagne similaire appelée LLMjacking qui utilise des informations d’identification cloud volées pour cibler les services LLM dans le but de vendre l’accès à d’autres acteurs malveillants. Mais dans une tournure intéressante, les attaquants tentent désormais également d’utiliser les informations d’identification cloud volées pour activer les modèles, au lieu de simplement abuser de celles déjà disponibles.

🔥 Ressources et informations

🎥 Webinaire d’experts en sécurité informatique

Maîtrisez la sécurité des données dans le cloud avec DSPM: Vous avez du mal à assurer la sécurité des données dans le cloud ? Ne laissez pas vos données sensibles devenir un handicap. Rejoignez notre webinaire et découvrez comment Global-e, l’un des principaux acteurs du commerce électronique, a considérablement amélioré sa sécurité des données grâce à DSPM. Le RSSI Benny Bloch révèle leur parcours, y compris les défis, les erreurs et les leçons cruciales apprises. Obtenez des informations exploitables sur la mise en œuvre de DSPM, la réduction des risques et l’optimisation des coûts du cloud. Inscrivez-vous maintenant et obtenez un avantage concurrentiel dans le monde actuel axé sur les données.

🛡️Demandez à l’expert

Question : Quelle est la vulnérabilité la plus négligée des systèmes d’entreprise et que les attaquants ont tendance à exploiter ?

UN: Les vulnérabilités les plus négligées dans les systèmes d’entreprise résident souvent dans de mauvaises configurations IAM telles que des comptes trop autorisés, une sécurité laxiste des API, un shadow IT non géré et des fédérations cloud mal sécurisées. Des outils comme Azure PIM ou SailPoint aident à appliquer le moindre privilège en gérant les examens d’accès, tandis que Kong ou Auth0 sécurisent les API via la rotation des jetons et la surveillance WAF. Les risques du Shadow IT peuvent être réduits grâce à Cisco Umbrella pour la découverte d’applications et à Netskope CASB pour appliquer le contrôle d’accès. Pour sécuriser les fédérations, utilisez Prisma Cloud ou Orca pour analyser les paramètres et renforcer les configurations, tandis que Cisco Duo permet une MFA adaptative pour une authentification plus forte. Enfin, protégez les comptes de service grâce à la gestion automatisée des informations d’identification via HashiCorp Vault ou AWS Secrets Manager, garantissant un accès sécurisé juste à temps.

🔒 Conseil de la semaine

Améliorez votre sécurité DNS : Alors que la plupart des gens se concentrent sur la sécurisation de leurs appareils et de leurs réseaux, le système de noms de domaine (DNS), qui traduit les noms de domaine lisibles par l’homme (comme exemple.com) en adresses IP lisibles par machine – est souvent négligée. Imaginez Internet comme une vaste bibliothèque et DNS comme son catalogue de fiches ; pour trouver le livre (site Internet) que vous souhaitez, vous avez besoin de la bonne carte (adresse). Mais si quelqu’un falsifiait le catalogue, vous pourriez être induit en erreur vers de faux sites Web pour voler vos informations. Pour améliorer la sécurité DNS, utilisez un résolveur axé sur la confidentialité qui ne suit pas vos recherches (un catalogue privé), bloquez les sites malveillants à l’aide d’un fichier « hosts » (arrachez les cartes des livres dangereux) et utilisez une extension de navigateur avec DNS. filtrage (embaucher un bibliothécaire pour garder l’œil ouvert). De plus, activez DNSSEC pour vérifier l’authenticité des enregistrements DNS (vérifiez l’authenticité de la carte) et chiffrez vos requêtes DNS à l’aide de DoH ou DoT (chuchotez vos requêtes afin que personne d’autre ne puisse les entendre).

Conclusion

Et voilà : encore une semaine de défis en matière de cybersécurité à méditer. N’oubliez pas qu’à l’ère du numérique, la vigilance est la clé. Restez informé, restez vigilant et restez en sécurité dans un cybermonde en constante évolution. Nous serons de retour lundi prochain avec plus de nouvelles et d’informations pour vous aider à naviguer dans le paysage numérique.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Gazouillement et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57