learn.hack.repeat

Catégorie : CVE Page 3 of 10

Vulnérabilité dans les produits Fortinet CVE-2022-40684

de

On 13/10/2022

dans CVE, Sécurité

L’entreprise de produits de sécurité indique que la vulnérabilité a été exploitée dans au moins un incident. Les produits FortiOS, FortiProxy et FortiSwitch manager, pourraient être laissés entre les mains d’un attaquant via des requêtes HTTP ou HTTPS malveillantes.

Source: fortinet.com

Cette vulnérabilité est classée comme CWE-288, c’est-à-dire qu’elle permet d’accéder à l’interface d’administration des produits affectés par des canaux ne nécessitant pas d’authentification. Pour valider si vous avez été victime d’une attaque, la société recommande de rechercher l’indicateur de compromission :

utilisateur="Local_Process_Access"

dans les journaux des appareils vulnérables.

Produits concernés

  • FortiOs 7.2.1, 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
  • FortiProxy 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 7.0.0, 7.0.0
  • FortiSwitchManager 7.2.0, 7.0.0

En plus des mises à jour correspondantes de ces produits pour corriger la vulnérabilité, la société a fourni une solution de contournement consistant à désactiver l’accès à l’interface d’administration via HTTP/HTTPS ou à créer une liste blanche des IP pouvant accéder au port correspondant.

La criticité de cette CVE est maximale, avec un score CVSSv3 de 9,6. Depuis le 7 octobre, des rapports ont commencé à circuler selon lesquels Fortinet contactait les administrateurs de ses produits pour qu’ils effectuent une mise à jour vers le nouveau correctif.

Interrogée sur la vulnérabilité, la société a indiqué qu’avant de la rendre publique, elle s’assurait que ses clients en étaient informés et mettaient en œuvre les mesures nécessaires pour éviter les incidents.

Comme indiqué sur twitter, les chercheurs de l’équipe d’attaque Horizon3 ont une preuve de concept prête, obtenue par rétro-ingénierie du patch publié. Cette preuve de concept sera publiée plus tard dans la semaine.

Compte tenu de la gravité de cette vulnérabilité et du type de produits qu’elle affecte, il est de la plus haute importance que les correctifs ou les solutions de contournement proposés par Fortinet soient appliqués immédiatement.

Plus d’information :
https://www.fortiguard.com/psirt/FG-IR-22-377
https://thehackernews.com/2022/10/fortinet-warns-of-active-exploitation.html
https://www.tenable.com/blog/cve-2022-40684-critical-authentication-bypass-in-fortios-and-fortiproxy
https://securityaffairs.co/wordpress/136905/breaking-news/cve-2022-40684-fortinet-products-exploited.html
https://infosecwriteups.com/cve-2022-40684-new-authentication-bypass-affecting-fortigate-and-fortiproxy-c9bd36112949
https://www.bleepingcomputer.com/news/security/fortinet-says-critical-auth-bypass-bug-is-exploited-in-attacks/
https://www.rapid7.com/blog/post/2022/10/07/cve-2022-40684-remote-authentication-bypass-vulnerability-in-fortinet-firewalls-web-proxies/

toc-toc

de

On 28/07/2022

dans CVE

Microsoft a constaté une augmentation de la détection de portes dérobées basées sur des extensions de son serveur web Internet Information Services (IIS). La raison en est que les modules qui servent d’extensions à IIS sont parfaitement structurés pour camoufler un code malveillant qui passe sous la ligne radar des systèmes de détection des logiciels malveillants, y compris Microsoft Defender lui-même.

Pourquoi ? Les extensions IIS malveillantes sont programmées en C# et présentent généralement une structure logique minimale. Cela simplifie leur développement mais renforce également leur capacité de furtivité en générant le minimum d’activité nécessaire. Ils parviennent à passer inaperçus une fois qu’ils sont installés dans le système.

Mais malgré leur taille et leur fonctionnalité, ils sont capables de capturer des informations, de manipuler le trafic et d’ouvrir un shell web aux attaquants. Ils ne s’impliquent pas dans le système au-delà des domaines et des ressources du serveur web, évitant ainsi les endroits souvent visités par les logiciels malveillants.

L’article fournit des instructions sur la façon de déployer une stratégie défensive qui répond à ce cas particulier, ainsi que des indicateurs de compromission pour les extensions malveillantes connues.

Plus d’informations:
https://www.microsoft.com/security/blog/2022/07/26/malicious-iis-extensions-quietly-open-persistent-backdoors-into-servers/

The Office World

de

On 26/07/2022

dans CVE

Deux des bugs les plus importants de l’année sont apparus dans Office, et sont liés à de nouvelles façons d’exécuter du code dans Word ou Excel. La manipulation des appels de protocole intégrés permet l’exécution de code en dehors du contexte des macros. En janvier, nous avons encore eu des problèmes avec CVE-2021-40444 (protocole MSHTML) et en mai avec le dénommé Follina (protocole MSDT) qui permettait à nouveau l’exécution de code.

Cela a donné matière à réflexion : les macros ne sont-elles pas en train de devenir un vecteur d’attaque obsolète au profit de techniques plus sophistiquées, moins détectées et qui ont encore de beaux jours devant elles (on pense que les vulnérabilités liées à l’utilisation des protocoles intégrés dans Office vont continuer à apparaître). Mais il est intéressant de noter qu’une initiative de Microsoft a bouleversé cette idée à plusieurs reprises. En janvier, il a été annoncé que d’ici juin 2022, les macros seraient complètement bloquées pour les documents téléchargés sur le web. Et c’est ce qui s’est passé. Un message rouge beaucoup plus voyant est apparu pour tenter d’empêcher les utilisateurs d’activer les macros. Mais, juste en juillet, elle a annoncé qu’elle allait revenir sur ce changement. L’ancien « contenu admissible » était de retour. Les macros comme vecteur d’attaque avaient une pierre de moins sur leur chemin. Et nous disons « avait » car moins d’une semaine après l’annonce, il a encore changé d’avis : les macros sont à nouveau désactivées par défaut sans possibilité de les activer lorsqu’un utilisateur vient d’Internet. Espérons que ça reste ainsi. Il leur a fallu 25 ans pour prendre cette décision.

Plus d’information:
https://techcommunity.microsoft.com/t5/microsoft-365-blog/helping-users-stay-safe-blocking-internet-macros-by-default-in/bc-p/3566717

Vulnérabilité critique dans Sophos Firewall

de

On 02/04/2022

dans CVE, Sécurité

La société de cybersécurité Sophos a publié un communiqué mettant en garde contre une grave faille de sécurité dans son pare-feu, qui est activement exploitée.

Pare-feu Sophos : cette faille critique est activement exploitée ! | IT-Connect
Source: it-connect.fr

La faille, enregistrée sous le nom de CVE-2022-1040, a un classement CVSS de 9,8 sur 10 et affecte la version 1.5 MR3 (18.5.3) de Sophos Firewall et les versions antérieures. La vulnérabilité est une vulnérabilité de contournement d’authentification dans le portail utilisateur et l’interface d’administration qui, si elle est exploitée avec succès, permettrait à un attaquant distant d’exécuter du code arbitraire.

Selon le communiqué, Sophos a détecté que la faille est activement exploitée contre des organisations spécifiques, principalement en Asie du Sud, qui ont été signalées directement à Sophos.

Le correctif qui corrige la vulnérabilité est automatiquement installé sur les clients dont l’option est activée sur leur pare-feu. Comme mesure d’atténuation, Sophos recommande de désactiver complètement l’accès Web aux portails utilisateur et administratif.

L’importance d’un développement sécurisé

Une fois de plus, il est démontré que lors de développement d’applications web, il est plus qu’important de les développer avec une perspective de sécurité que sur la convivialité ainsi que l’importance des tests OWASP (Open Web Application Security Project) dans les tests de pré-production afin que ces types de vulnérabilités puissent être évités autant que possible, contribuant à un environnement plus sûr.

Source: OWASP

Pour ceux qui ne connaissent pas l’OWASP, il s’agit d’un projet consacré à la recherche et à la lutte contre les vulnérabilités des logiciels. La Fondation OWASP est une organisation à but non lucratif qui fournit l’infrastructure et le soutien nécessaires pour rendre le projet possible. Il existe un guide bien connu pour effectuer les tests nécessaires afin de s’assurer que le développement réalisé par les équipes de programmeurs est conforme aux normes de sécurité, le guide OWASP Web Security Testing Guide (WSTG), un élément quasi indispensable dans la boîte à outils de toute équipe de développement soucieuse de la sécurité de ses projets.

Plus d’information:
https://www.sophos.com/en-us/security-advisories/sophos-sa-20220325-sfos-rce
https://thehackernews.com/2022/03/critical-sophos-firewall-rce.html
https://owasp.org/www-project-web-security-testing-guide/stable/

Muhstik cible les serveurs Redis

de

On 29/03/2022

dans CVE, Malware, Sécurité

Le botnet Muhstik vit une deuxième jeunesse grâce à une faille dans la base de données Redis sur Debian et Ubuntu (bien qu’elle puisse se produire sur plus de plateformes), qui permet d’y exécuter du code LUA en s’échappant de la sandbox. La faille, découverte début mars, s’ajoute à l’arsenal de vulnérabilités utilisées par le botnet pour se propager depuis 2018. Six au total, exploitant des problèmes dans Oracle WebLogic, Drupal, Confluence… Muhstik est responsable, entre autres activités, de la réalisation d’attaques par déni de service distribué.

Source: Juniper

Il est curieux que ce botnet utilise IRC pour communiquer avec son centre de commande et de contrôle et que le découvreur du bug Redis ait informé Ubuntu du problème, s’attendant qu’à leur tour, ils en informent Debian. Mais ils ne l’ont pas fait et il a dû notifier Debian séparément.

Plus d’information:
https://blogs.juniper.net/en-us/security/muhstik-gang-targets-redis-servers

Page 3 of 10

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén