learn.hack.repeat

Toyota frappé par une fuite de près de 300 000 clients

de

On 16/10/2022

dans Data Leak, Sécurité

Toyota a annoncé, après avoir présenté ses excuses sur les médias sociaux, que 296 019 comptes de messagerie et diverses informations d’identification de clients pourraient avoir été exposés à la suite d’une cyberattaque.

Dans le détail, il a été précisé que les clients utilisant T-Connect, un service télématique utilisé dans les véhicules pour les connecter au réseau, ont été victimes d’une violation du système par des attaquants.

Selon l’enquête, les clients concernés sont d’abord ceux qui utilisent le service depuis juillet 2017, un tiers a pu accéder à une partie du code source de l’entreprise sur GitHub, Toyota n’a pas divulgué le nom de l’acteur à l’époque.

« Il a été découvert que le code source publié contenait une clé d’accès au serveur de données et, en l’utilisant, il était possible d’accéder à l’adresse électronique et au numéro de gestion du client, qui sont stockés sur le serveur de données. »

Déclaration de Toyota

À la suite de ces événements, les administrateurs du site Web ont modifié le code source, le rendant privé sur GitHub. Toyota a changé le mot de passe pour accéder au serveur de données le 17 septembre, et jusqu’à présent aucun dommage secondaire n’a été confirmé.

La société envoie actuellement une notification à l’adresse électronique enregistrée de tout client dont l’adresse électronique ou le numéro de gestion de la clientèle a pu être divulgué.

L’explication de Toyota est que le cyberincident a été causé par une mauvaise manipulation du code source par le contractant chargé du développement.

Toyota a conclu par la déclaration suivante :

« À l’heure actuelle, aucune utilisation non autorisée d’informations personnelles liée à cette affaire n’a été confirmée, mais il est possible que des courriels non désirés, tels que le phishing ou l’hameçonnage, soient envoyés en utilisant les adresses électroniques. »

Plus d’information :
https://infotechlead.com/security/toyota-reveals-cyber-attack-leaked-300000-customers-info-74984
https://www.news.com.au/technology/online/security/hack-exposes-thousands-of-toyota-owners-personal-information/news-story/8484b1dba596c461b40e07805a5d3082

Le botnet Mirai attaque le serveur Minecraft de Wynncraft avec une attaque DDoS de 2,5 TBps.

de

On 15/10/2022

dans Sécurité

L’entreprise d’infrastructure et de sécurité web Cloudflare a révélé cette semaine avoir stoppé une attaque par déni de service distribué (DDoS) de 2,5TBps lancée par le botnet Mirai.

Le chercheur Omer Yoachimik a déclaré que l’attaque DDoS visait le serveur Minecraft Wynncraft. La totalité de l’attaque de 2,5 To/s a duré environ 2 minutes, le pic de l’attaque de 26 millions de rps n’ayant duré que 15 secondes. Il s’agit de la plus grande attaque que Cloudflare ait connue du point de vue du taux de bits.

Cloudflare a également constaté une augmentation des attaques DDoS de plusieurs térabits, ainsi que des attaques volumétriques de plus longue durée au cours de cette période, sans oublier une augmentation des attaques visant Taïwan et le Japon.

Cette révélation intervient près de 10 mois après que Microsoft a déclaré avoir déjoué une attaque DDoS record de 3,47 TBps en novembre 2021 visant un client Azure anonyme en Asie.

Parmi les autres attaques DDoS de cette ampleur et de ce volume, citons une attaque DDoS de 2,5 TBps absorbée par Google en septembre 2017 et une attaque volumétrique de 2,3 TBps visant Amazon Web Services en février 2020.

En outre, les attaques DDoS par ransomware (où l’acteur de la menace exige une compensation monétaire pour mettre fin à l’attaque) ont connu une augmentation de 15 % au cours du trimestre et de 67 % annuel.

D’autre part, les attaques DDoS HTTP ont touché des entreprises aux États-Unis, en Chine et à Chypre, la majorité des attaques provenant de Chine, d’Inde et des États-Unis.

L’Ukraine, qui a été durement touchée par les attaques DDoS depuis le début de la guerre russo-ukrainienne, a vu ses secteurs du marketing, de l’éducation et du gouvernement être les plus durement touchés au cours du troisième trimestre, contrairement aux attaques visant les entreprises de médias au cours des deux trimestres précédents.

Lire la suite :
https://thehackernews.com/2022/10/mirai-botnet-hits-wynncraft-minecraft.html

Caffeine : une plateforme de Phishing-as-a-service

de

On 14/10/2022

dans Phishing, Sécurité

Récemment, une nouvelle plateforme de Phishing-as-a-Service (PhaaS) a été découverte, qui permet de lancer des attaques de phishing facilement, en utilisant sa fonction de processus d’enregistrement ouvert et en permettant ainsi à n’importe quel utilisateur de se faire passer pour une banque de manière rapide et facile.

Les attaques de phishing ne sont pas nouvelles, mais les caractéristiques d’utilisation de Caffeine pour les cybercriminels la distinguent des autres plateformes PhaaS, où les cybercriminels n’ont pas besoin d’invitations/références, ni de l’approbation d’un forum de piratage ou d’un administrateur de Telegram.

En outre, les modèles de phishing de Caffeine ciblent les plateformes russes et chinoises, contrairement à la plupart des plateformes PhaaS qui ciblent les services occidentaux.

La plateforme dispose d’une interface intuitive et son coût est relativement faible en comparaison.
Parmi ses fonctions, citons :

  • Des mécanismes en libre-service pour créer des kits de phishing personnalisés.
  • Gérer les pages de redirection intermédiaires.
  • Pages de leurre.
  • Générer dynamiquement des URL pour les charges utiles malveillantes qui y sont hébergées.
  • Suivez l’activité des e-mails de la campagne.

Mandiant a découvert et testé cette plateforme et l’a qualifiée de dangereuse, étant donné sa facilité d’accès au service en question. Caffeine a été détecté pour la première fois alors qu’il ciblait l’un des clients de Mandiant pour voler les informations d’identification des comptes Microsoft 365.

Les chercheurs de Mandiant ont mis en évidence la possibilité que les fraudeurs adoptent de nouvelles stratégies d’évasion. À la recherche de plateformes automatisées pour étendre leurs opérations, Caffeine est subtilement promu comme une option pour les cybercriminels peu qualifiés.

Pour rappel, quelques règle de base pour éviter/détecter quand nous sommes victimes d’une attaque de phishing :

  • Si vous recevez un mail vous demandant des informations personnelles ou financières, ne répondez pas.
  • Si le message vous invite à accéder à un site web par le biais d’un lien joint, n’entrez pas.
  • Activez l’authentification à deux facteurs (2FA).
  • Soyez vigilant avec les accès à partir de réseaux publics.
  • Ne téléchargez pas et n’ouvrez pas de fichiers provenant de sources non fiables.
  • Maintenez le logiciel de votre appareil à jour et évitez d’utiliser des applications non officielles.
  • Examinez les relevés bancaires et de cartes de crédit dès qu’ils sont reçus et, en cas de détection de transactions non autorisées, contactez immédiatement l’organisme émetteur.

Plus d’information :
https://duo.com/decipher/caffeine-a-readily-accessible-phishing-as-a-service-platform
https://cyware.com/news/phishing-campaigns-made-easy-courtesy-caffeine-7d511f24
https://www.mandiant.com/resources/blog/caffeine-phishing-service-platform

Vulnérabilité dans les produits Fortinet CVE-2022-40684

de

On 13/10/2022

dans CVE, Sécurité

L’entreprise de produits de sécurité indique que la vulnérabilité a été exploitée dans au moins un incident. Les produits FortiOS, FortiProxy et FortiSwitch manager, pourraient être laissés entre les mains d’un attaquant via des requêtes HTTP ou HTTPS malveillantes.

Source: fortinet.com

Cette vulnérabilité est classée comme CWE-288, c’est-à-dire qu’elle permet d’accéder à l’interface d’administration des produits affectés par des canaux ne nécessitant pas d’authentification. Pour valider si vous avez été victime d’une attaque, la société recommande de rechercher l’indicateur de compromission :

utilisateur="Local_Process_Access"

dans les journaux des appareils vulnérables.

Produits concernés

  • FortiOs 7.2.1, 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
  • FortiProxy 7.2.0, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0, 7.0.0, 7.0.0
  • FortiSwitchManager 7.2.0, 7.0.0

En plus des mises à jour correspondantes de ces produits pour corriger la vulnérabilité, la société a fourni une solution de contournement consistant à désactiver l’accès à l’interface d’administration via HTTP/HTTPS ou à créer une liste blanche des IP pouvant accéder au port correspondant.

La criticité de cette CVE est maximale, avec un score CVSSv3 de 9,6. Depuis le 7 octobre, des rapports ont commencé à circuler selon lesquels Fortinet contactait les administrateurs de ses produits pour qu’ils effectuent une mise à jour vers le nouveau correctif.

Interrogée sur la vulnérabilité, la société a indiqué qu’avant de la rendre publique, elle s’assurait que ses clients en étaient informés et mettaient en œuvre les mesures nécessaires pour éviter les incidents.

Comme indiqué sur twitter, les chercheurs de l’équipe d’attaque Horizon3 ont une preuve de concept prête, obtenue par rétro-ingénierie du patch publié. Cette preuve de concept sera publiée plus tard dans la semaine.

Compte tenu de la gravité de cette vulnérabilité et du type de produits qu’elle affecte, il est de la plus haute importance que les correctifs ou les solutions de contournement proposés par Fortinet soient appliqués immédiatement.

Plus d’information :
https://www.fortiguard.com/psirt/FG-IR-22-377
https://thehackernews.com/2022/10/fortinet-warns-of-active-exploitation.html
https://www.tenable.com/blog/cve-2022-40684-critical-authentication-bypass-in-fortios-and-fortiproxy
https://securityaffairs.co/wordpress/136905/breaking-news/cve-2022-40684-fortinet-products-exploited.html
https://infosecwriteups.com/cve-2022-40684-new-authentication-bypass-affecting-fortigate-and-fortiproxy-c9bd36112949
https://www.bleepingcomputer.com/news/security/fortinet-says-critical-auth-bypass-bug-is-exploited-in-attacks/
https://www.rapid7.com/blog/post/2022/10/07/cve-2022-40684-remote-authentication-bypass-vulnerability-in-fortinet-firewalls-web-proxies/

Vulnerability Reward

de

On 31/08/2022

dans Sécurité

Le code open source est sous les projecteurs de la sécurité. Les attaques contre ce type de logiciel (généralement sous la forme d’une chaîne d’approvisionnement, c’est-à-dire un logiciel qui utilise d’autres logiciels libres ou non libres dans le cadre de ses fonctionnalités) ont augmenté de 650 % en 2021. Et non, les milliers d’yeux qui sont censés être capables de voir le code ne semblent pas le vérifier. Du moins, pas gratuitement. En 2017, l’Europe a lancé le projet EU-FOSSA (EU-Free and Open Source Software Auditing) pour rémunérer toute personne qui auditerait des logiciels libres largement utilisés (VLC, Keepass…). Et maintenant, Google va également payer pour encourager les logiciels libres (qu’ils utilisent) à être audités.

Elle paiera de 100 à 31 337 dollars pour les bugs découverts dans les logiciels libres stockés dans les référentiels publics de Google. Bien entendu, elle s’appuie sur des projets dont Google est propriétaire ou dont la société fait un usage intensif. L’accent est mis sur Bazel (compilateur et testeur), le protocole Buffer, Angular, Golang, Fuchsia (un système d’exploitation simple pour les mobiles) auxquels ils accorderont une attention particulière. Mais les tiers dont dépendent ces logiciels entrent également dans l’équation.

L’initiative OSS VRP (Open Source Software Vulnerability Reward Program) fait partie des 10 millions de dollars que Google s’est engagé à dépenser l’année dernière après avoir rencontré à la Maison Blanche l’administration Biden, qui a fait remarquer que les bugs des logiciels libres étaient déjà une préoccupation nationale.

Plus d’information:
https://bughunters.google.com/about/rules/6521337925468160/google-open-source-software-vulnerability-reward-program-rules

Page 10 of 28

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén