learn.hack.repeat

iLOBleed : Rootkit affectant les serveurs HP

de

On 03/01/2022

dans Malware, Sécurité

Des chercheurs ont détecté un type de rootkit affectant les systèmes de gestion de serveurs intégrés de Hewlett-Packard (HP), utilisés dans les serveurs des environnements d’entreprise.

L’analyse d’un rootkit qui cible la technologie de gestion de serveurs Integrated Lights-Out (iLO) de Hewlett-Packard Enterprise pour mener des attaques qui manipulent les modules de micrologiciels et peuvent effacer complètement les données des systèmes infectés a récemment été publiée.

Cette découverte, qui constitue le premier cas de logiciel malveillant réel dans un micrologiciel iLO, a été documentée par la société iranienne de cybersécurité Amnpardaz.

« De nombreux éléments de iLO en font une cible idéale pour les logiciels malveillants et les groupes APT : des privilèges extrêmement élevés (au-dessus de tout niveau d’accès dans le système d’exploitation), un accès de très bas niveau au matériel, il est pratiquement caché des administrateurs et des outils de sécurité, l’absence d’outils d’inspection et d’analyse, la persistance qu’il procure et, surtout, le fait qu’il soit toujours en cours d’exécution.« 

Outre la gestion des serveurs, le fait que les modules iLO aient accès à l’ensemble du matériel, des micrologiciels, des logiciels et du système d’exploitation installés en fait un candidat idéal pour attaquer les organisations qui utilisent des serveurs HP, tout en permettant aux logiciels malveillants de persister après les redémarrages et de survivre aux réinstallations du système d’exploitation.

Baptisé iLOBleed, le rootkit a été utilisé dans des attaques depuis 2020 dans le but de manipuler un certain nombre de modules de firmware d’origine afin d’entraver furtivement les mises à jour du firmware. Bien que le groupe responsable du malware n’ait pas été identifié, les chercheurs soupçonnent qu’il s’agit de l’œuvre d’un APT.

Plus d’information:
https://threats.amnpardaz.com/en/2021/12/28/implant-arm-ilobleed-a/
https://thehackernews.com/2021/12/new-ilobleed-rootkit-targeting-hp.html

Guide d’atténuation de Log4j publié par le ministère américain de la Sécurité intérieure

de

On 30/12/2021

dans CVE, Sécurité

L’Agence pour la cybersécurité et les infrastructures (CISA) du ministère américain de la sécurité intérieure a publié des recommandations sur la manière de remédier à la vulnérabilité désormais répandue d’Apache Log4j.

Tout d’abord, les vendeurs doivent identifier, atténuer et mettre à niveau les produits utilisant Log4j vers la dernière version de la bibliothèque.

Deuxièmement, toutes les organisations doivent prendre immédiatement les mesures suivantes :

  • Identifiez toutes les ressources accessibles via Internet qui permettent la saisie par l’utilisateur et utilisent la bibliothèque Log4j quelque part dans leur infrastructure.
  • Identifiez tous les actifs qui utilisent Log4j.
  • Mettez à jour ou isolez les actifs affectés. Une fois identifiée, l’organisation doit rechercher des indicateurs de compromission et des schémas habituels d’activités post-exploitation. Supposons que l’actif a été compromis.
  • Surveillez les schémas de trafic inhabituels. Par exemple, le trafic sortant lié aux protocoles JNDI, LDAP/RMI, DNS ou DMZ.
Flux d’actions pour identifier les installations vulnérables. Source : https://www.cisa.gov

Une fois le risque maîtrisé, les utilisateurs ou organisations concernés doivent, dans la mesure du possible, mettre à niveau la bibliothèque vers la dernière version disponible. Si une mise à niveau n’est pas possible, les contre-mesures suivantes sont recommandées :

  • Désactiver les logiciels qui utilisent la bibliothèque. Cela pourrait limiter la visibilité d’autres problèmes opérationnels, car ĺa bibliothèque est chargée de prendre les journaux.
  • Bloquer les recherches JNDI. Il s’agit d’une option efficace, mais qui peut nécessiter des travaux de développement et une perte de fonctionnalité.
  • Arrêter temporairement les infrastructures touchées. Cela réduirait la probabilité d’une attaque.
  • Créez un réseau isolé pour séparer les infrastructures touchées du reste du réseau de l’entité.
  • Déployer un WAF pour protéger les infrastructures concernées. Bien qu’elle ne soit pas une solution complète, elle peut contribuer à réduire le nombre de menaces.
  • Appliquez des micro-patchs. Il existe des solutions qui ne font pas partie de la mise à jour officielle mais qui peuvent contribuer à atténuer les risques dans certains cas spécifiques.

Pour rester à jour, la CISA a créé un dépôt Github où elle publiera les mises à jour de ce protocole : https://github.com/cisagov/log4j-affected-db.

Plus d’information :
https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance

La Chine punit le géant technologique Alibaba pour « une différence de priorités »

de

On 25/12/2021

dans CVE, Sécurité

La Chine a sanctionné le géant technologique Alibaba, plus précisément sa filiale de cloud computing, en suspendant pour six mois l’accord de collaboration qu’il avait mis en place pour échanger des informations sur la cybersécurité et les données dans le cloud.

La sanction a été catégorique et retentissante de la part du gouvernement chinois, car l’entreprise a signalé la vulnérabilité populaire et désormais bien connue de Log4Shell.

Et il semble que le gouvernement chinois n’ait pas pris ce fait à la légère ou avec joie, car il ne semble pas être d’accord avec la priorité de savoir qui doit être tenu pour responsable en premier, et il a sévèrement puni le géant technologique.

Avec cette sanction, le gouvernement chinois veut faire comprendre à toutes les entreprises technologiques du pays quelle priorité elles doivent accorder au signalement d’une vulnérabilité.

Chen Zhaojun, un technicien de l’équipe de sécurité d’Alibaba Cloud, est à l’origine de la découverte de la vulnérabilité (Log4Shell), à laquelle a été attribuée une note de 10/10 sur le CVSS (Common Vulnerability Scoring System), une norme permettant de mesurer la gravité des vulnérabilités.

Zhaojun, suivant la procédure habituelle des communautés de cybersécurité et des développeurs de logiciels libres, a offert une réponse rapide. La Fondation Apache a publié un correctif à peine 24 heures plus tard, mais les dégâts ont été catastrophiques, comme nous l’avons lu partout ces dernières semaines, qui ont affecté des milliers d’entreprises et d’institutions.

Il y a quelques mois, le gouvernement avait adopté une nouvelle réglementation sur la divulgation des vulnérabilités, exigeant que tout logiciel ou fournisseur de télécommunications concerné divulgue d’abord ses vulnérabilités aux autorités gouvernementales.

En septembre, Pékin a officiellement et publiquement indiqué les plates-formes sur lesquelles ces incidents doivent être signalés, afin de protéger les infrastructures technologiques chinoises contre tout acteur malveillant, ou du moins c’est la raison officielle invoquée par le gouvernement chinois.

Le réseau du ministère belge de la défense partiellement hors service après une cyberattaque basée sur Log4j

de

On 23/12/2021

dans CVE, Sécurité

Le ministère belge de la défense a récemment subi une cyberattaque qui a exploité une faille de sécurité dans le logiciel utilisé, laissant une partie du réseau ministériel inopérant.

Depuis jeudi dernier, une partie du réseau informatique du ministère, y compris le service de courrier, était inopérant. Selon les rapports de VRT News, cela pourrait être dû à une cyber-attaque basée sur Log4j d’origine inconnue. Cependant, les techniciens du ministère ont réussi à atténuer l’attaque en quelques jours, déclarant sa neutralisation complète dimanche.

Le porte-parole du ministère, Olivier Séverin, a déclaré que le ministère de la défense a découvert jeudi l’attaque de son réseau informatique, qui a été menée à partir d’Internet. Cependant, elle a rapidement mis en quarantaine les parties concernées. Sa priorité à l’époque était de maintenir le réseau de défense opérationnel et d’informer ses partenaires. Il a ajouté que l’équipe technique était mobilisée tout au long du week-end pour contenir la cyber-attaque et reprendre les activités dès que possible. Dans l’intervalle, la situation en cours a été suivie.

Selon le ministère de la défense, la cyberattaque a exploité la vulnérabilité critique Log4Shell, une faille de sécurité dans la bibliothèque Log4j récemment identifiée. Il s’agit d’une bibliothèque Java utilisée par des millions d’ordinateurs dans le monde entier pour exécuter des services en ligne. Le problème a suscité des inquiétudes au-delà de la communauté de la sécurité. Selon le Centre national de cybersécurité (NCSC) du Royaume-Uni, il s’agit peut-être de la vulnérabilité informatique la plus grave depuis des années.

Cette bibliothèque est largement utilisée pour tester le bon fonctionnement d’une application. On s’attend donc à ce que les attaquants recherchent activement des cibles potentielles pour les systèmes qui n’ont pas encore corrigé la vulnérabilité de Log4j.

Plus d’information :
https://www.vrt.be/vrtnws/en/2021/12/21/cyberattack-partly-downs-defence-department-network/
https://www.brusselstimes.com/belgium/198521/belgian-defence-ministry-network-partially-down-following-cyber-attack

Microsoft corrige un zero-day utilisé pour propager Emotet.

de

On 16/12/2021

dans CVE, Malware, Sécurité

Comme signalé en novembre, Emotet est redevenu une menace pour les ordinateurs de bureau. Ce mois-ci, Microsoft a inclus dans les mises à jour de sécurité de décembre, un correctif pour le zero-day qui a permis la propagation de ce malware, qui a été classé comme le plus dangereux au monde.

Comme chaque deuxième mardi du mois, les mises à jour des produits de Microsoft sont désormais disponibles. À cette occasion, un total de 67 failles de sécurité ont été incluses dans la mise à jour de Windows, dont sept sont critiques et les autres sont classées comme étant de haute sévérité.

L’une des plus critiques est une vulnérabilité qui usurpe le programme d’installation AppX affectant Microsoft Windows (CVE-2021-43890). Les attaquants ont exploité cette vulnérabilité pour installer des paquets comprenant certaines familles de logiciels malveillants comme Emotet, TrickBot ou Bazaloader.

D’autres failles de sécurité critiques ont été corrigées par la dernière mise à jour de Windows :

CVE-2021-43240 : vulnérabilité d’élévation de privilège liée au service NTFS.
CVE-2021-43883 : vulnérabilité d’élévation de privilège dans Windows Installer.
CVE-2021-41333 : vulnérabilité d’élévation de privilèges dans la file d’attente d’impression de Windows.
CVE-2021-43893 : vulnérabilité d’élévation de privilèges dans le système de fichiers cryptés (EFS) de Windows.
CVE-2021-43880 : vulnérabilité d’élévation de privilège dans l’administration des périphériques Windows Mobile.

Mais la mise à jour de décembre ne comprend pas seulement des failles liées à l’élévation de privilèges, mais aussi celles liées à l’exécution de code à distance dans Defender for IoT, le client de bureau à distance, le serveur SharePoint, etc.

Plus d’information:
https://msrc.microsoft.com/update-guide/releaseNote/2021-Dec
https://jabot.tech/emotet-fait-un-retour-en-force-grace-a-trickbot/

Page 20 of 28

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén