learn.hack.repeat

Étiquette : Cisco

Alchimist

Les chercheurs de Cisco TALOS ont détecté et analysé un outil (prétendument d’origine chinoise) utilisé dans les opérations APT. Il s’agit d’Alchimist, un framework polyvalent capable de générer des charges utiles pour différents systèmes d’exploitation et comprenant un C2 avec des capacités d’administration à distance. Ce qui est intéressant, c’est que tout cela est inclus dans un seul binaire écrit dans le langage de programmation Go.

(Source: Talos)

Alchimist s’inscrit dans la nouvelle vague d’outils issus des langages de programmation modernes, tels que Go ou Rust, déjà mentionnés. Ces langages sont appelés à remplacer le vénérable langage C et son dérivé C++ et commencent donc à attirer les auteurs de logiciels malveillants en raison de leur capacité à générer un code hautement optimisé, facilement portable et exempt de la plupart des bogues de gestion de la mémoire, ainsi que de leur capacité de développement rapide.

En particulier, le fait que tout le développement puisse être condensé en un seul binaire constitue un autre attrait majeur pour les auteurs de logiciels malveillants, leur permettant de distribuer facilement leurs créations via un seul fichier sans avoir à s’appuyer sur des bibliothèques externes. Au prix, toutefois, d’une augmentation de la taille du binaire.

Il est intéressant de noter que tout l’arsenal découvert par les chercheurs de TALOS était téléchargé et accessible sur un serveur web avec un index ouvert auquel on pouvait accéder en entrant simplement son adresse IP.

Plus d’information:
https://blog.talosintelligence.com/2022/10/alchimist-offensive-framework.html

Publication de multiples vulnérabilités dans les routeurs Cisco

De multiples vulnérabilités classées comme critiques ont été publiées dans les produits de la gamme Cisco Small Business RV Routers Series. Elles pourraient permettre à un attaquant distant d’exécuter du code à distance sur l’appareil en plus de : l’élévation des privilèges, le contournement de l’authentification, l’exécution de logiciels non signés et le déni de service.

Parmi les vulnérabilités rapportées, il convient de signaler une vulnérabilité dans le module VPN SSL qui pourrait permettre l’exécution de code arbitraire par un attaquant non authentifié (CVE-2022-20699). Plusieurs failles dans l’interface de gestion web des routeurs pourraient permettre une élévation de privilèges en envoyant des commandes spécialement conçues (CVE-2022-20700, CVE-2022-20701 et CVE-2022-20702). Une autre faille existe dans la vérification incorrecte des images logicielles qui sont installées sur les ordinateurs, ce qui pourrait permettre l’installation d’images non signées (CVE-2022-20703). De multiples failles de sécurité ont été découvertes en raison d’une validation insuffisante des entrées fournies par l’utilisateur, permettant à un attaquant d’exécuter des commandes arbitraires sur le système (CVE-2022-20707, CVE-2022-20708 et CVE-2022-20749).

Certaines de ces vulnérabilités sont dépendantes les unes des autres, il est donc nécessaire d’en exploiter une pour en exploiter une autre.

Cisco recommande de mettre à jour vers les versions les plus récentes qui résolvent ces vulnérabilités :

Plus d’information:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-smb-mult-vuln-KA9PK6D

Fièrement propulsé par WordPress & Thème par Anders Norén