learn.hack.repeat

Étiquette : Vulnérabilité Page 10 of 15

Nouvelle vulnérabilité de HomeKit impacte les appareils iOS

de

On 07/01/2022

dans Sécurité

Une vulnérabilité affectant le HomeKit d’Apple dans sa version 15.2 a été publiée.

HomeKit est le logiciel d’Apple qui permet de configurer, communiquer et contrôler les accessoires connectés et les appareils domestiques intelligents à l’aide des appareils Apple.

La vulnérabilité, baptisée « doorLock », a été signalée par le chercheur Trevor Spiniolas et peut provoquer un déni de service persistant sur tout appareil compatible avec Apple Home. Il se déclenche en changeant le nom d’un appareil HomeKit en un nom de plus de 500 000 caractères.

Si un appareil IPhone ou iPad tente de se connecter à l’appareil, il exploitera la vulnérabilité, ne répondra plus et redémarrera de telle sorte que, lorsqu’il sera remis sous tension, il tentera de se connecter à nouveau, faisant entrer l’appareil dans un cycle qui ne peut être atténué que par le mode de récupération ou une mise à jour du micrologiciel.

Bien qu’Apple ait tenté de corriger la vulnérabilité en limitant la longueur de nom autorisée, le bug se produit toujours, confirmant la théorie de Trevor Spiniolas selon laquelle le bug se situe dans la gestion des chaînes de caractères.

Le bug affecte la dernière version d’iOS 15.2, mais on pense qu’il est susceptible d’affecter toutes les versions depuis la version 14.

Le chercheur a publié des vidéos reproduisant le bug, montrant également que la tentative de correction d’Apple n’est pas suffisante (deuxième vidéo).

https://youtu.be/_BmI5Otsm9I
https://youtu.be/UwbhCliYuDg

Il met également en garde contre la gravité de ce bug, car les appareils HomeKit sont stockés dans iCloud si la synchronisation est active.

Si un utilisateur se connecte à un compte iCloud avec un tel appareil stocké, la vulnérabilité serait reproduite et seul le propriétaire de l’appareil peut la corriger en désactivant l’option de synchronisation des données HomeKit.

Plus d’information:
https://thehackernews.com/2022/01/researchers-detail-new-homekit-doorlock.html

Nouvelles failles de sécurité critiques chez Netgear

de

On 04/01/2022

dans CVE, Sécurité

La société Netgear, spécialisée dans les systèmes de mise en réseau, publie plusieurs failles de sécurité critiques pour ses appareils.

Ces derniers jours, plusieurs vulnérabilités de sécurité ont été successivement publiées. Elles pourraient permettre à un attaquant non authentifié de provoquer un dépassement de tampon (CVE-2021-45611) et d’effectuer une injection de commande avant l’authentification, permettant ainsi une élévation de privilèges (CVE-2021-45618) ; toutes deux dues à la manipulation d’une entrée qui n’a pas été publiée par Netgear.

La dernière vulnérabilité critique annoncée permettrait à un attaquant de contourner l’authentification en raison d’une authentification faible (CVE-2021-45496), affectant l’intégrité, la disponibilité et la confidentialité des ordinateurs. Les fonctions affectées par ces bugs n’ont pas été divulguées.

De nombreux périphériques réseau fabriqués par la société sont affectés par ces failles de sécurité, il est donc recommandé de mettre à jour vers les dernières versions disponibles à partir du lien suivant :

https://www.netgear.com/support/

Plus d’information:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45618
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45496
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45611

iLOBleed : Rootkit affectant les serveurs HP

de

On 03/01/2022

dans Malware, Sécurité

Des chercheurs ont détecté un type de rootkit affectant les systèmes de gestion de serveurs intégrés de Hewlett-Packard (HP), utilisés dans les serveurs des environnements d’entreprise.

L’analyse d’un rootkit qui cible la technologie de gestion de serveurs Integrated Lights-Out (iLO) de Hewlett-Packard Enterprise pour mener des attaques qui manipulent les modules de micrologiciels et peuvent effacer complètement les données des systèmes infectés a récemment été publiée.

Cette découverte, qui constitue le premier cas de logiciel malveillant réel dans un micrologiciel iLO, a été documentée par la société iranienne de cybersécurité Amnpardaz.

« De nombreux éléments de iLO en font une cible idéale pour les logiciels malveillants et les groupes APT : des privilèges extrêmement élevés (au-dessus de tout niveau d’accès dans le système d’exploitation), un accès de très bas niveau au matériel, il est pratiquement caché des administrateurs et des outils de sécurité, l’absence d’outils d’inspection et d’analyse, la persistance qu’il procure et, surtout, le fait qu’il soit toujours en cours d’exécution.« 

Outre la gestion des serveurs, le fait que les modules iLO aient accès à l’ensemble du matériel, des micrologiciels, des logiciels et du système d’exploitation installés en fait un candidat idéal pour attaquer les organisations qui utilisent des serveurs HP, tout en permettant aux logiciels malveillants de persister après les redémarrages et de survivre aux réinstallations du système d’exploitation.

Baptisé iLOBleed, le rootkit a été utilisé dans des attaques depuis 2020 dans le but de manipuler un certain nombre de modules de firmware d’origine afin d’entraver furtivement les mises à jour du firmware. Bien que le groupe responsable du malware n’ait pas été identifié, les chercheurs soupçonnent qu’il s’agit de l’œuvre d’un APT.

Plus d’information:
https://threats.amnpardaz.com/en/2021/12/28/implant-arm-ilobleed-a/
https://thehackernews.com/2021/12/new-ilobleed-rootkit-targeting-hp.html

Guide d’atténuation de Log4j publié par le ministère américain de la Sécurité intérieure

de

On 30/12/2021

dans CVE, Sécurité

L’Agence pour la cybersécurité et les infrastructures (CISA) du ministère américain de la sécurité intérieure a publié des recommandations sur la manière de remédier à la vulnérabilité désormais répandue d’Apache Log4j.

Tout d’abord, les vendeurs doivent identifier, atténuer et mettre à niveau les produits utilisant Log4j vers la dernière version de la bibliothèque.

Deuxièmement, toutes les organisations doivent prendre immédiatement les mesures suivantes :

  • Identifiez toutes les ressources accessibles via Internet qui permettent la saisie par l’utilisateur et utilisent la bibliothèque Log4j quelque part dans leur infrastructure.
  • Identifiez tous les actifs qui utilisent Log4j.
  • Mettez à jour ou isolez les actifs affectés. Une fois identifiée, l’organisation doit rechercher des indicateurs de compromission et des schémas habituels d’activités post-exploitation. Supposons que l’actif a été compromis.
  • Surveillez les schémas de trafic inhabituels. Par exemple, le trafic sortant lié aux protocoles JNDI, LDAP/RMI, DNS ou DMZ.
Flux d’actions pour identifier les installations vulnérables. Source : https://www.cisa.gov

Une fois le risque maîtrisé, les utilisateurs ou organisations concernés doivent, dans la mesure du possible, mettre à niveau la bibliothèque vers la dernière version disponible. Si une mise à niveau n’est pas possible, les contre-mesures suivantes sont recommandées :

  • Désactiver les logiciels qui utilisent la bibliothèque. Cela pourrait limiter la visibilité d’autres problèmes opérationnels, car ĺa bibliothèque est chargée de prendre les journaux.
  • Bloquer les recherches JNDI. Il s’agit d’une option efficace, mais qui peut nécessiter des travaux de développement et une perte de fonctionnalité.
  • Arrêter temporairement les infrastructures touchées. Cela réduirait la probabilité d’une attaque.
  • Créez un réseau isolé pour séparer les infrastructures touchées du reste du réseau de l’entité.
  • Déployer un WAF pour protéger les infrastructures concernées. Bien qu’elle ne soit pas une solution complète, elle peut contribuer à réduire le nombre de menaces.
  • Appliquez des micro-patchs. Il existe des solutions qui ne font pas partie de la mise à jour officielle mais qui peuvent contribuer à atténuer les risques dans certains cas spécifiques.

Pour rester à jour, la CISA a créé un dépôt Github où elle publiera les mises à jour de ce protocole : https://github.com/cisagov/log4j-affected-db.

Plus d’information :
https://www.cisa.gov/uscert/apache-log4j-vulnerability-guidance

La Chine punit le géant technologique Alibaba pour « une différence de priorités »

de

On 25/12/2021

dans CVE, Sécurité

La Chine a sanctionné le géant technologique Alibaba, plus précisément sa filiale de cloud computing, en suspendant pour six mois l’accord de collaboration qu’il avait mis en place pour échanger des informations sur la cybersécurité et les données dans le cloud.

La sanction a été catégorique et retentissante de la part du gouvernement chinois, car l’entreprise a signalé la vulnérabilité populaire et désormais bien connue de Log4Shell.

Et il semble que le gouvernement chinois n’ait pas pris ce fait à la légère ou avec joie, car il ne semble pas être d’accord avec la priorité de savoir qui doit être tenu pour responsable en premier, et il a sévèrement puni le géant technologique.

Avec cette sanction, le gouvernement chinois veut faire comprendre à toutes les entreprises technologiques du pays quelle priorité elles doivent accorder au signalement d’une vulnérabilité.

Chen Zhaojun, un technicien de l’équipe de sécurité d’Alibaba Cloud, est à l’origine de la découverte de la vulnérabilité (Log4Shell), à laquelle a été attribuée une note de 10/10 sur le CVSS (Common Vulnerability Scoring System), une norme permettant de mesurer la gravité des vulnérabilités.

Zhaojun, suivant la procédure habituelle des communautés de cybersécurité et des développeurs de logiciels libres, a offert une réponse rapide. La Fondation Apache a publié un correctif à peine 24 heures plus tard, mais les dégâts ont été catastrophiques, comme nous l’avons lu partout ces dernières semaines, qui ont affecté des milliers d’entreprises et d’institutions.

Il y a quelques mois, le gouvernement avait adopté une nouvelle réglementation sur la divulgation des vulnérabilités, exigeant que tout logiciel ou fournisseur de télécommunications concerné divulgue d’abord ses vulnérabilités aux autorités gouvernementales.

En septembre, Pékin a officiellement et publiquement indiqué les plates-formes sur lesquelles ces incidents doivent être signalés, afin de protéger les infrastructures technologiques chinoises contre tout acteur malveillant, ou du moins c’est la raison officielle invoquée par le gouvernement chinois.

Page 10 of 15

Précédent

Suivant

Fièrement propulsé par WordPress & Thème par Anders Norén