Dans un avis publié par Atlassian, la société prévient que des vulnérabilités critiques dans Seraph affectent ses produits
Jira et Jira Service Management.
Seraph est un framework qui sécurise les applications web fournies par l'entreprise. Avec Seraph, toutes les demandes de connexion et de déconnexion pour Jira et Confluence sont traitées par des éléments de base enfichables.
Vulnérabilité critique
La vulnérabilité critique a été répertoriée sous le nom de
CVE-2022-0540 avec un score de gravité de
9,9 sur
10 dans le système de notation CVSS.
Les acteurs de la menace peuvent exploiter cette vulnérabilité critique en transmettant un appel HTTP spécialement conçu aux points d'extrémité vulnérables à distance pour contourner l'authentification.
Produits concernés :
Ci-dessous nous avons mentionné tous les produits affectés et leurs versions : -
Jira Core Server, Software Server et Software Data Center avant 8.13.18, 8.14.x, 8.15.x, 8.16.x, 8.17.x, 8.18.x, 8.19.x, 8.20.x avant 8.20.6 et 8.21.x.
Jira Service Management Server et Management Data Center avant 4.13.18, les versions 4.14.x, 4.15.x, 4.16.x, 4.17.x, 4.18.x, 4.19.x, 4.20.x avant 4.20.6, 4.21.x.
Alors que les versions de Jira Service Management et Jira Cloud ne sont pas vulnérables à cette vulnérabilité. De plus, si les attaquants à distance utilisent une configuration spécifique dans Seraph, ils peuvent compromettre les produits affectés uniquement.
Applications vulnérables
Cette vulnérabilité a affecté deux applications groupées pour Jira, et elles sont mentionnées ci-dessous : -.
- Insight - Gestion des actifs
- Plugin mobile
Outre les applications de la place de marché d'Atlassian, les applications tierces, comme celles développées par les clients ou non répertoriées sur la place de marché d'Atlassian, sont également à risque si elles reposent sur des configurations vulnérables.
Recommandations COMPUTERLAND
Les mises à jour de sécurité sont incluses dans les versions suivantes : -
Pour Jira Core Server, Software Server, et Software Data Center, les versions corrigées sont :
8.13.x >= 8.13.18, 8.20.x >= 8.20.6, et toutes les versions à partir de 8.22.0.
Pour Jira Service Management, les versions corrigées sont :
4.13.x >= 4.13.18, 4.20.x >= 4.20.6, et 4.22.0 et suivantes.
Il est fortement recommandé aux utilisateurs d'effectuer une mise à jour vers l'une des versions ci-dessus dès que possible afin de limiter les risques d'exploitation.
En fonction de la disponibilité de correctifs immédiats, l'entreprise propose deux options :
- La mise à jour des apps affectées vers la dernière version.
ou
- Les désactiver complètement.
En dehors de cela, il convient de noter qu'une vulnérabilité d'Atlassian Confluence qui a été activement exploitée l'année dernière pour installer des mineurs de cryptocurrency était un bug critique d'exécution de code à distance.
Jira Atlassian Originale Alerte
26 avril, 2022
Le logiciel malveillant Emotet infecte à nouveau les utilisateurs après avoir réparé un programme d'installation défectueux.
La
campagne d'hameçonnage (aussi appelé Phishing) du logiciel malveillant
Emotet est à nouveau en cours après que les acteurs malicieux ont corrigé un bug empêchant les personnes d'être infectées lorsqu'elles ouvrent les pièces jointes d'un mail malveillant.
Emotet e
st une infection par un logiciel malveillant distribué par des campagnes de spam avec des pièces jointes malveillantes. Si un utilisateur ouvre la pièce jointe, des macros ou des scripts malveillants vont télécharger la DLL Emotet et la charger en mémoire.
Une fois chargé, le logiciel malveillant recherche et vole des e-mails pour les utiliser dans de futures campagnes de spam et déposer des charges utiles supplémentaires telles que
Cobalt Strike ou d'autres logiciels malveillants qui conduisent généralement à des attaques de type ransomware.
Joseph Roosen, chercheur d'Intel471, a déclaré qu'Emotet a arrêté la nouvelle campagne d'e-mails vers 00h00 UTC vendredi après avoir découvert que le bug empêchait les utilisateurs d'être infectés. Malheureusement, Emotet a corrigé le bug aujourd'hui et, une fois de plus, a commencé à spammer les utilisateurs avec des e-mails malveillants contenant des fichiers zip protégés par mot de passe et des raccourcis en pièces jointes.
Recommandations COMPUTERLAND
Si vous recevez un e-mail contenant des pièces jointes similaires protégées par un mot de passe, il est fortement conseillé de ne pas les ouvrir.
Contactez plutôt votre administrateur réseau ou la sécurité et laissez-le examiner la pièce jointe pour déterminer si elle est malveillante ou non.
La société de sécurité des e-mails Cofense a déclaré que les noms de pièces jointes utilisés dans les campagnes Emotet d'aujourd'hui sont :
form.zip
Form.zip
Electronic form.zip
PO 04252022.zip
Form - Apr 25, 2022.zip
Payment Status.zip
BANK TRANSFER COPY.zip
Transaction.zip
ACH form.zip
ACH payment info.zip
BleepingComputer Alerte Origniale
20 avril, 2022
Les États-Unis et leurs alliés mettent en garde contre la menace que représente le piratage russe pour les infrastructures essentielles.
Aujourd'hui,
les autorités de cybersécurité du Five Eyes ont mis en garde les défenseurs des réseaux d'infrastructures critiques contre le risque accru que des groupes de pirates soutenus par la Russie puissent cibler des organisations à l'intérieur et à l'extérieur des frontières de l'Ukraine.
L'avertissement émane des agences de cybersécurité des États-Unis, de l'Australie, du Canada, de la Nouvelle-Zélande et du Royaume-Uni, dans un avis conjoint sur la cybersécurité contenant des informations sur les opérations de piratage soutenues par l'État russe et de ses groupes de cybercriminels affiliés à la Russie.
"
Les organisations d'infrastructures critiques doivent maintenir un état d'alerte élevé contre les cybermenaces russes.
Restez vigilants et suivez les mesures d'atténuation de notre avis conjoint pour renforcer vos réseaux informatiques dès maintenant", a averti la NSA aujourd'hui.
Recommandations COMPUTERLAND
Mesures recommandées pour protéger les réseaux contre les cybermenaces criminelles et parrainées par l'État russe, notamment les ransomwares, les logiciels malveillants destructeurs, les attaques DDoS et le cyberespionnage.
Il est conseillé de donner immédiatement la priorité:
- Aux correctifs des vulnérabilités activement exploitées,
- D'appliquer l'authentification multifactorielle (MFA),
- De sécuriser et de surveiller le protocole de bureau à distance (RDP),
- Et de sensibiliser et former les utilisateurs aux menaces et la cybersécurité.
Version originale :
CISA, FBI, NSA, and International Partners Issue Advisory on Demonstrated Threats and Capabilities of Russian State-Sponsored and Cyber Criminal Actors > National Security Agency/Central Security Service > Article
CISA Originale Alerte - Geopolitique
19 avril, 2022
Les attaquants exploitent maintenant le bug de Windows Print Spooler.
L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) a ajouté trois nouvelles failles de sécurité à sa liste de bogues activement exploités, dont un bug d'élévation locale des privilèges dans le spouleur d'impression de Windows.
Cette vulnérabilité de haute gravité (suivie sous le nom de
CVE-2022-22718) affecte toutes les versions de Windows selon l'avis de Microsoft et a été corrigée lors du
Patch Tuesday de février 2022.
La seule information que Microsoft a partagée au sujet de cette faille de sécurité est que les acteurs de la menace peuvent l'exploiter localement dans
des attaques peu complexes sans interaction avec l'utilisateur.
Redmond a corrigé plusieurs autres bugs de Windows Print Spooler au cours des 12 derniers mois, notamment la vulnérabilité critique d'exécution de code à distance
PrintNightmare.
Après la fuite accidentelle de détails techniques et d'un exploit de type
"proof-of-concept" (POC) pour
PrintNightmare, les administrateurs sont priés de désactiver le service Windows Print Spooler sur les contrôleurs de domaine et les systèmes non utilisés pour l'impression
afin de bloquer les attaques potentielles.
Recommandations COMPUTERLAND
COMPUTERLAND encourage les utilisateurs et les administrateurs à consulter l'avis de sécurité de Microsoft et d'installer la mise à jour concernant la vulnérabilité CVE-2022-22718 désormais activement exploitée, et bloquer les tentatives d'exploitation en cours. Par conséquent, toute organisation doit appliquer les mises à jour de sécurité de Windows dès que possible.
N.B: Si vous n'avez pas de solution pour le patch management, nous serions heureux de vous aider à le mettre en place via nos ingénieurs et SDM à votre service.
Microsoft Original Alerte
19 avril, 2022
Des bugs dans le pilote du micrologiciel UEFI de Lenovo affectent plus de 100 modèles d'ordinateurs portables
Lenovo a publié un avis de sécurité concernant des vulnérabilités qui ont un impact sur son interface de micrologiciel extensible unifié (UEFI) chargée sur au moins 100 de ses modèles d'ordinateurs portables.
Trois problèmes de sécurité ont été découverts, deux d'entre eux permettant à un attaquant de désactiver la protection de la puce mémoire flash SPI où est stocké le micrologiciel UEFI et de désactiver la fonction de démarrage sécurisé UEFI, qui garantit que le système ne charge au démarrage que le code approuvé par le fabricant de l'équipement d'origine (OEM).
L'exploitation réussie d'une troisième, identifiée comme
CVE-2021-3970, pourrait permettre à un attaquant local d'exécuter du code arbitraire avec des privilèges élevés.
Les trois vulnérabilités ont été découvertes par les chercheurs d'ESET et signalées de manière responsable à Lenovo en octobre de l'année dernière. Elles affectent plus de 100 modèles d'ordinateurs portables grand public, notamment IdeaPad 3, Legion 5 Pro-16ACH6 H et Yoga Slim 9-14ITL05, ce qui se traduit probablement par des millions d'utilisateurs disposant d'appareils vulnérables.
Pilotes ajoutés par erreur
Les chercheurs d'ESET préviennent que les deux vulnérabilités liées à l'UEFI (CVE-2021-3971 et CVE-2021-3972) peuvent être utilisées par des attaquants pour "déployer et exécuter avec succès des implants SPI flash ou ESP."
Les deux problèmes de sécurité liés à l'UEFI dans les produits Lenovo résultent de l'introduction en production de deux pilotes de firmware UEFI - judicieusement nommés SecureBackDoor et SecureBackDoorPeim - qui ne sont utilisés que pendant le processus de fabrication.
Un avis de sécurité de Lenovo décrit les vulnérabilités comme suit :
CVE-2021-3971 : Une vulnérabilité potentielle d'un pilote utilisé au cours d'anciens processus de fabrication sur certains ordinateurs portables Lenovo grand public, inclus par erreur dans l'image du BIOS, pourrait permettre à un attaquant disposant de privilèges élevés de modifier la région de protection du micrologiciel en modifiant une variable NVRAM.
CVE-2021-3972 : Une vulnérabilité potentielle d'un pilote utilisé pendant le processus de fabrication de certains ordinateurs portables Lenovo grand public, qui n'a pas été désactivé par erreur, peut permettre à un attaquant disposant de privilèges élevés de modifier le paramètre de démarrage sécurisé en modifiant une variable NVRAM.
Une liste complète des modèles d'ordinateurs portables Lenovo concernés par chacune des trois vulnérabilités est disponible ici: https://support.lenovo.com/ro/en/product_security/len-73440#Lenovo%20Notebook .
Recommandations COMPUTERLAND
Pour se protéger contre les attaques provenant des vulnérabilités ci-dessus, Lenovo recommande aux utilisateurs des appareils concernés de mettre à jour la version du micrologiciel du système avec la dernière version disponible.
Cela peut être fait en installant la mise à jour manuellement à partir de la page d'assistance de l'appareil ou à l'aide des utilitaires de mise à jour des pilotes système fournis par l'entreprise.
Voir le site officiel: https://support.lenovo.com/ro/en/solutions/ht504759
Lenovo Originale Alerte
18 avril, 2022
Le nouveau piratage de l'archiveur 7-Zip révèle une vulnérabilité Windows longtemps ignorée
Les dernières versions de 7-Zip contiennent une vulnérabilité (CVE-2022-29072) qui permet aux pirates d'obtenir des privilèges administratifs sur un système. Mais cette vulnérabilité, qui exploite le fichier d'aide de 7-Zip, devrait alarmer tous les utilisateurs de Windows, car elle met en évidence un problème séculaire sur les systèmes Windows.
Une vulnérabilité d'élévation de privilèges dans l'outil de compression de fichiers probablement le plus utilisé laisse les portes grandes ouvertes aux acteurs de la menace. Le jour zéro appelé CVE-2022-29072 résulte d'une mauvaise configuration de 7z.dll et d'un débordement de tas. Le défaut de la version 21.07 de Windows accorde aux pirates un accès non autorisé aux systèmes violés lorsqu'un fichier portant l'extension .7z est placé dans la zone Aide > Contenu. La commande génère un processus enfant sous le processus 7zFM.exe.
La vulnérabilité est exploitée depuis le 12 avril 2022 et, à l'heure actuelle,
aucun correctif n'est disponible pour corriger le bug. Le bon côté des choses est qu'il suffit de supprimer le fichier 7-zip.chm dans le répertoire d'installation de 7-Zip pour remédier à ce problème. Après cette simple procédure, les cyber-escrocs ne peuvent plus exploiter la faille CVE-2022-29072.
Recommandations COMPUTERLAND
Etre prudent avec ce logiciel, utiliser la mitigation mentioné et dès qu'il y a une mise à jour, faite le via leur site officiel :
7-Zip. Il existe d'autres alternative pour ce genre de logiciel d'archivage.
7-Zip Alert faille CVE-2022-29072 [news]
15 avril, 2022
Une vulnérabilité de Cisco permet aux pirates de créer leurs propres informations d'identification.
Cisco a publié un avis de sécurité pour avertir d'une vulnérabilité critique (score CVSS v3 : 10.0), repérée sous le nom de CVE-2022-20695, ayant un impact sur le logiciel Wireless LAN Controller (WLC).
La faille de sécurité permet à des attaquants distants de se connecter à des périphériques cibles via l'interface de gestion sans utiliser de mot de passe valide.
Le bug implique l'implémentation incorrecte de l'algorithme de validation du mot de passe, ce qui permet de contourner la procédure d'authentification standard sur les configurations de périphérique non par défaut.
Cette vulnérabilité affecte les produits Cisco suivants s'ils exécutent le logiciel Cisco WLC version 8.10.151.0 ou 8.10.162.0 et si la compatibilité macfilter radius est configurée comme Autre :
Contrôleur sans fil 3504
Contrôleur sans fil 5520
Contrôleur sans fil 8540
Mobility Express
Contrôleur sans fil virtuel (vWLC)
Recommandations COMPUTERLAND
Cisco a fourni deux solutions de contournement possibles pour ceux qui ne peuvent pas mettre à jour le contrôleur LAN sans fil.
- La première option consiste à réinitialiser le mode "macfilter radius compatibility" à la valeur par défaut en lançant la commande suivante : "config macfilter radius-compat cisco".
- La deuxième option serait de changer la configuration pour d'autres modes sûrs, tels que "free", en utilisant la commande suivante : "config macfilter radius-compat free".
Au moment où nous écrivons ces lignes, Cisco n'a pas connaissance d'une exploitation active de la vulnérabilité.
Cisco Originale Alerte
14 avril, 2022
Mise à jour Critique - Windows RPC - CVE-2022-26809
Microsoft a corrigé une nouvelle vulnérabilité Windows RPC CVE-2022-26809 de type zéro day exploitable et qui a un score de sécurité de 9.8, cette mise à jour suscite l'inquiétude des chercheurs en sécurité en raison de son potentiel de cyberattaques importantes et étendues une fois qu'un exploit est développé.
Impact et mitigation.
Si vous êtes arrivé jusqu'ici, vous avez probablement déjà souscrit à l'idée de fermer les ports 135/139/445 sur votre pare-feu. En général, vous ne devriez autoriser l'ouverture que des ports qui sont utilisés plutôt que de bloquer des ports spécifiques "dangereux".
Mais le blocage du trafic SMB en interne est plus délicat. Les récents exploits SMB (rappelez-vous WannaCry qui a profité de la vulnérabilité EternalBlue) ont montré à quel point ces exploits pouvaient être efficaces pour se déplacer latéralement dans les réseaux.
Les conseils de Microsoft pour sécuriser le trafic SMB (dont le lien figure dans son avis de sécurité) sont également fortement axés sur les règles de pare-feu.
Cependant, même si les administrateurs bloquent les ports 445 et 135 au niveau du périmètre, cela ne suffit pas. En effet, à moins que des mises à jour de sécurité ne soient installées, les dispositifs seront toujours vulnérables en interne aux acteurs de la menace qui compromettent un réseau.
Recommandations COMPUTERLAND
COMPUTERLAND encourage les utilisateurs et les administrateurs à consulter l'avis de sécurité de Microsoft et d'installer la mise à jour. Par conséquent, toute organisation doit appliquer les mises à jour de sécurité de Windows dès que possible d'avril 2022.
N.B: Si vous n'avez pas de solution pour le patch management, nous serions heureux de vous aider à le mettre en place via nos ingénieurs et SDM à votre service.
Microsoft Original Alerte
14 avril, 2022
La mise à jour d'urgence de Google Chrome corrige le jour zéro utilisé dans les attaques
Google a publié Chrome 100.0.4896.127 pour Windows, Mac et Linux, afin de corriger une vulnérabilité de type "zero-day" de haute gravité, activement utilisée par les acteurs de la menace dans des attaques.
"Google est conscient qu'un exploit pour CVE-2022-1364 existe dans la nature", a déclaré Google dans un avis de sécurité publié aujourd'hui.
Recommandations COMPUTERLAND
Bien que Google indique que cette mise à jour de Chrome sera déployée au cours des prochains jours/semaines, les utilisateurs peuvent la recevoir immédiatement en allant dans le menu
Chrome > Aide > À propos de Google Chrome.
Le navigateur vérifiera également automatiquement la présence de nouvelles mises à jour et les installera la prochaine fois que vous fermerez et relancerez Google Chrome.
Alerte de Google originale
13 avril, 2022
Microsoft corrige la faille de Windows attaquée et signalée par la NSA
Microsoft a publié aujourd'hui 128 correctifs dans un total de 145 CVE ce mois-ci pour des failles de sécurité dans Windows, Defender, Edge, Exchange Server, Office, SharePoint, le serveur DNS, Windows Print Spooler, et d'autres logiciels.
Une faille d'élévation de privilège dans le pilote du système de fichiers de log commun de Windows
CVE-2022-24521 est déjà exploitée dans la nature, et
a été signalée à Microsoft par la National Security Agency et des chercheurs de
CrowdStrike. "Comme cette vulnérabilité ne permet qu'une élévation de privilèges, elle est probablement associée à un autre bug du code d'exécution ", écrit ZDI dans son analyse du lot de correctifs Microsoft d'avril. "Il n'est pas précisé dans quelle mesure l'exploit est utilisé dans la nature, mais il est probablement encore ciblé à ce stade et n'est pas largement disponible.
Allez corriger vos systèmes avant que la situation ne change."
Il y a 10 vulnérabilités critiques parmi les mises à jour de sécurité d'aujourd'hui, dont deux qui, selon ZDI, pourraient être exploitées comme des vers : un bug d'exécution de code à distance dans la bibliothèque d'exécution RPC (CVE-2022-26809) et une faille du code d'exécution à distance dans le système de fichiers réseau Windows (CVE-2022-24491/24497).
Toutes les versions client et serveur de Windows prises en charge sont affectées par au moins 4 problèmes de sécurité critiques.
- Nous examinons pour vous de plus près certaines des mises à jour les plus intéressantes de ce mois-ci :
-
CVE-2022-26809 - RPC Runtime Library Remote Code Execution Vulnerability
Ce bug est classé CVSS 9.8, et l'indice d'exploitation note que l'exploitation est plus probable. La vulnérabilité pourrait permettre à un attaquant distant d'exécuter du code avec des privilèges élevés sur un système affecté. Puis qu'aucune interaction de l'utilisateur n'est requise, ces facteurs se combinent pour rendre cette vulnérabilité wormable, au moins entre les machines où le RPC peut être atteint. Cependant, le port statique utilisé ici (port TCP 135) est généralement bloqué au niveau du périmètre du réseau. Néanmoins, ce bug pourrait être utilisé pour un mouvement latéral par un attaquant
. Il faut absolument le tester et le déployer rapidement.
-
CVE-2022-24491/24497 – Windows Network File System Remote Code Execution Vulnerability
En parlant de bogues presque vermoulus, ces deux vulnérabilités NFS obtiennent également une note CVSS de 9,8 et sont répertoriées comme étant plus susceptibles d'être exploitées. Sur les systèmes où le rôle NFS est activé, un attaquant distant pourrait exécuter son code sur un système affecté avec des privilèges élevés et sans interaction de l'utilisateur. Là encore, il s'agit d'un bug transmissible, du moins entre serveurs NFS. Comme pour le RPC, il est souvent bloqué au niveau du périmètre du réseau. Cependant, Microsoft fournit des conseils sur la façon dont le multiplexeur de port RPC (port 2049) "est compatible avec les pares-feux et simplifie le déploiement de NFS."
Vérifiez vos installations et déployez rapidement ces correctifs.
-
CVE-2022-26815 - Windows DNS Server Remote Code Execution Vulnerability
Cette vulnérabilité est la plus grave des 18 ( !) bug de serveurs DNS qui ont reçu des correctifs ce mois-ci. Ce bug est également très similaire à celui qui a fait l'objet d'un correctif en février, ce qui amène à se demander si ce bug n'est pas le résultat de l'échec d'un correctif. Il y a quelques mesures d'atténuation importantes à souligner ici. La première est que les mises à jour dynamiques doivent être activées pour qu'un serveur soit affecté par ce bug. Le CVSS indique également un certain niveau de privilèges à exploiter. Néanmoins, toute chance pour un attaquant d'obtenir un RCE sur un serveur DNS est une chance de trop,
alors faites patcher vos serveurs DNS.
-
CVE-2022-26904 - Windows User Profile Service Elevation of Privilege Vulnerability
Il s'agit de l'un des bugs connus et corrigés ce mois-ci, et non seulement il existe un PoC pour cette vulnérabilité, mais également un module Metasploit. Cette vulnérabilité d'élévation de privilèges permet à un attaquant d'obtenir l'exécution de code au niveau SYSTEM sur les systèmes affectés. Il aurait, bien sûr, besoin d'un certain niveau de privilèges avant de pouvoir procéder à l'escalade. C'est pourquoi ces types de bugs sont souvent associés à des bugs d'exécution de code comme ceux d'Adobe Reader (mentionnés ci-dessus) pour prendre le contrôle total d'un système.
Recommandations COMPUTERLAND
COMPUTERLAND encourage les utilisateurs et les administrateurs à consulter les avis de sécurité de Microsoft et d'installer les mises à jour.
N.B: Si vous n'avez pas de solution pour le patch management, nous serions heureux de vous aider à le mettre en place via nos ingénieurs et SDM à votre service.
Microsoft Original Alerte
11 avril, 2022
WatchGuard exploité par des pirates informatiques russes.
COMPURTERLAND exhorte toutes les organisations à mettre en place des correctifs pour un bogue activement exploité ayant un impact sur les appliances de pare-feu WatchGuard Firebox et XTM.
Sandworm, un groupe de pirates sponsorisé par la Russie, qui ferait partie de l'agence de renseignement militaire russe GRU, a également exploité cette faille d'escalade de privilèges de haute gravité (CVE-2022-23176) pour construire un nouveau botnet baptisé Cyclops Blink à partir de périphériques réseau WatchGuard Small Office/Home Office (SOHO) compromis.
"Les appliances WatchGuard Firebox et XTM permettent à un attaquant distant disposant d'informations d'identification non privilégiées d'accéder au système avec une session de gestion privilégiée via un accès de gestion exposé ", explique la société dans un avis de sécurité classant le bogue à un niveau de menace critique.
Plus d'information:
CISA warns orgs of WatchGuard bug exploited by Russian state hackers (bleepingcomputer.com)
Recommandations COMPUTERLAND
COMPUTERLAND encourage les utilisateurs et les administrateurs à consulter les avis de sécurité de WatchGuard et d'installer les mises à jour.
- Améliorations et problèmes résolus dans la mise à jour
WatchGuard Fireware version 12.8 for Fireboxes
WatchGuard Originale Alerte
7 avril, 2022
VMware publie des mises à jour de sécurité
VMware a publié des mises à jour de sécurité pour corriger les vulnérabilités de plusieurs produits. Un attaquant pourrait exploiter certaines de ces vulnérabilités pour prendre le contrôle d'un système affecté.
Les entreprises utilisant WMWARE doivent prendre connaissance de l'avis de sécurité publié, qui contient des versions de correctifs pour les produits suivant :
VMware Workspace ONE Access (Access)
VMware Identity Manager (vIDM)
VMware vRealize Automation (vRA)
VMware Cloud Foundation
vRealize Suite Lifecycle Manager
VMware Horizon Client for Linux
Recommandations COMPUTERLAND
COMPUTERLAND encourage les utilisateurs et les administrateurs à consulter les avis de sécurité VMware VMSA-2022-0011 et VMSA-2022-0012 et à appliquer les mises à jour nécessaires.
VMWare Alerte Originale
6 avril, 2022
Citrix publie des mises à jour de sécurité pour son hyperviseur
Citrix a publié des mises à jour de sécurité pour corriger une vulnérabilité dans Hypervisor. Un attaquant pourrait exploiter cette vulnérabilité pour provoquer un déni de service (DoS).
Recommandations COMPUTERLAND
COMPUTERLAND encourage les utilisateurs et les administrateurs à consulter la mise à jour de sécurité Citrix CTX390511 et à appliquer les mises à jour nécessaires.
Citrix a publié des correctifs pour résoudre ce problème. Citrix recommande aux clients concernés d'installer ces correctifs dès que leur calendrier de mise à jour le permet.
Les correctifs peuvent être téléchargés à partir des emplacements suivants :
Citrix Hypervisor 8.2 CU1 LTSR : CTX376976 - https://support.citrix.com/article/CTX376976
Citrix Hypervisor 8.2 : CTX376939 - https://support.citrix.com/article/CTX376939
Citrix XenServer 7.1 CU2 LTSR : CTX376940 - https://support.citrix.com/article/CTX376940
Citrix Originale Alerte
1 avril, 2022
Spring Framework/Spring Cloud Function. Java
L'objectif de cette alerte est d'attirer l'attention sur 2 vulnérabilités dans le Spring Framework/Spring Cloud Function.
Le Framework Spring est largement utilisé par les applications d'entreprise et les services en nuage. Spring est un cadre d'application léger de la plateforme Java couramment utilisé qui permet aux développeurs de développer facilement des applications Java avec des fonctionnalités de niveau entreprise.
Spring Cloud Function est un cadre de calcul de fonctions basé sur Spring Boot, et est mis en œuvre par de nombreux géants de la technologie, notamment Apache OpenWhisk, AWS Lambda, Google Cloud Functions, MS Azure et d'autres fournisseurs de services sans serveur.
Un attaquant distant non authentifié peut exploiter la vulnérabilité. Une exploitation réussie pourrait conduire à un système entièrement compromis. Les deux vulnérabilités sont connues pour être activement exploitées dans la nature.
Recommandations COMPUTERLAND
COMPUTERLAND recommande aux administrateurs système d'appliquer des correctifs aux systèmes vulnérables dès que possible et d'analyser les journaux du système et du réseau pour détecter toute activité suspecte.
Les actions recommandées sont axées sur la vulnérabilité de Spring4shell
Créez un inventaire qui inclut tous les logiciels de votre organisation et vérifiez pour chaque entrée si le framework Spring est implémenté.
Veuillez noter que cette vulnérabilité peut également se produire dans des logiciels développés sur mesure au sein de votre organisation, ainsi que dans des suites logicielles de fournisseurs traditionnels.
Pour éviter que la bibliothèque ne soit exploitée, il est recommandé de corriger les logiciels vulnérables le plus rapidement possible.
Les correctifs sont disponibles via Spring.io
- Spring Framework versions 5.3.18 et 5.2.20
- Spring Boot versions 2.5.12 et 2.6.6
- Tomcat versions 10.0.20, 9.0.62, et 8.5.78
Les entreprises utilisant ces produits doivent prendre connaissance de l'avis de sécurité publié, qui contient des versions de correctifs et logiciels impactés
https://github.com/NCSC-NL/spring4shell
Spring4Shell Original Alerte
29 mars, 2022
Vulnérabilité à l'exécution de code à distance du pare-feu Sophos
Sophos a récemment divulgué une vulnérabilité de niveau critique affectant le pare-feu Sophos version 18.5 MR3 (18.5.3) et antérieures. Cette vulnérabilité permet l'exécution de code à distance (RCE), c'est-à-dire lorsqu'un acteur malveillant accède à distance au portail utilisateur ou à l'interface Webadmin du pare-feu pour contourner l'authentification et exécuter du code arbitraire.
Recommandations COMPUTERLAND
- Les entreprises utilisant des pare-feu Sophos doivent prendre connaissance de l'avis de sécurité publié, qui contient des versions de correctifs pour les appareils en fin de vie pris en charge et non pris en charge.
- Vérifiez et configurez votre appareil à l'aide du guide des meilleures pratiques d'accès aux appareils de Sophos.
Si cette option est désactivée, pensez à activer l'option "Autoriser l'installation automatique des correctifs" pour appliquer automatiquement les correctifs lorsqu'ils sont publiés.
En savoir plus
TOP