Post de Gabriel Minchola

📢 🔔 #ParoledExpert : MITRE, une entreprise qui s’efforce de maintenir la cybersécurité la plus élevée possible, n’est pas à l’abri ? Les acteurs malveillants ont exploité deux vulnérabilités Zero Day d'Ivanti Connect Secure VPN et contourné l'authentification multifacteur en utilisant le détournement de session. 🤔 L'acteur menaçant a lancé l'attaque depuis janvier 2024 en effectuant une reconnaissance sur les réseaux de MITRE. « Aucune organisation n'est à l'abri de ce type de cyberattaque, pas même celle qui s'efforce de maintenir la cybersécurité la plus élevée possible », a déclaré Jason Providakes, président et chef de la direction de Mitre. Les adversaires se sont ensuite déplacés latéralement au sein du réseau, compromettant un compte administrateur pour infiltrer l'infrastructure VMware de MITRE et employant des portes dérobées et des webshells pour la persistance et la collecte d'informations d'identification.     ✨ Mitre affirme que les pirates ont violé un réseau de R&D non classifié ? Mitre, un centre de recherche et développement financé par le gouvernement fédéral et actif dans la recherche sur la #cybersécurité pour le gouvernement américain, a déclaré vendredi qu'un acteur menaçant d'un État-nation avait violé l'un de ses réseaux de recherche et développement non classifiés. À partir de là, ils se sont déplacés latéralement et ont fouillé profondément l'infrastructure #VMware de notre réseau en utilisant un compte administrateur compromis. L'incident, qui a été confirmé en avril 2024, impliquait la compromission de l'environnement d'expérimentation, et de recherche, un réseau collaboratif utilisé pour la recherche, le développement et le prototypage.   ✨ Son réseau principal d'entreprise ou ses systèmes partenaires aient été affectés ? 🤔 Malgré le respect des meilleures pratiques, des instructions du fournisseur et des conseils du gouvernement pour la mise à niveau, le remplacement et le renforcement de leur système Ivanti, le mouvement latéral vers l'infrastructure VMware n'a pas été détecté. "À l'époque, nous pensions avoir pris toutes les mesures nécessaires pour atténuer la vulnérabilité, mais ces actions étaient clairement insuffisantes", a déclaré Lex Crumpton, rédacteur pour MITRE-Engenuity. ✨ Entre temps ? - Mitre a recruté des équipes indépendantes de réponse aux incidents en matière d'investigation numérique pour effectuer leur propre analyse de la cyberattaque aux côtés des experts internes de l'organisation, - Mitre a déclaré qu'il prévoyait de renforcer sa défense en mettant en œuvre des mesures de sécurité supplémentaires, en améliorant les programmes de #formation et de #sensibilisation des employés et en procédant à un examen complet de sa posture en matière de cybersécurité. L'organisation doivent disposer de mécanismes robustes pour surveiller les intrusions et réagir rapidement aux incidents de sécurité ? Mais comme c'est non classifié🤐 Vos avis ?

🛡️🔒 Une faille au cœur de l’Internet Une découverte fortuite par un ingénieur de Microsoft a mis en lumière une menace insidieuse : Jia Tan, un hacker rusé, s'est infiltré dans une faille du réseau Internet mondial. Cette attaque, bien que sans conséquences immédiates, souligne les fragilités de nos infrastructures numériques. XZ Utils, un logiciel vital pour la compression des données sur les serveurs Linux, a été compromis. Cette attaque sophistiquée, orchestrée par Jia Tan sous le couvert d'une collaboration apparemment innocente, nous rappelle la nécessité d'une vigilance constante. En cette ère où des milliards de dollars reposent sur des codes développés par des volontaires passionnés, la sécurité de nos réseaux ne peut être garantie que par une collaboration collective et une surveillance active. Rejoignez-nous le 27 et 28 novembre 2024 pour notre événement dédié à la cybersécurité, où nous explorerons ensemble les défis et les solutions pour protéger nos infrastructures numériques. Pré-inscrivez vous dès maintenant : https://bit.ly/3UfXJTO Source: The Economist #Cybersécurité #SécuritéNumérique #JiaTan #ÉvénementCyber#Microsoft

🚨 L'attaque BlastRADIUS expose une faille critique dans le protocole RADIUS vieux de 30 ans 🚨 InkBridge Networks a récemment mis en lumière une vulnérabilité majeure (CVE-2024-3596) dans le protocole RADIUS largement utilisé, désormais connue sous le nom d'attaque BlastRADIUS. Découverte par une équipe de chercheurs de grandes institutions telles que l'Université de Boston et Cloudflare, cette faille permet aux attaquants de contourner l'authentification multi-facteurs et d'accéder sans autorisation aux réseaux locaux. Le problème clé réside dans l'absence de vérifications d'authentification et d'intégrité dans certains paquets Access-Request* permettant aux attaquants de contrôler l'accès au réseau. Cela affecte les réseaux d'entreprise, les fournisseurs de services Internet (ISP) et les entreprises de télécommunications, mettant potentiellement des millions d'appareils en danger. Points clés : - Vulnérabilité: CVE-2024-3596 et VU#456537 - Affecte: Réseaux d'entreprise internes, ISP, télécoms, et appareils tels que les commutateurs, routeurs, points d'accès et produits VPN - Cause : Défaut de conception dans le protocole RADIUS, entraînant des paquets Access-Request non protégés Pour atténuer cette vulnérabilité, il est essentiel de mettre à jour tous les serveurs RADIUS. Restez vigilants et assurez-vous que vos réseaux sont sécurisés. Pour plus de détails techniques : https://lnkd.in/dQbpZmJQ *Un paquet Access-Request est un message envoyé par un client RADIUS (comme un point d'accès réseau) à un serveur RADIUS pour demander l'accès à un réseau. Source: https://lnkd.in/e6t8F8Nr #CyberSécurité #RADIUS #BlastRADIUS #InkBridgeNetworks #SécuritéRéseau #CVE20243596

📢 L'informatique c'est fantastique et la cyber c'est super.📌 La technique tout juste découverte permet de lancer une attaque par déni de service en boucle entre deux applications réseau, bloquant indéfiniment l'accès légitime à leurs serveurs respectifs. Elle cible la couche application sur des systèmes utilisant le protocole UDP (User Datagram Protocol), un protocole vulnérable de la couche Transport Layer Security (TLS), qui, en raison de sa nature sans connexion, manque intrinsèquement de vérification des requêtes. « Les attaques DoS en boucle de la couche application reposent sur l'usurpation d'adresse IP et peuvent être déclenchées à partir d'un seul hôte capable d'usurper l'adresse IP », a déclaré le centre de recherche allemand sur la cybersécurité CISPA (Helmholtz Center for Information Security, CISPA) à l’origine de la découverte, dans un blog. « Ces attaques associent deux services réseau de telle sorte qu'ils continuent à répondre indéfiniment aux messages de l'un et de l'autre. https://lnkd.in/eNWyYpNU

La récente panne de #Microsoft doit être perçue comme un 🚨 red flag 🚨 pour réévaluer nos priorités en matière de cybersécurité. Cet incident souligne l'importance cruciale de la #cyberrésilience, qui doit être considérée comme la pierre angulaire de toute stratégie de sécurité informatique. 🚦 Il ne suffit plus de se contenter de mesures de #protection traditionnelles ; il est impératif de développer des systèmes capables de résister, de s'adapter et de se remettre rapidement des perturbations. 🚦 La #cyberrésilience englobe non seulement la protection contre les cyberattaques, mais aussi la capacité à maintenir la continuité des opérations et à garantir l'intégrité des données en toutes circonstances. 📣 En intégrant des pratiques robustes de surveillance, de redondance, de réponse aux incidents et de récupération après sinistre, nous pouvons bâtir une infrastructure plus résiliente face aux menaces croissantes et évolutives de notre ère numérique.

🤦🏻♂️ Alerte de violation de données - Nokia Le groupe IntelBroker, en collaboration avec le cyberacteur EnergyWeaponUser, prétend vendre une grande quantité de code source appartenant à Nokia. Ce code aurait été obtenu via un sous-traitant impliqué dans le développement d’outils internes de la société. 🕵️♂️💻 🔒 Données compromises : clés SSH, code source, clés RSA, identifiants Bitbucket, comptes SMTP, webhooks, et identifiants codés en dur. Une arborescence de fichiers a même été partagée pour prouver l’authenticité des données volées 📂🔑 Cette fuite met en lumière un point crucial : la vulnérabilité des chaînes d’approvisionnement et des sous-traitants dans la sécurité des informations 🔗💥. La cybersécurité ne se limite plus aux frontières de l’entreprise ; elle dépend aussi de la vigilance de chaque partenaire. Restez informés et vigilants ! 👀 #CyberSécurité #DataBreach #Nokia #ChaîneDeConfiance #SécuritéDeLInformation #JournalDeLInformatique #hackmanac

🚨PoC Exploit 🚨Vulnérabilité RCE critique non authentifiée dans Fortinet FortiSIEM : PoC publié Un exploit de preuve de concept (PoC) a été publié pour une vulnérabilité critique d'exécution de code à distance non authentifiée dans Fortinet FortiSIEM, suivie comme CVE-2023-34992 . La vulnérabilité, qui a un score CVSS de 10,0, a été découverte par les chercheurs d'Horizon3.ai lors d'un audit des appliances Fortinet début 2023. Fortinet FortiSIEM est une solution complète de gestion des informations et des événements de sécurité (SIEM) qui fournit des fonctionnalités de collecte de journaux, de corrélation, de réponse automatisée et de correction. 🔥PoC: 🔗https://lnkd.in/esY8893u Détails techniques et indicateurs de compromission peuvent être trouvés :🔗https://lnkd.in/er3beKsj NB: Ce logiciel a été créé uniquement à des fins de recherche universitaire et pour le développement de techniques défensives efficaces, et n'est pas destiné à être utilisé pour attaquer des systèmes, sauf autorisation explicite. 🔄Atténuation Fortinet a corrigé cette vulnérabilité dans une récente mise à jour. Toute version de FortiSIEM de 6.4.0 à 7.1.1 est à risque. Fortinet a publié des correctifs pour les versions 7.0.3, 7.1.3, 7.2.0, 6.6.5, 6.5.3, 6.4.4 et 6.7.9, et il est recommandé de mettre à niveau vers ces versions ou une version ultérieure. 🔗https://lnkd.in/eTJEMarD Il est recommandé de suivre les meilleures pratiques pour sécuriser les déploiements SIEM, telles que restreindre l'accès à l'interface de gestion et auditer régulièrement les configurations du système. Les organisations utilisant FortiSIEM doivent examiner leurs journaux pour détecter toute activité inhabituelle, en particulier dans le fichier /opt/phoenix/logs/phoenix.logssusceptible de contenir le contenu des messages reçus pour le service phMonitor. #Fortinet #FortiSIEM #CVE202334992 #Exploit #PoC

Le calme après la tempête 📯 Une récente mise à jour de la société de cybersécurité CrowdStrike a causé des perturbations significatives pour les entreprises à l'échelle mondiale, affectant les postes de travail Windows. George Kurtz, CEO de CrowdStrike, a déclaré : "CrowdStrike travaille activement avec les clients touchés par un défaut trouvé dans une seule mise à jour de contenu pour les hôtes Windows." Il a précisé que les hôtes Mac et Linux ne sont pas concernés et a souligné qu'il ne s'agit pas d'un incident de sécurité ou d'une cyberattaque. Les actions de CrowdStrike ont chuté de 15 % lors des pré-échanges aux États-Unis, reflétant l'ampleur de l'impact. Les secteurs touchés incluent les compagnies aériennes, les institutions financières, le commerce de détail, les hôpitaux et les télécommunications. Les étapes de récupération sont les suivantes: 1. Démarrer Windows en mode sans échec ou en environnement de récupération Windows. 2. Accéder au répertoire C:\Windows\System32\drivers\CrowdStrike. 3. Supprimer le fichier nommé "C-00000291*.sys". 4. Redémarrer normalement l'ordinateur ou le serveur. Les fournisseurs de services cloud comme Google Cloud, Microsoft Azure et AWS ont également signalé des problèmes et travaillent sur des solutions. Kevin Beaumont, chercheur en sécurité, a souligné la gravité de cet incident, le qualifiant potentiellement du plus grand incident 'cyber' mondial en termes d'impact. En réponse, CrowdStrike a déployé une solution pour son produit Falcon Sensor et encourage ses clients à consulter le portail de support pour les mises à jour. L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) avertit des tentatives de phishing exploitant cette perturbation. Il est conseillé aux organisations de renforcer leurs mesures de cybersécurité. Cet incident souligne la nécessité d'une infrastructure informatique diversifiée pour prévenir les pannes à l'échelle mondiale. Pour plus de détails et les dernières mises à jour, consultez le portail de support de CrowdStrike. Source : https://lnkd.in/gz84Qa_m #Cybersécurité #CrowdStrike #Windows #PerturbationsIT #ContinuitéDesAffaires #Phishing

📢 L'informatique c'est fantastique et la cyber c'est super.📌 Cet outil a pour objectif d'empêcher l'EDR de communiquer avec la console de gestion, et ainsi éviter la remontée d'informations. Pour cela, l'outil EDRSilencer, inspiré de l'outil NightHawk FireBlock de MDSec, est conçu pour bloquer le trafic sortant associé aux processus de l'EDR, grâce à des règles positionnées dans la plate-forme de filtrage Windows (WFP). Il est capable de bloquer les flux en IPv4 et IPv6. https://lnkd.in/et-jqXaE

13/30- AlienVault AlienVault est un moteur de recherche spécialisé en cybersécurité, crucial pour la détection et l'analyse des menaces. Il intègre une vaste base de données alimentée par une communauté mondiale de chercheurs en sécurité et d'entreprises. L'une de ses principales fonctionnalités est l'Open Threat Exchange (OTX), une plateforme collaborative où les utilisateurs partagent des informations sur les menaces en temps réel. Cela permet une réaction rapide et une adaptation continue aux nouvelles attaques. AlienVault offre également des outils d'analyse avancée, permettant de détecter et de prévenir les intrusions. Ses capacités de corrélation d'événements aident à identifier des schémas d'attaque complexes. Enfin, la solution s'intègre facilement à divers systèmes de sécurité existants, améliorant ainsi la défense globale des réseaux informatiques. AlienVault est un allié indispensable pour toute organisation soucieuse de protéger ses données et ses infrastructures. Lien du moteur de recherche : https://lnkd.in/exA65kwv #Cyberjuriste