Post de KAZELMA El MADOU Abary

🚨 [CERT-FR] Multiples vulnérabilités dans Nagios XI (14 août 2024) 👉 De multiples vulnérabilités ont été découvertes dans Nagios XI. Elles permettent à un attaquant de provoquer une élévation de privilèges, un contournement de la politique de sécurité et un... #NoHackMe_news #NoHackMe_CERT https://lnkd.in/d-aXYfeX

La majorité des systèmes DMS qu'utilise l'industrie passe par les routeurs de Fortinet comme porte d'entrée (WAN). C'est souvent votre fournisseur DMS qui, malheureusement, en a le contrôle et qui, selon mon humble avis, ne devrait pas être celui qui gère cette partie, mais bien votre spécialiste informatique interne pour être le gardien des entrées et sorties liées au web. Mais bon... Je souhaite attirer votre attention sur une vulnérabilité critique récemment découverte dans FortiSIEM, identifiée sous la référence CVE-2024-23108. Cette faille, d'une sévérité maximale avec un score CVSS de 10/10, a été mise en évidence par Zach Hanley de Horizon3. Impact de la vulnérabilité : • Type : Exécution de code à distance (RCE) • Exploitation : Un attaquant non authentifié peut exécuter du code en tant que root via des requêtes spéciales à l'API de FortiSIEM. Versions affectées : FortiSIEM versions 7.1.0 à 7.1.1, 7.0.0 à 7.0.2, 6.7.0 à 6.7.8, 6.6.0 à 6.6.3, 6.5.0 à 6.5.2, 6.4.0 à 6.4.2. Mesures de protection recommandées : Mise à jour immédiate vers FortiSIEM version 7.1.3, 7.0.3, 6.7.9 ou ultérieure pour les versions affectées. Fortinet a initialement nié l'unicité de cette CVE, la considérant comme un doublon de CVE-2023-34992, mais il a été confirmé que CVE-2024-23108 et les variantes associées CVE-2024-23109 permettent des attaques via des vecteurs différents. Horizon3 a également publié un exploit PoC sur GitHub, ce qui augmente le risque d'exploitation par des acteurs malveillants. Il est crucial de prendre des mesures immédiates pour patcher les systèmes vulnérables exposés à Internet. Si c'est votre équipe TI qui gère cela, passez le mot. Si c'est votre fournisseur DMS, passez le mot et n'oubliez pas de remettre à César ce qui devrait appartenir à César. Pour plus d'informations, consultez le bulletin de sécurité . Restons vigilants et partagez cette information avec votre fournisseur en charge. Ce genre de démarche pourra aider notre communauté à se protéger. 😉 👇 https://lnkd.in/ewtDD76C

🚨 Alerte CERT : vulnérabilité zero-day CVE-2024-3400 critique sur le portail GlobalProtect de Palo Alto Networks. 👾 La vulnérabilité exploitée permet à un attaquant distant d'exécuter du code arbitraire avec des privilèges root sur le pare-feu. Elle affecte spécifiquement la passerelle GlobalProtect et ne peut être exploitée que si la télémétrie est activée et si la version PAN-OS est plus récente que 10.2. Pour en savoir plus 👉 https://ow.ly/QhvO50RjHSL (version française disponible très prochainement) Suivez également les recommandations de Palo Alto Networks 👉 https://ow.ly/pg2b50RjHSI #zeroday #vulnerability #CVE

Palo Alto Networks - CVE-2024-0012 Un défaut dans Palo Alto Networks permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, d’obtenir les privilèges administrateur, de modifier les configurations ou d’exploiter d’autres vulnérabilités de type élévation de privilèges comme la CVE-2024-9474. https://lnkd.in/den8zjtF

🚨 [CERT-FR] Multiples vulnérabilités dans les produits SonicWall (05 août 2024) 👉 De multiples vulnérabilités ont été découvertes dans les produits SonicWall. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte... #NoHackMe_news #NoHackMe_CERT https://lnkd.in/dvu4FWf5

 🚨 Vulnérabilité critique d'exécution de code à distance dans Ivanti Connect Secure et Policy Secure 🚨   Ivanti a publié des mises à jour importantes pour corriger une vulnérabilité critique (CVE-2024-37404 - score CVSS 9,1/10) affectant Ivanti Connect Secure et Policy Secure . Cette faille permet à un attaquant authentifié à distance d'exécuter du code malveillant, compromettant ainsi la sécurité des systèmes concernés.   🔄 Les correctifs pour Ivanti Connect Secure versions 22.7R2.1, 22.7R2.2 et Policy Secure version 22.7R1.1 sont déjà disponibles. Un correctif supplémentaire sera inclus dans Ivanti Connect Secure 9.1R18.9, prévu pour le 15 octobre. Il est fortement recommandé de mettre à jour vos systèmes dès que possible pour éviter toute exploitation.   Pour protéger vos systèmes, veuillez consulter le bulletin d'Ivanti pour obtenir les correctifs nécessaires : https://lnkd.in/ePUaZipG   📋 Plus d’informations, consultez le bulletin du CERT-FR : https://lnkd.in/dJbpRSRJ

/!\ Palo Alto user, be aware ! Les pirates exploitent activement la vulnérabilité DoS CVE-2024-3393 pour désactiver la protection par pare-feu en forçant un redémarrage. En répétant l'exploitation, il est apparement possible de mettre l'appliance en mode "maintenance" et une intervention manuelle est nécessaire pour rétablir le fonctionnement normal. Affectés: PAN-OS versions 10.1.x antérieures à 10.1.15 PAN-OS versions 10.2.x antérieures à 10.2.14 PAN-OS versions 11.1.x antérieures à 11.1.5 PAN-OS versions 11.2.x antérieures à 11.2.3 Prisma Access versions 10.2.x antérieures à 10.2.10-h12 Prisma Access versions 11.2.x antérieures à 11.2.3 PAN-OS version 11.0 est affecté mais ne recevra aucun correctif (EOL passé ! (17.11.24).

🚨 Vulnérabilité dans Palo Alto Networks GlobalProtect : L'ANSSI publie un communiqué concernant la vulérabilité de Palo Alto : Exécution de code arbitraire à distance Les étapes de remédiations suivantes doivent être suivies. Le support Palo Alto Networks est également susceptible de communiquer un processus de remédiation. - Exporter la configuration ; - Réaliser une remise en état d'usine (Factory Reset) ; - Mettre à jour l'équipement jusqu'à la version contenant le dernier correctif de sécurité ; - Réimporter la configuration ; - Renouveler la clé de chiffrement principale (Master Key) [5] ; - Renouveler les secrets d'authentification de l'équipement et révoquer les anciens certificats. #NextwaveIT #SpecialisteIT

🚨 Alerte 🚨CVE-2024-28872 (CVSS 8,9): Stork, une validation incorrecte du certificat TLS peut entraîner une élévation des privilèges. 🔍Stork fournit aux administrateurs réseau une interface graphique conviviale pour gérer et surveiller les serveurs DHCP Kea . Il s'intègre également à LDAP pour gérer l'authentification et l'autorisation des utilisateurs. ⚠️Une faille de sécurité, répertoriée sous le nom CVE-2024-28872 et évaluée avec un score CVSS de 8,9, a été découverte, mettant en évidence sa gravité. Cette vulnérabilité affecte la validation des certificats TLS par Stork. Les attaquants pourraient exploiter cette faille en obtenant un certificat TLS valide du serveur Stork, puis l'utiliser pour se connecter à l'agent Stork, un logiciel s'exécutant en parallèle avec les services surveillés. Une fois connectés, les attaquants pourraient envoyer des commandes malveillantes dotées de privilèges élevés aux services surveillés, tels que Kea ou BIND 9. Mettez à niveau vers la version corrigée la plus étroitement liée à votre version actuelle de Stork : ✨1.15.1 Envisagez d'utiliser des pare-feu ou une segmentation du réseau pour restreindre l'accès entre le serveur Stork et ses agents correspondants. 🔗Plus d'infos 👉https://lnkd.in/eMu2H3mz #ISC #Stork #Kea #BIND9 #cve-2024-28872 #TLS

Le 19 avril le CERT-FR a mis à jour son alerte (toujours en cours) "Vulnérabilité dans Palo Alto Networks GlobalProtect" dans les Mesures d'endiguement il est bien rappelé : En cas de suspicion ou de compromission avérée de l'équipement, les étapes suivantes doivent être suivies : 👉 Isoler l’équipement d'Internet, SANS l'éteindre ; 👉 Si l’équipement est une machine virtuelle, prendre un instantané (snapshot) incluant la mémoire vive à des fins d’investigation 👉 Sinon, exporter les journaux pour éviter leur rotation ; 👉 🔺 Parallèlement, identifier les comptes du domaine Active Directory qui seraient configurés sur l'équipement suspecté. Réinitialiser les secrets associés à ces comptes afin d'éviter que l'attaquant ne puisse réutiliser ailleurs les identifiants éventuellement volés sur l'équipement. https://lnkd.in/eZCr5t7p