Un nouveau problème de sécurité affecte le géant Fortinet ! Les attaquants utilisent un exploit zero-day visant à exploiter la vulnérabilité CVE-2022-41328, corrigée il y a quelques jours par Fortinet.

Un nouveau rapport de sécurité mis en ligne par Fortinet mentionne un incident lors duquel les attaquants sont parvenus à exploiter la faille de sécurité CVE-2022-41328. Patchée depuis le 7 mars 2023, cette vulnérabilité permet à un attaquant d'exécuter du code malveillant ou des commandes sur FortiOS.

D'après Fortinet, les attaquants ciblent les organisations gouvernementales et les grandes entreprises où les solutions Fortinet sont déployées. Lorsque l'attaque réussie, l'impact est le suivant : "Perte de données et corruption du système d'exploitation et des fichiers", précise l'éditeur de FortiOS.

Tout à commencé lorsque les firewalls FortiGate d'un client Fortinet se sont mis en sécurité, en affichant le message "System enters error-mode due to FIPS error: Firmware Integrity self-test failed" au démarrage. Ce message s'affiche lorsque le mode FIPS est actif : il arrête le système et l'empêche de démarrer si une intrusion est détectée, dans le but de protéger l'intégrité du réseau derrière le FortiGate.

D'après l'analyse de Fortinet, c'est la solution FortiManager du client qui a été exploité puisque tous les FortiGate ont détecté l'attaque en même temps (compromission) et il y a eu des scripts exécutés sur les firewalls à partir de l'interface FortiManager pour déclencher l'exploit path traversal.

L'objectif étant de s'attaquer au firmware du FortiGate pour ajouter une souche malveillante permettant d'exfiltrer des données, de télécharger et d'écrire des fichiers, et même d'ouvrir des shells distants lorsque l'équipement reçoit un paquet ICMP spécifique contenant la chaîne ";7(Zu9YTsA7qQ#vm".

Fortinet ne sait pas quel est le groupe de cybercriminels à l'origine de l'incident de sécurité faisant l’objet de ces investigations, mais compte tenu de la complexité de l'exploit, cela ne doit pas être un gang de débutants... En tout cas, Fortinet précise que cet exploit nécessite une connaissance approfondie de FortiOS et du matériel Fortinet.

Se protéger de la CVE-2022-41328

D'après le bulletin de sécurité de cette vulnérabilité, les versions suivantes sont affectées :

• FortiOS versions 7.2.0 à 7.2.3
• FortiOS versions 7.0.0 à 7.0.9
• FortiOS versions 6.4.0 à 6.4.11
• FortiOS 6.2, toutes les versions
• FortiOS 6.0, toutes les versions

De ce fait, et puisqu'il y a un correctif disponible, voici la version à cibler pour se protéger :

• FortiOS version 7.2.4 ou supérieur
• FortiOS version 7.0.10 ou supérieur
• FortiOS version 6.4.12 ou supérieur

Sur son site, Fortinet a mis en ligne une liste des indicateurs de compromissions associés à ces nouvelles attaques. Il est conseillé de mettre à jour ses équipements dès que possible.

Source

The post Ce nouvel exploit FortiOS est utilisé pour compromettre des entreprises first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons aborder la gestion de la capture continue sur Wireshark et les différentes options que nous pouvons utiliser pour éviter de saturer en mémoire vive ou en espace disque lors d’une capture sur une longue période.

Avant de continuer, voici la liste des précédents articles de cette série sur Wireshark :

• Tutoriel - Installation pas-à-pas de Wireshark
• Tutoriel - Découverte de l'interface Wireshark
• Tutoriel - Astuces pour personnaliser l'interface de Wireshark !
• Tutoriel - Wireshark et les filtres de capture
• Tutoriel - Wireshark et les filtres d'affichage
• Tutoriel - Wireshark et la résolution de noms
• Tutoriel - Wireshark et les commentaires
• Tutoriel - Wireshark : activer la géolocalisation d’adresses IP
• Tutoriel - Wireshark - Comment déchiffrer les flux TLS comme le HTTPS ?
• Tutoriel - Wireshark - Comment décoder un protocole ?
• Tutoriel - Wireshark - Comment anonymiser un fichier de capture avec TraceWrangler ?
• Téléchargement - Wireshark

II. Configuration des fichiers de capture de sortie

La configuration des options de capture s’effectue au lancement de Wireshark avant de lancer une capture réseau. Il suffit de cliquer sur l'icône en forme de roue cranter en haut pour accéder aux paramètres de configuration de la capture réseau.

Une nouvelle fenêtre s’ouvre sur les options de capture.

Par défaut on arrive sur l’onglet « Entrée », ici on sélectionne notre carte réseau à partir de laquelle nous souhaitons capturer le trafic réseau.

Pour configurer les options de sorties, il faut aller sur l’onglet « Sortie ».

L’onglet sortie permet de configurer la création de nouveaux fichiers suivant certains paramètres que nous allons détailler.

La première partie correspond à la configuration du nom et de l’emplacement du fichier de capture.

En dessous de « Capture vers un fichier permanent », cliquez sur « Parcourir… ». Une nouvelle fenêtre s’ouvre pour vous permettre d'indiquer l’emplacement de la capture et le nom de votre fichier de capture.

Une fois que vous avez choisi l’emplacement et le nom de votre fichier de capture, vous cliquez sur « Enregistrer » pour prendre en compte la modification. Ici, je vais appeler mon fichier  "capture_continu" tout simplement.

Ensuite, il faut configurer le format du fichier de capture, deux choix possibles : pcap qui est le format historique ou pacpng qui est le format de fichier de capture plus récent. Ici je vais choisir « pcapng ».

Maintenant que notre fichier de capture est configuré, nous allons voir comment effectuer une trace réseau circulaire.

La trace réseau circulaire permet de créer plusieurs fichiers de capture qui ont pour but :

• Réduire la taille du fichier capture
• Faciliter l’analyse avec des fichiers plus petits
• Eviter la saturation mémoire de votre ordinateur pour la gestion du fichier en écriture en live et d’analyse du fichier à froid avec Wireshark

Je vais m’appuyer sur l’image ci-dessus pour expliquer les différentes possibilités.

Pour effectuer un fichier de capture circulaire, il faut cocher l’option « Crée un nouveau fichier de capture automatiquement… ».

Après, nous allons spécifier comment Wireshark va créer un nouveau fichier :

• Sur le nombre de paquets capturés
• La taille de la capture réseau : en Kilo-Octets, Mega-Octets ou Giga-Octets
• Le temps de capture : secondes, minutes ou heures
• Un multiple de temps en secondes, minutes ou heures par rapport à l’horloge de votre ordinateur

Personnellement, j’utilise seulement l’option de la taille de la capture et je limite à 100Mo pour éviter d’avoir des fichiers trop lourds à charger pour l’analyse a posteriori.

Vous avez la possibilité aussi de compresser le fichier de capture au format gzip.

La dernière option disponible est d’utiliser un tampon circulaire, attention cette option écrase le fichier le plus ancien.

Je m'explique. Vous spécifier un tampon circulaire de 5 fichiers. Quand il va écrire le sixième fichier, il va écraser le premier fichier de capture car, vous aurez seulement cinq fichiers d’enregistrés sur votre disque.

Après avoir expliqué les options de sortie, voici ma configuration pour ce tutoriel :

N.B : il est possible de cocher plusieurs conditions.

III. Configuration des options du fichier de capture

Maintenant il reste un onglet à configurer : « Options ».

Donc, cliquez sur l’onglet « Options ».

Dans notre tutoriel, la partie qui va nous intéresser et les options d’arrêt de la capture.

Comme pour la création d’un fichier de capture, nous allons retrouver les mêmes possibilités :

• Le nombre de paquets
• Le nombre de fichiers
• La taille de la capture réseau : en Kilo-Octets, Mega-Octets ou Giga-Octets
• Le temps de capture : secondes, minutes ou heures

On peut spécifier un répertoire pour stocker les fichiers de capture temporaires.

Pour ce tutoriel, je vais spécifier un arrêt de capture après trois fichiers créés :

IV. Démonstration

A. Lancer la capture

Pour rappel, la configuration de la capture continue est la suivante :

• Format du fichier de capture : pcapng
• Activation de la création d’un nouveau fichier de capture avec comme option création d’un nouveau fichier tous les cinquante paquets
• Un arrêt automatique au bout de trois fichiers créés

Il ne reste plus qu’à lancer Wireshark en cliquant sur le bouton « Démarrer ».

Une fois la capture lancée, Wireshark va créer automatiquement les trois fichiers de 50 paquets et s’arrêter à ce dernier.

B. Naviguer entre les différents fichiers de capture

Pour lister les différents fichiers de capture, cliquer sur le menu « Fichier », ensuite encore une fois sur « fichier » et cliquez sur « Liste des fichiers ». Vous pouvez aussi naviguer entre les fichiers en utilisant les options de « Fichier suivant » et « Fichier précédent ».

Une nouvelle fenêtre s’ouvre.

En haut à gauche, Wireshark indique le nombre de fichiers et en bas l’emplacement des fichiers de capture. Pour accéder au contenu d'un fichier, il suffit de double cliquer dessus.

IV. Conclusion

Ce tutoriel va vous permettre de ne pas saturer votre ordinateur tout en prenant une trace réseau de longue durée ! Le prochain article sera sur la fusion de plusieurs fichiers de capture.

The post Wireshark : créer une capture en continue (sans saturer sa machine) first appeared on IT-Connect.

Kali Linux 2023.1 est désormais disponible ! Il s'agit de la première mise à jour majeure de l'année 2023, qui symbolise aussi le 10ème anniversaire de cette distribution ! Faisons le point sur les nouveautés !

Kali Purple, pour la sécurité défensive !

Alors que Kali Linux est une distribution basée sur Linux orientée sécurité offensive, Kali Purple est désormais une distribution à part entière et orientée sécurité défensive. L'objectif étant de rendre accessibles les outils plus facilement aux entreprises, notamment aux SOC. Cette version intègre environ 100 outils de sécurité défensive tels que CyberChef, Elastic Security, GVM, Malcom, TheHive ou encore Suricata. Des outils permettant de réaliser des analyses, mais aussi d'apprendre plus facilement.

Kali Purple intègre une structure de menu qui s'appuie sur le NIST CSF, avec les catégories suivantes : Identify, Protect, Detect, Respond et Recover. Comme pour Kali Linux, Kali Purple est disponible sous la forme d'images prêtes à l'emploi et lors de l'installation il y le choix entre l'environnement Xfce, Gnome ou KDE Plasma.

Les changements apportés à Kali Linux 2023.1

Kali Linux est passé sur Xfce 4.18, ce qui apporte par exemple la prise en charge de l'import/export pour la disposition de l'interface via la fonction "Panel Profiles". En ce qui concerne KDE Plasma, c'est la version 5.27 qui est utilisée. Pas de changement pour GNOME puisque la prochaine version majeure n'est pas encore disponible.

Deux paramètres par défaut ont évolués dans le noyau de Kali Linux :

• Plus besoin d'être root pour exécuter un programme qui écoute sur un port inférieur à 1024 (effectif depuis Kali 2021.2)
• Plus besoin d'être root pour lancer dmesg

Pour marquer le coup des 10 ans d'existence de Kali Linux et comme il s'agit de la première version de l'année 2023, les développeurs ont mis à jour le thème de l'interface, que ce soit le boot menu, l'interface de connexion ou le fond d'écran, en faisant référence à des versions iconiques de la distribution, notamment Kali 1.0 !

Kali Linux 2023.1 : les nouveaux outils

Comme à chaque fois, de nouveaux outils sont ajoutés à Kali Linux. Au sein de la version 2023.1, voici les nouveautés :

• Arkime : plateforme pour la capture et l'analyse de paquets
• CyberChef : une webapp pour chiffrer, encoder, compresser et analyser des données
• DefectDojo : gestion des vulnérabilités (open source)
• Dscan : distributed Nmap Scanner
• Kubernetes-Helm : faciliter le déploiement d'applications dans Kubernetes
• PACK2 : Password Analysis and Cracking Kit
• Redeye : un outil pour les pentesters pour faciliter la gestion des données pendant un pentest
• Unicrypto

Pour en savoir plus sur l'ensemble des modifications, rendez-vous sur cette page du site officiel de Kali Linux.

The post Kali Linux 2023.1 : quelles sont les nouveautés ? first appeared on IT-Connect.

Tonnerre de Brest, le Centre hospitalier universitaire de Brest est victime d'une cyberattaque ! Celle-ci s'est déroulée, jeudi 9 mars, dans la soirée. Faisons le point.

Encore un centre hospitalier français victime d'une attaque informatique. Cette fois-ci, c'est le CHRU de Brest qui en a fait les frais... Le jeudi 9 mars à 20h33 lorsque des cybercriminels se sont introduits sur le système informatique du centre. Dans un communiqué, l'établissement a indiqué : "L'analyse du processus d'attaque a démontré que des serveurs ont été impactés".

Comme bien souvent, on a eu le cas récemment en Espagne avec l'hôpital public de Barcelone, les services sont perturbés et fonctionnent en mode dégradé. Même s'il y a visiblement un retour au papier et même au fax, le système d'information continue de tourner, lui aussi en mode dégradé. Les systèmes impactés sont isolés, de façon à éviter la propagation de la souche malveillante.

D'après la direction du CHRU, les services d'urgence sont assurés et les interventions ne sont pas déprogrammées. Ce qui est une bonne nouvelle en soi. Toutefois, il y a quand même des problèmes avec plusieurs services liés aux communications extérieures : "Jusqu’à nouvel ordre, le CHU de Brest n’est pas en mesure de proposer la télé expertise, la téléconsultation ni la prise de rendez-vous". Il en va de même pour le site Internet qui est inaccessible, et les communications vers d'autres établissements (SAMU, associations, etc.), ainsi que les envois de résultats, qui ne sont plus possibles pour le moment.

À ce jour, cette cyberattaque n'a pas été revendiquée et il n'est pas précisé s'il s'agit d'un ransomware, ou d'un autre type de logiciel malveillant. D'après des propos relayés par France 3 : "Aucune fuite de données de santé n'a été pour l'instant identifiée. Aucune donnée n'est compromise en interne". Espérons que ce soit toujours le cas à la fin de l'enquête.

Bon courage aux équipes sur place !

Source

The post Le CHRU de Brest impacté par une cyberattaque ! first appeared on IT-Connect.

Microsoft vient d'annoncer une nouvelle fonctionnalité très intéressante pour son application Outlook à destination d'iOS et Android : l'intégration d'une version allégée de Microsoft Authenticator, ce qui permettra d'utiliser la double authentification sans installer l'application Authenticator en elle-même.

Actuellement, l'application Microsoft Authenticator permet de générer un code à usage unique pour accéder aux sites et services sur lesquels la double authentification est disponible, que ce soit du Microsoft ou non, d'ailleurs.

Avec la version allégée de l'application, à savoir Authenticator Lite, et qui s'apprête à être intégrée à l'application Outlook, cette possibilité sera réduite aux produits et services Microsoft. Autrement dit, l'Authenticator qui va être intégré à Outlook ne fonctionnera pas avec tous les sites puisqu'il est réservé à ceux de Microsoft. Même si certains utilisateurs seront sûrement déçus, c'est intéressant pour les utilisateurs peu à l'aise avec l'outil informatique : ils peuvent utiliser la double authentification sans avoir à installer et configurer Microsoft Authenticator sur leur smartphone. Quand on connaît la popularité d'Outlook sur mobile et sur desktop, cela facilite indirectement l'adoption d'Authenticator.

La feuille de route de Microsoft 365 précise : "Authenticator Lite (dans Outlook) est une fonctionnalité qui permet à vos utilisateurs de compléter l'authentification multi-facteurs (MFA) pour leur compte professionnel ou scolaire en utilisant l'application Outlook sur leur appareil iOS ou Android." - Pour le moment, cette fonctionnalité ne semble pas prendre en charge les comptes personnels, si l'on se réfère au descriptif de la feuille de route.

Cette nouveauté sera disponible très prochainement, puisque la preview est prévue pour le mois de mars et la disponibilité pour tout le monde également. Les mises à jour de l'application Outlook sur mobile seront à surveiller dans les prochaines semaines ! Reste à savoir comment sera effectuée cette intégration dans Outlook et comment cela va se traduire pour l'usage au quotidien !

Que pensez-vous de cette nouveauté ?

Source

The post Outlook sur iOS et Android va intégrer une version allégée d’Authenticator ! first appeared on IT-Connect.