Les systèmes Linux sont pris pour cible par le ransomware IceFire, qui bénéficie d'un module de chiffrement dédié à ce système, en plus de pouvoir s'attaquer à Windows.

Le ransomware IceFire est actif à l'échelle mondiale, et d'après les chercheurs en sécurité de chez SentinelLabs, plusieurs médias et entreprises dans le domaine du divertissement ont déjà fait les frais de ce ransomware, depuis la mi-février. Une fois l'infrastructure compromise, le ransomware IceFire s'en prend aux serveurs Linux dans le but de les chiffrer. Toutefois, cette menace existe depuis au moins mars 2022.

Il est plus difficile de compromettre un système Linux car les techniques habituelles, via une campagne de phishing par exemple, sont moins efficaces. De ce fait, les cybercriminels ciblent plutôt des failles de sécurité facilement exploitables.

Dans le cas présent, le gang de ransomware IceFire cherche à exploiter la faille de sécurité CVE-2022-47986 située dans le système de transfert de fichiers IBM Aspera Faspex. IBM a déjà patché cette vulnérabilité en janvier 2023, mais depuis début février, elle est régulièrement utilisée dans le cadre de cyberattaques.

Si l'on regarde sur le moteur Shodan, il y a au moins 159 serveurs IBM Aspera Faspex exposés sur Internet ! Si ces serveurs ne sont pas à jour, ils pourraient subir les foudres du ransomware IceFire. La majorité des serveurs identifiés par Shodan sont localisés aux Etats-Unis et en Chine, et il y en a au moins 3 en France. Si les administrateurs de ces serveurs passent par-là...!

Que se passe-t-il lorsqu'une machine est compromise par ce ransomware ?

Quand des données sont chiffrées par le ransomware IceFire, les fichiers héritent de l'extension ".ifire". Lorsqu'il agit sur une machine Linux, le ransomware ne chiffre pas l'ensemble des données. Il fait en sorte de ne pas affecter les répertoires critiques, de façon à ce que le système reste fonctionnel, tout en affectant les données. Ainsi, la machine chiffrée reste allumée !

Source

The post Le ransomware IceFire s’attaque aux serveurs Linux et Windows ! first appeared on IT-Connect.

Une fois encore, Fortinet a mis en ligne un bulletin de sécurité qui corrige une vulnérabilité critique dans FortiOS et FortiProxy ! Faisons le point sur cette faille de sécurité.

Les firewalls FortiGate vont devoir passer par la case maintenance puisque la faille de sécurité associée à la référence CVE-2023-25610 affecte les systèmes FortiOS et FortiProxy.

Cette vulnérabilité critique associée à un score CVSSv3 de 9.3 sur 10 correspond à un bug de sécurité de type "buffer underwrite" et elle permet à un attaquant non authentifié d'exécuter du code malveillant à distance sur l'appareil vulnérable en ciblant l'interface d'administration.

Uniquement du déni de service sur certains modèles

Selon les cas, cette faille de sécurité peut permettre de mener une attaque par déni de service afin de faire planter l'équipement Fortinet, à partir d'une requête malveillante.

D'ailleurs, sur une cinquantaine de modèles d'équipements, cette faille de sécurité permet uniquement de mener une attaque DoS. On peut citer par exemple les firewalls FortiGate 100D, FortiGate 200C, FortiGate 200D ou encore le FortiWiFi-60D.

La liste complète est disponible sur le bulletin de sécurité officiel. Pour les modèles qui ne sont pas listés et qui utilisent une version affectée, ils sont vulnérables au DoS et à l'exécution de code à distance.

D'après Fortinet, cette faille n'est pas exploitée par les cybercriminels pour le moment : "Fortinet n'a connaissance d'aucun cas où cette vulnérabilité a été exploitée." - Toutefois, il y a des chances pour qu'ils s'y intéressent puisque de nombreux équipements sont malheureusement exposés sur Internet.

CVE-2023-25610 : les versions impactées

Le bulletin de sécurité de Fortinet indique que les versions suivants sont impactées :

• FortiOS versions 7.2.0 à 7.2.3
• FortiOS versions 7.0.0 à 7.0.9
• FortiOS versions 6.4.0 à 6.4.11
• FortiOS versions 6.2.0 à 6.2.12
• FortiOS 6.0, toutes les versions
• FortiProxy versions 7.2.0 à 7.2.2
• FortiProxy versions 7.0.0 à 7.0.8
• FortiProxy versions 2.0.0 à 2.0.11
• FortiProxy 1.2, toutes les versions
• FortiProxy 1.1, toutes les versions

CVE-2023-25610 : comment se protéger ?

Fortinet a mis en ligne des correctifs de sécurité pour plusieurs versions de FortiOS et FortiProxy. Il est conseillé de mettre à jour ses équipements. De ce fait, voici les versions qui intègrent le correctif permettant de se protéger de cette vulnérabilité :

• FortiOS version 7.4.0 ou supérieur
• FortiOS version 7.2.4 ou supérieur
• FortiOS version 7.0.10 ou supérieur
• FortiOS version 6.4.12 ou supérieur
• FortiOS version 6.2.13 ou supérieur
• FortiProxy version 7.2.3 ou supérieur
• FortiProxy version 7.0.9 ou supérieur
• FortiProxy version 2.0.12 ou supérieur
• FortiOS-6K7K version 7.0.10 ou supérieur
• FortiOS-6K7K version 6.4.12 ou supérieur
• FortiOS-6K7K version 6.2.13 ou supérieur

Si vous ne pouvez pas installer la mise à jour maintenant, il y a une façon relativement simple de protéger son firewall sous FortiOS : désactiver les accès HTTP/HTTPS à l'interface d'administration, ce qui est radical. Sinon, vous pouvez limiter les adresses IP étant autorisées à se connecter à cette interface d'administration. Fortinet explique la marche à suivre en ligne de commande.

The post CVE-2023-25610 : une nouvelle faille critique affecte les firewalls Fortinet first appeared on IT-Connect.

Comme les autres moteurs de recherche, DuckDuckGo semble séduit par l'intelligence artificielle : un nouvel outil nommé DuckAssist est disponible en bêta !

DuckDuckGo, le moteur de recherche axé sur la protection de la vie privée, a lancé une première version bêta de DuckAssist, une fonction dopée par l'IA qui a pour objectif de rédiger des résumés pour répondre aux requêtes des utilisateurs.

Il y a quelques jours, c'est Brave qui a fait l'annonce d'un outil nommé Summarizer, basé sur de l'intelligence artificielle, pour son moteur de recherche Brave Search et qui est dans le même esprit que DuckAssist ! Sans compter Microsoft qui a intégré un chatbot IA à Bing, en partenariat avec OpenAI....

Toutefois, DuckAssist puise ses informations uniquement sur deux sites Internet : Wikipédia et Britannica, contrairement à la solution intégrée à Brave Search qui s'appuie sur les meilleurs résultats de la recherche. Inutile de présenter Wikipédia que vous connaissez déjà, tandis que Britannica est une encyclopédie anglophone accessible en ligne.

Même si cela semble assez réducteur de s'appuyer uniquement sur ces deux sources d'informations, DuckDuckGo estime que c'est un moyen d'éviter de diffuser de fausses informations, et que cela permet de proposer des réponses fiables.

DuckAssist utilisera en priorité Wikipédia, car il s'agit d'une organisation transparente et que le contenu est relativement fiable sur un large éventail de sujets. Grâce à l'IA générative et les informations puisées sur Wikipédia, DuckAssist proposera une réponse à l'internaute.

DuckAssist est en phase de tests, donc s'il retourne des réponses incohérentes lorsque votre requête est complexe, vous pouvez soumettre un commentaire à DuckDuckGo de façon anonyme.

DuckAssist respecte-t-il votre vie privée ?

DuckDuckGo assure que les requêtes des utilisateurs et l'historique de navigation ne sont pas enregistrés, même quand une réponse de DuckAssist est générée. Toutefois, DuckDuckGo précise, en toute transparence, que certaines informations seront transmises à des partenaires : OpenAI et Anthropic. Cela signifierait que DuckAssist s'appuie sur des services externes.

Ce point va certainement inquiéter certains utilisateurs de DuckDuckGo... Même s'il est précisé qu'aucune information personnelle identifiable ou adresse IP ne sera partagée avec ces partenaires.

Dans les prochaines semaines, DuckAssist sera mis à disposition des utilisateurs progressivement. D'autres fonctions basées sur l'IA seront également intégrées au moteur de recherche !

Source

The post DuckDuckGo lance DuckAssist pour proposer des réponses basées sur l’IA ! first appeared on IT-Connect.

Très populaire en entreprise, la solution Veeam Backup & Replication est affectée par une faille de sécurité importante ! L'éditeur demande à ses clients d'installer le correctif en urgence !

Pour rappel, Veeam Backup & Replication est une solution de sauvegarde très populaire à l'échelle mondiale. On peut même parler d'une solution de référence, utilisée aujourd'hui par plus de 450 000 entreprises dans le monde.

Parlons de la faille de sécurité. Reportée à la mi-février par le chercheur en sécurité Shanigen, cette faille de sécurité associée à la référence CVE-2023-27532 affecte toutes les versions de la solution Veeam Backup & Replication ! Quant au score CVSS associé à cette faille de sécurité, il est de 7.5 sur 10 d'après le bulletin de sécurité de Veeam.

Associé à cette faille de sécurité, le service Veeam.Backup.Service.exe accessible par défaut sur le port 9401/TCP. En exploitant cette vulnérabilité un attaquant non authentifié peut obtenir des identifiants chiffrés lui permettant d'accéder à votre infrastructure de sauvegarde.

Comment se protéger contre la vulnérabilité CVE-2023-27532 ?

Note : il s'agit bien de la vulnérabilité CVE-2023-27532, et non la CVE-2023-27530 comme le mentionnait la première version du bulletin de sécurité Veeam.

L'éditeur Veeam précise qu'il y a deux versions qui permettent de se protéger contre cette faille de sécurité :

• Veeam Backup & Replication 12 : build 12.0.0.1420 P20230223)
• Veeam Backup & Replication 11a : build 11.0.1.1261 P20230227)

Au sein d'un e-mail envoyé à ses clients, l'éditeur Veeam précise : "Nous avons développé des correctifs pour V11 et V12 afin d'atténuer cette vulnérabilité et nous vous recommandons de mettre à jour vos installations immédiatement."

Dans le cas où il n'y a pas de correctif pour votre version de Veeam B&R, vous devez mettre à niveau vers une version supportée. Sinon, si vous utilisez une appliance Veeam all-in-one, vous pouvez bloquer les connexions externes à destination du port 9401/TCP dans le pare-feu du serveur de sauvegarde, en guise de solution d'atténuation pour vous protéger contre la CVE-2023-27532.

Source

The post Une vulnérabilité dans Veeam Backup & Replication met en danger vos sauvegardes ! first appeared on IT-Connect.

La fonctionnalité de saisie automatique de Bitwarden est dans le viseur des analystes de Flashpoint puisqu'elle représente un risque pour les identifiants de votre coffre-fort ! Voici ce qu'il faut savoir.

Pour rappel, Bitwarden est un gestionnaire de mots de passe populaire qu'il est possible d'utiliser en mode Cloud (hébergé par Bitwarden) ou en mode self-hosted (hébergé sur son propre serveur, ou sur un NAS, par exemple).

• Découvrir le gestionnaire de mots de passe Bitwarden

Le problème de sécurité auquel fait référence cet article a été reporté à Bitwarden en 2018, par les analystes de Flashpoint ! Il concerne la fonctionnalité de saisie automatique, utile pour remplir automatiquement un formulaire de connexion à partir des identifiants de votre coffre-fort (en s'appuyant sur le domaine), mais qui autoriserait l'utilisation d'iframe. Ainsi, un site malveillant pourrait exploiter un iframe pour voler vos identifiants !

D'après l'analyse de Flashpoint, il s'avère que Bitwarden autorise la saisie automatique au sein d'iframes pour le domaine principal du site, ses éventuels sous-domaines, mais aussi pour des domaines externes. De ce fait, il y a un réel danger comme l'explique Flashpoint : "Bien que l'iframe intégrée n'ait accès à aucun contenu de la page parente, elle peut attendre la saisie du formulaire de connexion et transmettre les informations d'identification saisies à un serveur distant sans autre interaction de la part de l'utilisateur."

Puisque l'on peut utiliser des domaines externes ou des sous-domaines, un pirate pourrait héberger une page de phishing sur un sous-domaine, et si le domaine principal est associé à une entrée de la base Bitwarden de l'utilisateur, l'extension du navigateur enverra les identifiants automatiquement ! Ainsi, l'attaquant va récupérer les identifiants de l'utilisateur.

Même si ce scénario est complexe, car il faut parvenir à enregistrer un sous-domaine correspondant à un domaine légitime, il est plausible.

L'avis de Bitwarden

Bitwarden reconnaît que la fonctionnalité autofill représente un risque potentiel. D'ailleurs, c'est précisé dans la documentation officielle et dans les paramètres de l'extension.

La bonne nouvelle, on va dire, c'est que cette fonctionnalité de saisie automatique est désactivée par défaut dans les paramètres de l'extension Bitwarden. Ce qui signifie que Bitwarden peut remplir un formulaire de connexion à votre place, mais que vous devez sélectionner les identifiants à partir de l'extension.

La documentation de Bitwarden précise : "Cette fonction est désactivée par défaut, car, bien qu'elle soit généralement sûre, des sites web compromis ou non fiables pourraient en profiter pour voler des informations d'identification." - La majorité des utilisateurs ne verront pas cet avertissement, et verront surtout le côté pratique de cette fonctionnalité...

Par ailleurs, Bitwarden explique qu'il est difficile de corriger "cette faille de sécurité" puisque certains sites populaires ont besoin de faire des appels iframes vers des domaines externes. À titre d'exemple, Bitwarden cite le domaine icloud.com qui utilise une iframe du domaine apple.com.

En résumé, n'activez pas la fonctionnalité "Saisie automatique" de l'extension Bitwarden ! Au final, Bitwarden n'est peut-être pas le seul gestionnaire de mots de passe concerné par ce problème de sécurité.

Source

The post Bitwarden : à cause de la saisie automatique, vos identifiants peuvent fuiter ! first appeared on IT-Connect.