Mauvaise nouvelle pour les utilisateurs de CircleCI : cette plateforme CI/CD populaire est victime d'une cyberattaque, et il pourrait y avoir une fuite de données ! Faisons le point.

CircleCI est une plateforme d'intégration continue et de livraison continue très appréciée puisqu'elle compte plus d'un million d'utilisateurs dans le monde.

Suite à la détection de cet incident de sécurité, les utilisateurs de la plateforme ont reçu une alerte par e-mail de la part de CircleCI. Un communiqué est également disponible sur le site officiel.

Une enquête est en cours actuellement. Voici la déclaration de Rob Zuber, le CTO de CircleCI : "À ce stade, nous sommes convaincus qu'aucun acteur non autorisé n'est actif dans nos systèmes. Toutefois, par excès de prudence, nous voulons nous assurer que tous les clients prennent certaines mesures préventives pour protéger également leurs données."

Donc, en attendant les conclusions de cette enquête, les utilisateurs sont invités à régénérer les secrets stockés sur la plateforme CircleCI, par précaution. C'est clairement précisé dans le communiqué : "Faites tourner immédiatement tous les secrets stockés dans CircleCI." - En ce qui concerne les projets qui utilisent des jetons d'API, CircleCI a pris la décision d'invalider les jetons donc ils doivent être régénéré par l'utilisateur.

Par ailleurs, CircleCI recommande à ses utilisateurs de vérifier leurs journaux internes, à la recherche d'un éventuel accès non autorisé entre le 21 décembre 2022 et le 4 janvier 2022 (ou jusqu'à ce que les secrets soient renouvelés). On comprend également que cette cyberattaque s'est déroulée le 21 décembre 2022, jour où CircleCI a mis en ligne une nouvelle version pour améliorer ses services.

Pour le moment, nous ne savons pas exactement quelles sont les conséquences de cette cyberattaque. Les pirates ont-ils pu récupérer une base de données ? Des documents confidentiels ? Est-ce qu'ils ont pu accéder à des comptes clients ? CircleCI n'a pas apporté de précision.

Nous devrions en savoir dans les prochains jours, quand l'enquête aura avancée.

Source

L'article Cyberattaque chez CircleCI : vous devez renouveler vos secrets ! est disponible sur IT-Connect : IT-Connect.

Microsoft aurait-il trouvé la solution pour mettre à mal le moteur de recherche de Google ? La firme de Redmond aurait un plan : profiter de la puissance de ChatGPT pour l'intégrer à Bing afin d'essayer de remettre en cause la place de Google...

Google, c'est clairement le moteur de recherche numéro 1 dans le monde, depuis de nombreuses années, et sans contestation possible. Même s'il y a des solutions concurrentes comme Bing, Qwant ou encore DuckDuckGo, la solution la plus utilisée (et celle par défaut...) reste Google.

Cela fait longtemps que Microsoft essaie de faire monter en puissance Bing, sans jamais dépasser Google, ni même réellement rivaliser. Toutefois, depuis plusieurs semaines un nouvel outil fait beaucoup parler de lui : ChatGPT (voir cet article de présentation). Une solution bluffante, basée sur de l'intelligence artificielle capable de répondre avec précisions à de nombreuses questions, sur des sujets divers et variés.

De ce fait, Microsoft n'envisage pas une refonte complète de Bing, mais plutôt une intégration de ChatGTP au moteur de recherche de façon à ce que la première réponse retournée soit celle de ChatGPT. A la suite, les résultats de la recherche seront affichés.

La difficulté pour Microsoft, c'est de s'assurer de la qualité et de la cohérence des réponses offertes par ChatGPT, et cela dans la durée. Même si cet outil est bluffant, il lui arrive parfois de se tromper. Ne l'oublions pas.

Un partenariat existant entre Microsoft et OpenAI

Quoi qu'il en soit, sur ce dossier Microsoft a un avantage puisqu'il y a déjà un partenariat en cours entre Microsoft et OpenAI, l'éditeur de ChatGPT.

Ce partenariat établit en 2020 permet à Microsoft de bénéficier d'une licence exclusive quant à l'utilisation de GPT-3, utilisé par ChatGPT. En fait, le langage GPT-3 est déjà utilisé par un outil Microsoft basé sur l'intelligence artificielle et à destination des développeurs : GitHub Copilot.

Que pensez-vous de l'intégration éventuelle de ChatGPT à Bing ?

Source

L'article Bientôt un duel Microsoft Bing + ChatGPT vs Google ? est disponible sur IT-Connect : IT-Connect.

D'après les dernières statistiques, plus de 60 000 serveurs de messagerie Exchange restent vulnérables à la faille de sécurité CVE-2022-41082, associée aux exploits ProxyNotShell.

Pour rappel, l'exploit ProxyNotShell repose sur l'exploitation de deux failles de sécurité correspondantes aux références  CVE-2022-41082 et CVE-2022-41040. Ces vulnérabilités affectent les serveurs Exchange non patchés, que ce soit sur Exchange Server 2013, 2016 ou 2019. Grâce à de l'exécution de code à distance et à une élévation de privilèges, un attaquant peut compromettre le serveur de messagerie.

Même s'il y a de plus en plus de serveurs de messagerie protégés contre ProxyNotShell, le nombre de serveurs vulnérables reste encore très élevé à en croire les statistiques publiées par les chercheurs en sécurité de la Shadowserver Foundation.

A la mi-décembre, il y avait 83 946 serveurs Exchange vulnérables. Quelques semaines plus tard, au 2 janvier 2023 pour être précis, ce nombre est passé à 60 865 serveurs. C'est grâce à une analyse de l'en-tête HTTP qui est retournée lorsque l'on se connecte au webmail OWA que l'on peut déterminer si un serveur est vulnérable ou non.

Bien que ces vulnérabilités soient patchées depuis novembre 2022 de manière officielle grâce à des correctifs de Microsoft, on peut voir qu'il reste encore beaucoup d'entreprises vulnérables. Seul un serveur à jour avec les correctifs est totalement protégé car les mesures d'atténuations ont déjà pu être contournées, donc elles ne sont pas suffisantes.

Si vous n'avez pas encore fait le nécessaire, commencez l'année 2023 du bon pied en faisant le nécessaire avant que les cybercriminels du groupe ransomware Play en profitent.... Ce groupe, et surement d'autres groupes, utilisent cette opportunité pour faire de nouvelles victimes.

Dernièrement, ce sont les cybercriminels du groupe FIN7 qui ont mis au point une plateforme pour automatiser l'attaque contre les serveurs Exchange (et d'autres services). Pour cela, des millions de serveurs exposés sur Internet sont analysés. Plusieurs milliers de victimes ont déjà fait les frais de cette plateforme...

Source

L'article Plus de 60 000 serveurs Microsoft Exchange encore vulnérables à ProxyNotShell est disponible sur IT-Connect : IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à configurer une machine Windows de manière à pouvoir utiliser PowerShell derrière un proxy. De quoi se sortir d'affaire lorsque l'on a besoin de se connecter à Internet avec un script et des commandes PowerShell à partir d'une infrastructure où il y a un proxy sur le réseau.

Lorsque l'on travaille avec PowerShell, on a la possibilité de faire des actions diverses et variées sur Internet :

• Télécharger un module à partir de la PowerShell Gallery avec la commande Install-Module,
• Télécharger un fichier sur Internet avec la commande Invoke-WebRequest,
• Se connecter à un environnement Cloud comme Microsoft Teams avec Connect-MicrosoftTeams ou encore à Exchange Online avec Connect-ExchangeOnline,
• Installer une nouvelle application le gestionnaire de paquets WinGet,
• Mettre à jour l'aide de PowerShell avec la commande Update-Help,
• Etc...

Toutefois, sur un réseau où il faut passer par un proxy pour accéder à Internet, cela peut s'avérer plus compliqué que prévu ! Les messages d'erreurs renvoyés par les commandes seront différents, mais on peut avoir par exemple "Unable to connect to the remote server". Par défaut, PowerShell est configuré pour sortir directement sur Internet, sans prendre en charge un quelconque proxy.

II. Configurer un proxy pour PowerShell

A. Configuration d'un proxy avec netsh

Pour définir un proxy HTTP à utiliser avec PowerShell, le plus simple, c'est d'utiliser la commande netsh avec les options qui vont bien. Tout d'abord, voici comment afficher le serveur proxy actuellement configuré :

netsh winhttp show proxy

Par défaut, la commande retourne "Accès direct (sans serveur proxy).". Ainsi, si l'on souhaite définir le serveur proxy "192.168.1.254:3128", on utilisera cette commande :

netsh winhttp set proxy "192.168.1.254:3128"

Vous pouvez aussi ajouter des exclusions, de manière à ne pas utiliser le proxy pour contacter les machines du réseau local. L'exemple ci-dessous permet de poser une exclusion sur toutes les machines du réseau "192.168.1.X". Il est possible d'ajouter plusieurs valeurs, séparées par une virgule.

netsh winhttp set proxy "192.168.1.254:3128" bypass-list="192.168.1.*"

Si le serveur proxy est déjà configuré au niveau de la machine locale, auprès des options "Internet Explorer", ou plutôt des "Options Internet" de Windows, on peut importer cette configuration via netsh. Je fais référence à ce paramètre :

D'ailleurs, petite parenthèse, cette configuration est stockée dans le Registre et peut-être lue avec PowerShell :

Get-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings" | Ft ProxyEnable, ProxyServer

Lorsque "ProxyEnable" est égal à zéro, cela signifie que le proxy n'est pas activé (ce qui n'empêche pas d'avoir une valeur de ProxyServer). Sinon, ce paramètre est égal à "1".

À l'aide de netsh, on peut importer cette configuration de proxy avec cette commande :

netsh winhttp import proxy source=ie

La configuration est immédiatement importée :

A partir du moment où le proxy est configuré, il sera utilisé pour accéder à Internet via PowerShell. Ici, il s'agit d'un proxy sans authentification, mais comment doit-on faire si le proxy implique que l'on s'authentifie ? C'est ce que nous allons voir dans la prochaine partie.

Dernière précision avant de passer à la suite, on peut supprimer la configuration du proxy WinHTTP à tout moment avec cette commande :

netsh winhttp reset proxy

Grâce à la commande ci-dessus, on rétablit l'accès direct sans serveur proxy.

C. S'authentifier auprès du proxy en PowerShell

Une autre méthode consiste à utiliser la classe [System.Net.WebRequest]::DefaultWebProxy qui va aussi nous faciliter la tâche si l'on doit s'authentifier auprès du serveur proxy. Si vous utilisez la méthode ci-dessous, ce n'est pas nécessaire d'exécuter les commandes netsh évoquées précédemment.

Tout d'abord, on commence par définir l'adresse du proxy et le port utilisé. Voici la commande à exécuter si l'on utilise toujours le proxy "192.168.1.254:3128" :

[System.Net.WebRequest]::DefaultWebProxy = New-Object System.Net.WebProxy("http://192.168.1.254:3128")

Ensuite, on peut lui indiquer de ne pas utiliser le proxy lorsqu'il s'agit d'adresses locales :

[System.Net.WebRequest]::DefaultWebProxy.BypassProxyOnLocal = $true

À tout moment, la configuration peut être affichée avec cette commande :

[System.Net.WebRequest]::DefaultWebProxy

Avec cette méthode, on peut également définir des identifiants à utiliser pour s'authentifier sur le proxy. Pour utiliser les identifiants de l'utilisateur Windows actuellement connecté, ce qui sera utile s'il y a l'authentification Active Directory sur le proxy, on utilisera cette commande :

[System.Net.WebRequest]::DefaultWebProxy.Credentials = [System.Net.CredentialCache]::DefaultNetworkCredentials

Sinon, on peut préciser clairement un couple nom d'utilisateur/mot de passe en utilisant la commande Get-Credential tout simplement :

[System.Net.WebRequest]::DefaultWebProxy.Credentials = Get-Credential

Voilà, le proxy est configuré et PowerShell peut l'exploiter ! Avec cette méthode, le proxy est défini au sein de la session PowerShell en cours donc il faut inclure ces instructions dans votre script et/ou dans votre profil PowerShell (notepad $PROFILE).

Sinon, pour supprimer le proxy, c'est très simple, on définie une adresse nulle :

[System.Net.HttpWebRequest]::DefaultWebProxy = New-Object System.Net.WebProxy($null)

III. L'utilisation d'un proxy avec Invoke-WebRequest

Si vous cherchez à télécharger un fichier sur Internet avec la commande Invoke-WebRequest, sachez que vous pouvez aussi préciser un proxy à utiliser directement au sein de cette commande. En effet, cette commande a plusieurs paramètres adaptés :

• -Proxy : spécifier le serveur proxy à utiliser
• -ProxyCredential : spécifier un nom d'utilisateur et un mot de passe pour s'authentifier auprès du proxy
• -ProxyUseDefaultCredentials : utiliser les identifiants de l'utilisateur actuel pour s'authentifier auprès du proxy

Voici un exemple d'utilisation où l'on utilise le proxy "http://192.168.1.254:3128" et que l'on s'authentifie avec les identifiants stockés dans $Creds :

$Creds = Get-Credential
Invoke-WebRequest https://domaine.fr/fichier-a-telecharger.ps1 -Proxy "http://192.168.1.254:3128" -ProxyCredential $Creds

Ainsi, PowerShell va solliciter le proxy pour exécuter cette commande. Les autres commandes seront exécutées sans passer par un proxy.

• Microsoft Learn - Invoke-WebRequest

IV. Conclusion

Après avoir mis en pratique l'une des méthodes évoquées dans cet article, vous devriez pouvoir vous connecter à Internet avec PowerShell tout en étant derrière un proxy ! Si vous avez une question, n'hésitez pas à laisser un commentaire sur l'article ou à utiliser notre serveur Discord.

L'article Comment utiliser PowerShell derrière un proxy ? est disponible sur IT-Connect : IT-Connect.

Synology a mis en ligne un correctif de sécurité pour protéger ses utilisateurs de VPN Plus Server d'une faille de sécurité critique, mais ce n'est pas la seule faille corrigée. Faisons le point.

Identifiée avec la référence CVE-2022-43931, cette faille de sécurité affecte la fonctionnalité VPN Plus Server, qui est liée aux routeurs de chez Synology. Plus précisément, c'est la fonction "Remote Desktop" de VPN Plus Server qui contient cette vulnérabilité. Dans le cas présent, les NAS Synology ne sont pas affectés.

Pour ceux qui utilisent un routeur Synology, que ce soit sur le système SRM 1.2 ou SRM 1.3, vous devez installer la dernière mise à jour de sécurité sans attendre. La vulnérabilité en question est considérée comme critique puisqu'elle hérite d'un score CVSS de 10 sur 10 !

Découverte par les équipes internes de Synology, cette vulnérabilité permet à un attaquant distant (et qui peut donc contacter votre routeur par l'interface WAN) "d'exécuter des commandes arbitraires via des vecteurs non spécifiés".

Comment se protéger contre la CVE-2022-43931 ?

Vous devez mettre à jour votre routeur Synology vers l'une des versions suivantes :

• VPN Plus Server for SRM 1.2 : mise à jour vers la version 1.4.3-0534 ou supérieur
• VPN Plus Server for SRM 1.3 : mise à jour vers la version 1.4.4-0635 ou supérieur

Le bulletin officiel est disponible sur le site de Synology à cette adresse : Synology - SA-22-26

D'autres vulnérabilités découvertes dans SRM

Par ailleurs, Synology a mis en ligne un second bulletin de sécurité qui évoque plusieurs vulnérabilités critiques au sein de SRM. Autrement dit, ce second bulletin s'adresse également aux routeurs Synology.

En exploitant ces failles, un attaquant peut exécuter des commandes arbitraires sur l'appareil, parvenir à lire des fichiers à distance, mais également mener une attaque de type déni de service.

Ce sont des chercheurs en sécurité de chez Devcore, CrowdStrike et de la Zero Day Initiative qui ont fait la découverte de ces failles. En fait, cela fait suite aux travaux effectués lors de l'événement Pwn2Own qui s'est déroulé à Toronto début décembre 2022.

Une raison supplémentaire d'effectuer les dernières mises à jour sur votre appareil !

Source

L'article Synology a corrigé une faille de sécurité critique dans VPN Plus Server est disponible sur IT-Connect : IT-Connect.