Ces dernières heures, une information inquiétante circule : les firewalls Fortinet seraient affectés par une nouvelle faille zero-day située dans la fonction VPN SSL ! Pour le moment, Fortinet ne s'est pas exprimé au sujet de cette vulnérabilité qui n'est pas connue publiquement.

Pour le moment, on trouve peu d'informations au sujet des éventuelles attaques en cours, mais cette information a été reprise par le service Cyber Veille de l'entreprise Olympe Cyberdéfense (voir ici). Cette menace est sérieuse : en exploitant cette vulnérabilité critique, un attaquant pourrait exécuter du code arbitraire ou une commande sur le firewall Fortinet. De ce fait, il pourrait compromettre le firewall afin d'en prendre le contrôle total.

Pour le moment, les versions identifiées comme étant vulnérables sont les suivantes :

• FortiOS version 7.2.0 à 7.2.2
• FortiOS version 7.0.0 à 7.0.8
• FortiOS version 6.4.0 à 6.4.10
• FortiOS version 6.2.0 à 6.2.11

À ce jour, la dernière version de FortiOS est la version 7.2.3. La fonction de VPN SSL est très souvent activée par les entreprises qui utilisent des firewalls FortiGate dans le but de mettre en place un accès distant sur les postes de travail des salariés. Puisque Fortinet ne s'est pas encore exprimé au sujet de cette vulnérabilité, et qu'elle semble à la fois critique et facile à exploiter, il est préférable de désactiver temporairement l'accès VPN SSL au sein de son entreprise (même si cela n'est pas sans conséquence, je veux bien vous croire).

De manière générale, pensez à restreindre l'accès à votre VPN pour autoriser les connexions uniquement à partir des pays dans lesquels vos utilisateurs se situent. Cet accès conditionnel permettra de limiter les tentatives d'attaques de manière générale.

Dès que de nouvelles informations seront disponibles, cet article sera mis à jour.

Il y a quelques jours, Fortinet a également corrigé une faille importante (CVE-2022-35843) dans le composant d'authentification en SSH de FortiOS et de FortiProxy. Des correctifs ont été inclus dans les versions 7.2.2, 7.0.8 et 6.4.10 de FortiOS, ainsi que dans les versions 7.0.7 et 2.0.11 de FortiProxy.

L'article Panique chez Fortinet : une faille zero-day critique dans le VPN SSL ? est disponible sur IT-Connect : IT-Connect.

Des chercheurs en sécurité ont fait la découverte d'une nouvelle technique d'attaque dont l'objectif est de contourner les WAF, à savoir les pare-feu qui protègent les applications Web, grâce à l'utilisation de JSON pour réaliser des injections SQL.

Les WAF (Web Application Firewall) sont très populaires, car ils jouent un rôle essentiel dans la protection des applications hébergées sur un serveur Web, en analysant, en filtrant et en bloquant le trafic à la recherche de requêtes malveillantes. Ceci permet de lutter contre les injections SQL (SQLi), l'exploitation de failles XSS, etc... Cette barrière défensive doit être franchie par l'attaquant s'il veut pouvoir compromettre le serveur Web.

L'entreprise Clarory, spécialisée dans la cybersécurité, a mis au point une nouvelle technique qui permet de contourner les mécanismes de protection des WAF. Les solutions actuelles du marché sont efficaces lorsqu'il s'agit de bloquer les injections SQL, mais cette protection peut être contournée si la requête malveillante est masquée dans un code JSON. En effet, le JSON n'étant pas pris en charge, la requête malveillante outrepasse le WAF et parvient jusqu'à l'application Web. Cela s'explique par le fait que si le WAF ne reconnaît pas la syntaxe SQL, il ne cherche pas à l'analyser avec son moteur de protection SQLi.

Noam Moshe, chercheur en sécurité chez Claroty, précise que cette technique "consiste à ajouter la syntaxe JSON aux charges utiles de type injection SQL qu'un WAF est incapable d'analyser". Il affirme également : "La plupart des WAF détectent facilement les attaques SQLi, mais l'ajout préalable de JSON à la syntaxe SQL rendait le WAF aveugle à ces attaques." - En effet, quand il dit que la plupart des WAF sont concernés, il s'avère que cette technique a fonctionné contre AWS, Cloudflare, F5, Imperva et Palo Alto Networks ! La bonne nouvelle, c'est que ces fournisseurs ont fait le nécessaire et que le JSON est pris en charge à présent.

Cette technique est dangereuse, car l'attaquant peut exploiter cette technique pour contourner le WAF et tenter d'exploiter une faille de sécurité dans l'application Web. Au final, cela peut lui permettre de prendre le contrôle du serveur Web ou d'exfiltrer des données à partir de la base de données, en fonction de ce qu'il parvient à exploiter comme vulnérabilités.

Source

L'article Les injections SQL via JSON, une nouvelle technique pour contourner les WAF est disponible sur IT-Connect : IT-Connect.

Microsoft Edge 109 sera la dernière version du navigateur de Microsoft à supporter les systèmes d'exploitation Windows 7, Windows 8 et Windows 8.1. Dans le même temps, Windows 8.1 ne sera plus supporté par Microsoft.

Depuis le 14 janvier 2020, le très populaire Windows 7 est à la retraite puisqu'il n'est plus supporté par Microsoft. Jusqu'ici, il y avait tout de même des mises à jour via le support étendu (Extended Security Update) mais celui-ci va prendre fin le 14 janvier 2023. Quelques jours plus tôt, c'est-à-dire le 10 janvier 2023, Windows 8/8.1 ne sera plus pris en charge par Microsoft. Concernant Microsoft Edge 109, il sortira le 12 janvier 2023 ! De ce fait, toutes les conditions sont réunies pour dire stop.

Microsoft Edge 109 sera la dernière version prise en charge par Windows 7 et Windows 8/8.1, mais également les versions serveur de la même génération, à savoir Windows Server 2008 R2, Windows Server 2012, et Windows Server 2012 R2. Microsoft l'a annoncé officiellement sur son site : "La version 109 du navigateur Microsoft Edge et la version 109 du Runtime de Webview2 seront les dernières versions à prendre en charge ces systèmes d'exploitation.", en faisait référence aux OS que je viens de citer.

Le navigateur Microsoft Edge restera utilisable sur ces systèmes après cette date mais il ne sera plus mis à jour : pas de nouvelles fonctionnalités, pas de correctifs pour les bugs ni pour les failles de sécurité. C'est surtout ce dernier point qui est problématique en production.

De ce fait, les entreprises doivent se tourner vers une version de Windows encore prise en charge ou vers Linux. Quand on sait que Windows 7 est encore utilisé par 10,25% des machines Windows à l'échelle mondiale, et que Windows 8.1 représente seulement 2,53%, il y a encore du travail à réaliser et un paquet de machines vulnérables.

En février 2023, Chrome va suivre le même chemin et ne plus supporter ces versions de l'OS Windows, comme le fait Microsoft.

Source

L'article Microsoft Edge 109 sera la dernière version à fonctionner sur Windows 7 et Windows 8.1 est disponible sur IT-Connect : IT-Connect.

Depuis plusieurs années, Google cherche à rendre son navigateur moins gourmands en ressources, notamment en mémoire vive. L'entreprise américaine vient de déployer deux nouvelles fonctions qui vont dans ce sens : suffisant pour régler définitivement cette histoire ?

Pour les développeurs, c'est un véritable challenge et on a le sentiment que les années passent, les optimisations sont intégrées, mais Chrome reste un navigateur gourmand. Alors, il y a probablement du mieux, mais les ordinateurs et le Web évoluent aussi dans le même temps... Quoi qu'il en soit, Google indique que la dernière version desktop de Chrome intègre une nouvelle fonction pour améliorer les performances. Grâce à elle, la navigation Web doit être plus fluide et la mémoire plus facilement libérée.

Nommée "Économiseur de mémoire", cette fonctionnalité peut libérer jusqu'à 30% de mémoire en libérant la mémoire utilisée par les onglets inactifs. Il sera possible de créer des exclusions pour ne jamais mettre en veille certains sites. Ce qui n'est pas sans rappeler une fonctionnalité de Microsoft Edge. Mark Chang de chez Google explique : "Le mode "Economiseur de mémoire" libère la mémoire des onglets que vous n'utilisez pas actuellement afin que les sites Web actifs sur lesquels vous naviguez bénéficient de la meilleure expérience possible." - Il est vrai que sur les machines avec peu de mémoire, la consommation de Chrome peut impacter les onglets actifs et les autres applications en cours d'exécution sur l'ordinateur.

Dans le même temps, Google a annoncé une fonctionnalité nommée "Economiseur d'énergie" dont l'objectif est de réduire l'impact de Chrome sur l'autonomie de la batterie de votre ordinateur portable. A ce sujet, Google précise : "Lorsque vous naviguez sur le Web avec Chrome et que le niveau de batterie de votre appareil atteint 20 %, Chrome économise la batterie en limitant l'activité de fond et les effets visuels pour les sites Web comportant des animations et des vidéos."

Dès à présent disponible pour la version bureau de Chrome, ces deux nouvelles fonctionnalités sont en cours de déploiement dans le monde entier pour Windows, macOS et ChromeOS.

Source

L'article Google Chrome accueille un économiseur de mémoire et d’énergie est disponible sur IT-Connect : IT-Connect.

Les cyberattaques sont de plus en plus nombreuses et sur le Dark Web, certaines marketplaces permettent d'acheter un accès à une adresse e-mail professionnelle pour 2 dollars seulement, ce qui fait moins de 2 euros.

Les analystes de l'entreprise israélienne KELA ont suivi cette tendance sur le Dark Web pour voir l'ampleur de ce marché florissant. Résultat, il y aurait au moins 225 000 comptes e-mails à vendre sur différentes plateformes illégales comme Xleet et Lufix. Ces deux places de marché prétendent offrir un accès à plus de 100 000 comptes de messagerie d'entreprise !

En termes de tarif, chaque compte est vendu pour une somme comprise entre 2 et 30 dollars dans la plupart des cas. Il y a même la possibilité d'acheter des packs de comptes. En fait, cette somme peut être beaucoup plus importante pour les entreprises très recherchées. Par exemple, il est possible d'acheter l'accès à un compte e-mail appartenant à une entreprise de fabrication dans le domaine de l'aérospatiale pour 15 000 dollars.

D'où proviennent ces comptes ? Car il ne s'agit pas simplement de l'adresse e-mail professionnelle de l'entreprise X ou Y, mais bien d'un accès au compte de messagerie d'un employé de l'entreprise. Les cybercriminels obtiennent l'accès à ces comptes via des attaques brute force, du vol d'identifiants avec un malware ou encore des campagnes de phishing. Ensuite, ces identifiants sont mis à vendre et peuvent tomber entre les mains d'une personne, qui elle, souhaitera utiliser ce compte pour mener une cyberattaque. On peut imaginer que c'est beaucoup plus simple de faire du social engineering à partir d'une adresse e-mail d'un salarié de l'entreprise ciblée.

Aujourd'hui, des plateformes comme Xleet, Odin, Xmina et Lufix, permettent aux cybercriminels d'acheter facilement l'accès à un compte de messagerie, en faisant leur choix dans une liste. Pour prouver que les comptes sont valides, les plateformes sont capables de vérifier l'accès à la boîte aux lettres en temps réel, et même de générer une copie d'écran de la boîte de réception. De quoi rassurer l'acheteur. Sur Odin, il y a aussi un système d'évaluation de l'acheteur, avec le nombre de ventes, etc... Comme sur les sites d'e-commerce habituels. Tout cela peut sembler surréaliste, mais c'est pourtant une réalité.

Dans le rapport de l'entreprise KELA, on peut constater que les comptes les plus recherchés sont ceux d'Office 365, suivi par cPanel, GoDaddy et Ionos.

Ce type de rapport renforce encore un peu plus l'idée qu'il est indispensable de protéger l'accès aux comptes e-mails mais aussi de tester les utilisateurs avec des campagnes de phishing éducatives.

Source

L'article Pour 2 euros, vous pouvez vous offrir l’accès au compte de messagerie d’une entreprise ! est disponible sur IT-Connect : IT-Connect.