Histoire en vedette
Le ransomware TellYouThePass exploite une faille récente de PHP RCE pour pénétrer dans les serveurs
CVE-2024-4577 est une vulnérabilité critique permettant l’exécution de code à distance (RCE) qui affecte toutes les versions de PHP depuis 5.x. Elle provient de conversions d’encodage de caractères non sûres sur Windows lorsqu’elles sont utilisées en mode CGI. Un correctif a été fourni le 6 juin avec les versions 8.3.8, 8.2.20 et 8.1.29 de PHP. Environ deux jours plus tard, le gang du ransomware TellYouThePass a commencé à exploiter la faille pour délivrer des webshells et exécuter des charges utiles de chiffrement. Ce gang est connu pour exploiter rapidement des failles publiques ayant un impact important.
Le problème affecte les versions de PHP 8.1 avant 8.1.29, 8.2 avant 8.2.20, et 8.3 avant 8.3.8 lors de l’utilisation d’Apache et de PHP-CGI sur Windows. Il est conseillé aux utilisateurs de mettre à jour immédiatement ou de suivre les mesures d’atténuation fournies par Devcore. CCB recommande vivement aux administrateurs de système d’appliquer les correctifs ou les mesures d’atténuation sans délai.
Autres histoires
Un bogue MSMQ RCE critique ouvre les serveurs Microsoft à une prise de contrôle complète
Microsoft a corrigé CVE-2024-30080, une vulnérabilité MSMQ critique (CVSS 9.8) qui permet l’exécution de code à distance via des paquets spécialement élaborés. Elle affecte les serveurs Windows 2008 et suivants et pourrait permettre une prise de contrôle complète du serveur.
Microsoft a classé cette vulnérabilité dans la catégorie « Exploitation plus probable ». Si le port 1801 n’est pas nécessaire, désactivez-le. Dans le cas contraire, appliquez immédiatement le correctif CVE-2024-30080 pour réduire le risque.
JetBrains IntelliJ IDE GitHub Plugin Leaks Access Tokens (CVE-2024-37051)
JetBrains a averti d’une vulnérabilité critique affectant IntelliJ IDEs qui pourrait exposer les jetons GitHub via des demandes de traction malveillantes. Le problème concerne les versions 2023.1+ et a été corrigé dans les versions mises à jour de l’IDE et des plugins.
Appliquez les mises à jour disponibles et révoquez les jetons GitHub associés aux versions concernées. La DGCCRF recommande fortement d’appliquer les mesures d’atténuation du fournisseur après les tests.
VULNÉRABILITÉ CRITIQUE AFFECTANT Veeam Recovery Orchestrator (CVE-2024-29855)
Cette faille permet aux attaquants d’accéder à l’interface web de VRO avec des privilèges d’administrateur s’ils connaissent un jeton d’accès et un rôle actifs. Cela représente un risque sérieux pour les capacités de reprise après sinistre.
Appliquez les correctifs pour mettre à jour vers les versions 7.0.0.379 ou 7.1.0.230. Si votre infrastructure de récupération est touchée, appliquez immédiatement un correctif ou contactez notre SOC pour obtenir de l’aide.
Méfiez-vous des faux courriels envoyés au nom de Fortis Banque
Des escrocs diffusent des courriels de phishing usurpant l’identité de BNP Paribas Fortis et prétendant que l’utilisateur doit mettre à jour son système pour empêcher l’utilisation de cartes contrefaites.
Ne cliquez pas sur des liens suspects et ne téléchargez pas d’applications. Transférez les courriels suspects à suspicious@safeonweb.be. Notre SOC est là si vous avez besoin d’aide pour identifier le phishing.
Contactez l’équipe SOC de Approach Cyber pour un soutien et des programmes de formation sur mesure.
