Histoire en vedette
CVE-2024-6387 Vulnérabilité de l’enregistrement d’OpenSSH
Le 1er juillet 2024, une vulnérabilité critique de type « race condition » du gestionnaire de signal a été révélée dans les serveurs OpenSSH (sshd) sur les systèmes Linux basés sur la glibc. Cette vulnérabilité, appelée RegreSSHion et répertoriée sous la référence CVE-2024-6387, peut entraîner une exécution de code à distance (RCE) non authentifiée avec les privilèges de l’utilisateur root. Cette vulnérabilité a été classée comme étant de sévérité élevée (CVSS 8.1).
Une exploitation réussie peut conduire à une compromission totale du système, permettant le démontage complet du système, l’installation de logiciels malveillants, la manipulation de données, la création de portes dérobées et le déplacement latéral pour l’exploitation ultérieure d’autres systèmes vulnérables au sein de l’organisation.
Cette vulnérabilité concerne les versions suivantes du serveur OpenSSH :
- Version d’OpenSSH entre 8.5p1-9.8p1
- Versions d’OpenSSH antérieures à 4.4p1, si elles n’ont pas fait l’objet d’un correctif contre CVE-2006-5051 ou d’un correctif contre CVE-2008-4109.
Qualys a identifié pas moins de 14 millions d’instances de serveurs OpenSSH potentiellement vulnérables et exposées à l’internet. Nous vous recommandons de mettre à jour toutes les instances OpenSSH avec la version 9.8p1 ou une version plus récente. Si l’application des correctifs est retardée, le réglage de la valeur « LoginGraceTime » à 0 peut réduire le risque, mais sachez que cela peut rendre le serveur vulnérable aux attaques par déni de service.
Autres histoires
Patch Now : Zero-Day de Cisco sous le feu de l’APT chinois
Cisco a corrigé la CVE-2024-20399, une faille d’injection de ligne de commande exploitée par le groupe de menace Velvet Ant, soutenu par la Chine. Elle permet à des attaquants authentifiés d’exécuter des commandes en tant que root via le CLI de NX-OS.
CISA a ajouté ceci au catalogue des vulnérabilités exploitées connues. Il n’existe pas de solution de contournement. Les organisations doivent appliquer les correctifs disponibles, renforcer les identifiants des administrateurs et isoler les interfaces de gestion du réseau.
Operation Morpheus perturbe 593 serveurs Cobalt Strike utilisés pour les ransomwares
Les organismes internationaux chargés de l’application de la loi ont coordonné l’opération Morpheus, qui a permis de neutraliser 593 serveurs Cobalt Strike malveillants entre le 24 et le 28 juin. Cet outil, bien que légitime, est souvent utilisé à mauvais escient par les cybercriminels.
Cobalt Strike reste une menace majeure malgré son utilisation légitime. L’opération Morpheus montre la puissance de la coopération mondiale pour perturber l’infrastructure de la cybercriminalité et protéger les entreprises.
Méfiez-vous des codes QR apposés sur les bornes de recharge électrique : ils peuvent être faux.
Des escrocs placent des codes QR frauduleux à la place des codes légitimes sur les chargeurs publics de véhicules électriques. Les victimes sont redirigées vers des sites de paiement malveillants où les attaquants volent les informations d’identification bancaire.
Cette escroquerie par « quishing » nous rappelle qu’il faut toujours inspecter les codes QR en public, vérifier les URL avant de saisir des données et signaler les codes QR suspects à suspicious@safeonweb.be.
Contactez l’équipe SOC de Approach Cyber pour un soutien et des programmes de formation sur mesure.
