Histoire en vedette
Atlassian met en garde contre une nouvelle vulnérabilité critique de Confluence menaçant la perte de données
Atlassian a mis en garde contre une faille de sécurité critique dans Confluence Data Center et Server qui pourrait entraîner « une perte de données importante si elle est exploitée par un attaquant non authentifié ».
Répertoriée sous le nom de CVE-2023-22518, la vulnérabilité a d’abord été évaluée à 9.1, mais a depuis été portée à un maximum de 10 sur l’échelle CVSS en raison de rapports d’exploitation de ransomwares dans la nature. Il s’agit d’une vulnérabilité d’autorisation inappropriée qui affecte toutes les versions de Confluence Data Center et Server.
La faille est corrigée dans les versions : 7.19.16, 8.3.4, 8.4.4, 8.5.3 et 8.6.1. Atlassian conseille à ses clients d’appliquer immédiatement des correctifs ou de déconnecter les instances accessibles au public. Les versions Cloud ne sont pas affectées.
Bien qu’il n’y ait pas eu initialement d’exploitation active, la situation a changé. Atlassian a confirmé des attaques en cours utilisant cette vulnérabilité. Si vous n’avez pas encore patché votre instance de Confluence, agissez maintenant. Déconnectez tout système connecté à Internet et consultez l’avis d’Atlassian pour connaître les CIO et les mesures d’atténuation.
Autres histoires
Les acteurs de la menace exploitent activement les failles CVE-2023-46747 et CVE-2023-46748 de F5 BIG-IP
F5 a confirmé que CVE-2023-46747 (CVSS 9.8), une vulnérabilité critique affectant l’utilitaire de configuration de BIG-IP, est activement exploitée. La faille permet l’exécution de code à distance non authentifié via le port de gestion ou des adresses IP propres.
Les attaquants l’associent à la CVE-2023-46748 (CVSS 8.8) pour exécuter des commandes système et accéder à des infrastructures critiques. F5 a publié des avis pour les deux failles, y compris des indicateurs de compromission (IOC).
L’exploitation massive d’une infrastructure orientée vers la périphérie telle que BIG-IP présente un risque majeur. La journalisation est cruciale pour la chasse aux menaces basée sur les IOC de F5. Si nécessaire, Approach SOC peut aider à la détection et aux stratégies d’atténuation.
StripedFly, un logiciel malveillant complexe qui a infecté un million d’appareils sans être remarqué
Les chercheurs de Kaspersky ont découvert StripedFly, un logiciel malveillant modulaire multiplateforme qui a échappé à la détection pendant cinq ans en se faisant passer pour un mineur de crypto-monnaie. Le logiciel malveillant comprend des éléments liés aux outils de la NSA et prend en charge la communication via TOR avec l’intégration de GitHub/GitLab/Bitbucket.
Il a infecté plus d’un million de systèmes dans le monde depuis 2017. Son véritable objectif reste inconnu, ce qui suscite des inquiétudes quant à l’espionnage au niveau de l’État-nation.
Assurez-vous que tous les terminaux sont protégés par un EDR avancé, et pas seulement par un antivirus. Les logiciels malveillants peuvent persister et se propager silencieusement, en particulier sur les ordinateurs portables disposant de droits d’administration. Notre SOC peut prendre en charge les analyses médico-légales et fournir des conseils en matière de renforcement.
Version troyenne du logiciel PyCharm diffusée par le biais de Google Search Ads
Une nouvelle campagne de publicité malveillante s’appuie sur les annonces de recherche dynamique pour inciter les utilisateurs à télécharger de faux installateurs PyCharm contenant des logiciels malveillants. Les victimes ont été redirigées d’un site web de mariage piraté vers des fichiers malveillants contenant plusieurs souches de logiciels malveillants.
Les charges utiles comprenaient Amadey, Stealc, RedLine, Vidar et PrivateLoader, ce qui a entraîné la compromission totale du système.
Cette année, les publicités Google malveillantes se sont multipliées. Les utilisateurs doivent être formés pour éviter de cliquer sur les annonces de téléchargement de logiciels. Notre équipe de sensibilisation peut aider votre personnel à repérer et à éviter ces pièges grâce à des sessions de formation ciblées.
Les données d’Okta compromises par l’intermédiaire d’un fournisseur tiers
Okta a subi une nouvelle violation, cette fois par le biais du fournisseur tiers Rightway Healthcare, exposant les données personnelles et de santé d’environ 5 000 employés. Bien que les clients ne soient pas affectés, cela intervient dans le cadre de plusieurs brèches récentes impliquant Okta et ses partenaires.
Les experts en sécurité ont critiqué les décisions internes d’Okta, notamment le démantèlement des équipes rouge et bleue. La réponse de l’entreprise a laissé les clients perplexes quant à sa résilience.
Les organisations doivent traiter les plateformes IAM comme Okta comme une infrastructure critique. Mettez en œuvre des défenses en couches, appliquez une journalisation stricte et assurez-vous d’être équipé pour détecter toute utilisation abusive d’informations d’identification, quelle que soit l’origine de la violation.
