Archives par mot-clé : vulnerability

Failles de sécurité dans les appareils NAS D-Link

Un chercheur en cybersécurité met au jour des failles de sécurité inquiétantes dans de nombreux appareils NAS D-Link. Ces vulnérabilités, actuellement non prises en charge par le fabricant, incluent des injections de commandes et des portes dérobées codées en dur.

Le problème a été identifié dans le script /cgi-bin/nas_sharing.cgi, spécifiquement dans son composant HTTP GET Request Handler. Ces failles de sécurité ont été répertoriées sous l’identifiant CVE-2024-3273.

Risques pour les utilisateurs

Le compte vulnérable, nommé « messagebus », possède un mot de passe vide, ce qui permet l’injection de commandes via le paramètre « system ». Si un attaquant parvient à exploiter ces deux failles, il peut potentiellement exécuter du code à distance sur l’appareil. Cette exploitation pourrait conduire à un accès non autorisé à des données sensibles, à la modification des paramètres système, voire à un déni de service (DoS).

Appareils concernés par les failles

Les appareils NAS D-Link suivants sont affectés par la vulnérabilité CVE-2024-3273 :

DNS-320L version 1.11, version 1.03.0904.2013, version 1.01.0702.2013
DNS-325 version 1.01
DNS-327L version 1.09, version 1.00.0409.2013
DNS-340L version 1.08

Une analyse du réseau a révélé plus de 92 000 stockages réseau D-Link vulnérables, soulignant ainsi l’ampleur du problème. Étant donné que D-Link a cessé de prendre en charge ces NAS, il est recommandé aux utilisateurs de remplacer les équipements obsolètes par des modèles plus récents et pris en charge. Cette mesure est essentielle pour garantir la sécurité des données et des systèmes. (Netsecfish)

Zimbra demande de corriger manuellement une vulnérabilité

Les développeurs de Zimbra demandent aux administrateurs de corriger manuellement une vulnérabilité zero-day qui est déjà activement exploitée par des pirates pour compromettre les serveurs de messagerie Zimbra Collaboration Suite (ZCS).

Comme il n’y a pas encore de correctif, les administrateurs sont priés de se protéger temporairement manuellement. Actuellement, la vulnérabilité n’a pas encore reçu d’identifiant CVE, mais on sait qu’il s’agit d’un bogue XSS découvert par des spécialistes du Google Threat Analysis Group. Bien que Zimbra ne signale pas que le problème est déjà utilisé dans des attaques, Maddie Stone de Google TAG met en garde à ce sujet. Selon elle, la vulnérabilité XSS a été découverte par des spécialistes lors de l’étude d’une cyberattaque ciblée.

Vulnérabilité à pirate pour Microsoft Office 365 Message Encryption

Une faille dans l’outil Microsoft Office 365 Message Encryption peut permettre à des hackers malveillants d’accéder à vos courriels. Il n’existe, pour le moment, encore aucun correctif.

Microsoft Office 365 Message Encryption (OME) permet aux entreprises d’envoyer des e-mails chiffrés en interne et en externe. Cette solution utilise l’implémentation Electronic Codebook (ECB) – un mode de fonctionnement connu pour laisser fuiter certaines informations structurelles sur les messages.

En collectant suffisamment d’e-mails OME, des hackers peuvent déduire partiellement ou totalement le contenu des messages. Pour ce faire, ils doivent analyser l’emplacement et la fréquence des séquences répétées dans les messages individuels, puis faire correspondre ces séquences à celles trouvées dans d’autres e-mails et fichiers OME.

« Les hackers qui parviennent à mettre la main sur plusieurs messages peuvent utiliser les informations ECB fuitées pour déchiffrer le contenu de ces messages. Plus le hacker dispose d’un nombre important d’e-mails, plus ce processus est facile et précis. Ils peuvent mener cette opération soit en mettant la main sur des archives d’e-mails volés lors de violations de données, soit en s’introduisant sur un compte ou un serveur de messagerie, soit en accédant aux sauvegardes », explique Harry Sintonen, consultant et chercheur en sécurité chez WithSecure, qui a découvert le problème.

Les pirates peuvent mener une analyse tout en étant hors ligne, et donc compromettre des archives d’anciens messages. Malheureusement, les entreprises n’ont aucun moyen d’empêcher un hacker en possession des e-mails d’en compromettre le contenu en utilisant cette méthode.

Il n’est pas non plus nécessaire de connaître les clés de chiffrement pour effectuer l’analyse. Et l’utilisation d’un système BYOK (Bring Your Own Key) ne résout pas le problème.

Harry Sintonen a partagé ses recherches avec Microsoft en janvier 2022. Microsoft a reconnu le problème mais… aucun correctif n’a cependant été publié depuis !

Les entreprises peuvent choisir de renoncer à utiliser cette fonctionnalité mais le risque que des hackers accèdent à des e-mails existants déjà chiffrés avec OME demeure.

Toute entreprise dont le personnel utilisait OME pour chiffrer les e-mails est coincée. Pour celles qui sont soumises à des exigences de confidentialité dans le cadre de contrats ou de réglementations locales, cela peut créer des problèmes. Et il y a, évidemment, les risques liés au vol de données lui-même, ce qui en fait un souci majeur pour les organisations.

Il n’existe donc pas de correctif publié par Microsoft, et aucun mode de fonctionnement plus sécurisé n’est disponible pour les administrateurs de messagerie ou les utilisateurs. Bref, en attendant et quand cela est possible, il est recommandé d’éviter d’utiliser OME pour assurer la confidentialité des e-mails.

L’OS d’Apple, le logiciel le plus vulnérable aux pirates en 2015

Les temps changent ! Apple OS X aurait été l’environnement informatique le le plus vulnérable en 2015, selon le CVE.

Le CVE détails est la référence dédiée aux alertes liées aux vulnérabilités visant les logiciels que nous utilisons. Les données CVE sont collectées à partir du National Vulnerability Database (NVD), projet par l’institut National des Standards et de la Technologie. D’autres sources telles que les éditeurs eux-mêmes, ou encore Exploit DB, viennent peaufiner les bulletins d’informations.

Comme chaque année, CVE propose son top 50. Cette année, 6 412 vulnérabilités ont été annoncées par CVE. DataSecurityBreach.fr a remarqué qu’il y avait eu 1 534 failles de moins qu’en 2014. Une année qui avait été la plus chargée en alertes, avec 7 946 cas.

En 2015, le grand vainqueur en a étonné plus d’un : l’OS d’Apple avec 384 vulnérabilités. Windows 10 se placent en 35ème position avec 53 alertes. Alors que nous aurions pu penser que Flash caracolerait en tête, le format media d’Adobe ne s’est contenté « que » de 314 alertes. De son côté, Android affiche, à la 20ème place, 130 failles. Internet Explorer 231 failles. Chrome, 187 et Firefox, 178.