Archives par mot-clé : xss

Alerte de sécurité : cisco identifie une vulnérabilité xss critique dans ses routeurs pour petites entreprises

Dans un récent communiqué, la société Cisco a émis une alerte concernant une vulnérabilité de type cross-site scripting (xss) affectant plusieurs modèles de ses routeurs destinés aux petites entreprises.

Cette faille, référencée sous le code CVE-2024-20362, présente un risque particulièrement élevé puisqu’elle peut être exploitée à distance et sans nécessiter d’authentification préalable. Les modèles concernés par cette vulnérabilité sont les RV016, RV042, RV042G, RV082, RV320 et RV325. Une caractéristique commune à tous ces appareils est leur statut de fin de vie : cisco a déjà cessé leur support, ce qui signifie qu’aucun correctif pour cette vulnérabilité ne sera disponible.

La vulnérabilité provient d’une validation insuffisante au sein de l’interface web des produits, permettant à un attaquant de lancer des attaques xss en incitant simplement un utilisateur à visiter une page web malveillante. cette exploitation pourrait permettre l’exécution de scripts malveillants ou même entraîner une fuite de données sensibles.

Absence de solution de contournement et recommandations

Cisco a confirmé ne pas avoir connaissance d’exploitations actives de cette vulnérabilité. Toutefois, l’absence de solution de contournement rend critique la transition vers des appareils plus récents et toujours soutenus par des mises à jour de sécurité.
Outre cette faille xss, cisco a récemment corrigé plusieurs autres vulnérabilités importantes. parmi elles, un défaut sérieux dans le Nexus Dashboard Fabric Controller (NDFC), identifié sous le numéro CVE-2024-20348, permettait à des attaquants de lire des fichiers arbitraires sur un serveur d’approvisionnement web. Ce bug touchait uniquement la version NDFC 12.1.3b et a été corrigé dans les versions ultérieures.

D’autres produits cisco, tels que le TelePresence Management Suite, Nexus Dashboard et Orchestrator, Identity Services Engine (ISE), ainsi que divers outils de communication et de gestion des urgences ont également reçu des correctifs pour des vulnérabilités diverses.

Une vulnérabilité corrigée dans le plug-in Advanced Custom Fields pour WordPress

Une faille de sécurité a été identifiée dans le plug-in Advanced Custom Fields pour WordPress, permettant l’insertion de code malveillant sur approximativement deux millions de sites web. Cela pourrait causer des préjudices aux sites eux-mêmes et à leurs utilisateurs.

Cette faille concerne spécifiquement les plug-ins Advanced Custom Fields et Advanced Custom Fields Pro, développés par Delicious Brains. Ces outils offrent aux administrateurs de sites WordPress une plus grande maîtrise sur leur contenu et leurs données.

Patchstack a révélé le 5 février qu’une attaque XSS (cross-site scripting) pouvait être menée via ces plug-ins. En termes simples, une attaque XSS consiste pour un agresseur à insérer du code, généralement dans une zone de texte sur un site web. Ce code est ensuite exécuté par le site. Bien que ce type d’attaque soit moins fréquent qu’il y a une décennie, il existe toujours des exceptions.

En exploitant cette faille, il serait possible d’exécuter du JavaScript à l’insu des visiteurs du site. Cela pourrait conduire au vol de données des visiteurs ou à la prise de contrôle du site entier, si l’utilisateur affecté est un administrateur du site.

Un correctif a été publié début avril pour résoudre ce problème. Depuis le 5 mai, Patchstack et Rafie Muhammad, le chercheur de Patchstack qui a identifié la faille, ont été autorisés à partager publiquement leurs découvertes. Pour remédier à la situation, les utilisateurs d’Advanced Custom Fields doivent mettre à jour leur version vers la 6.1.6 ou une version ultérieure. Cette vulnérabilité a été enregistrée sous le code CVE-2023-30777.

Possibilité de piratage via WordPress 4.2

Voilà une attaque informatique possible qui tombe en pleine période de vacances et autres ponts de ce début mai. Une faille permet de jouer de bien mauvaise façon avec les sites sous WordPress 4.2.

WordPress vient de combler une nouvelle faille. Cette dernière touche la nouvelle monture de ce CMS en version 4.2. Bilan, il est plus que conseillé de mettre à jour votre outil web (Laissez WP se mettre à jour automatiquement, NDR). Cette fois, l’exploit permettait de modifier le mot de passe de l’administrateur du site. Autant dire que cela fait désordre. La faille permettait aussi de créer des comptes avec les droits administrateur, de modifier ensuite les contenus du site. Vérifiez bien, d’ailleurs, qu’aucun pirate ne se soit amusé à installer une application malveillante dans vos pages.

Via un XSS et un bourrage d’informatique à la sauce Buffer Overflow (BoF), il était possible d’exécuter un code malveillant à partir de l’espace commentaire d’un WordPress. Jouko Pynnönen, qui a révélé la chose, indique que la faille touche WordPress 4.2, 4.1.2, 4.1.1, 3.9.3. et MySQL 5.1.53 et 5.5.41.

Faille de taille pour Internet Explorer 11

Une faille vise le navigateur de Microsoft, Internet Explorer 11. Un XSS qui permet d’injecter des cochonneries numériques lors de votre visite d’un site piégé.

Les Cross-sites scripting, le site zataz.com vous en parle malheureusement très souvent. Cette vulnérabilité, baptisée XSS, permet de modifier une page d’un site web lors de la visite de ce dernier via un url particulièrement formulé, d’injecter un code malveillant dans l’ordinateur d’un internaute et de nombreuses autres possibilités aussi malveillantes les unes que les autres.

Aujourd’hui, c’est au tour du navigateur de Microsoft, Internet Explorer 11, de souffrir du problème. Un pirate peut contourner le « same-origin » du navigateur. Bilan, comme l’explique sur SecList l’inventeur de la faille, David Leo, un pirate peut diffuser ce qu’il veut dans le navigateur d’un visiteur ainsi piégé. Une démonstration a été faite dans les pages du journal britannique Daily Mail. Microsoft a confirmé la faille.

Pour « corriger » ce problème, il suffit aux webmasteurs de modifier leurs pages web, et de passer l’en-tête X-Frame-Options avec la valeur ‘deny’ ou ‘same-origin’. Bilan, plus aucune possibilité de CSS. A noter que la firme de Redmond a été alertée en octobre 2014 et n’a toujours pas patché son navigateur.

Faille pour TweetDeck

Depuis plusieurs heures, des milliers d’internautes se sont amusés à utiliser une vulnérabilité dans l’outil de conversation en ligne TweetDeck.

Un excellent logiciel au demeurant qui permet de suivre et administrer plusieurs comptes Twitter. La faille, un XSS, a donc été diffusé et largement exploité pour le fun, mais aussi dans des buts largement moins avouables. Une véritable plaie, le code diffusé retweet la faille et envahie donc Twitter et les comptes des utilisateurs ainsi piégés. Cela fait plus de 24 heures que la vulnérabilité est connue publiquement, et Twitter, propriétaire de l’outil n’a pas encore réagi. Attendez-vous à voir Tweetdeck fermer quelques minutes (heures ?) le temps de la mise en place d’un correctif.

Une vague XSS qui pourrait paraître anodine. Le Cross-Site Scripting ne fait que diffuser automatiquement son contenu. Une action qui cache peut-être l’arbre malveillant dans la forêt ! Un pirate serait-il en train de détecter des cibles utilisatrices de TweetDeck. Une veille (un compte Twitter référence les microblogs piégés, voir ci-dessus, Ndlr de DataSecuritybreach.fr) aux intentions malveillantes qui aurait pour but final de lancer une autre attaque, dans les heures/jours à venir ? Action largement plus violente via une faille, un 0day [0Day], voleuse de données; ou d’une préparation pour une cyber manifestation contre la Coupe du Monde 2014 qui débute au Brésil ? A suivre …

Failles : Accès BDD et à gMail pour Joomla

Si votre site fonctionne sous Joomla 3.2.2, un conseil mettez à jour votre CMS vers la nouvelle version 3.2.3.  Joomla 3.2.3 a été publié, voilà quelques heures, pour permettre la correction de plus de 40 bugs et quatre vulnérabilités de sécurité. L’une des failles en question corrigé une injection SQL. Une vulnérabilité grave qui affecte les versions de 3.1.0 à 3.2.2. Pour rappel, une iSQL permet de mettre la main sur les bases de données qui font tourner un site web. Des données publiques et non publiques (emails, mots de passe, …)

Deux autres failles ont été corrigées, des XSS (Cross Site Scripting). Le dernier « bug » permettait des connexions non autorisées via l’authentification GMail. Vulnérabilité qui affecte les versions 2.5.8 à 3.2.2.

Une correction rapide est conseillée. Data Security Breach a pu constater l’utilisation, par des pirates, d’exploits visant ces failles et les CMS faillibles.

 

Credit Cards corrige une faille en toute discrétion

Le site Internet CreditCards.com corrige une vulnérabilité sur son site web qui a pu faire des dégâts dans les mains de pirates. CreditCards.com est un site web américain dédié aux transactions par cartes bancaires. Un portail bancaire fier de sa sécurité, de sa connexion SSL… Sauf que les dirigeants de ce site web ont omis d’alerter leurs membres et clients de la correction d’une vulnérabilité qui a très bien pu être exploitée par des pirates informatiques.

La faille, un XSS (encore!) permettait d’afficher, par exemple, une fausse page de connexion au service CardMatch. Bilan, un internaute client a très bien pu cliquer sur un lien particulièrement formulé par un pirate. Lien qui dirigeait bien sur le site officiel CreditCards mais qui a très bien pu déclencher l’affichage d’une page piégée. Le client, en toute transparence, et rassuré par le beau HTTPS, a très bien pu rentrer ses identifiants de connexion et continuer à vaquer à ses occupations. Pendant ce temps, le pirate interceptait les données pour ensuite les réutiliser. Nous n’avons pas de preuve d’une exploitation de cette faille.

Bref, CreditCards a corrigé la faille sans remercier et encore moins prévenir ses clients, histoire que ces derniers s’assurent de ne pas être tombés dans un phishing efficace et imparable sans un minimum de connaissance technique. (The Daco 92/Cyber Hackers)

 

Failles pour plusieurs banques étrangères

Fahmi Ben Khlifa, jeune chercheur tunisien en sécurité informatique, a alerté la rédaction de datasecuritybreach.fr au sujet de plusieurs failles découvertes sur les sites Internet de trois banques étrangères. Les vulnérabilités, des XSS (Cross-site scripting) qui pourraient permettre à un pirate informatique de mettre en place des pages phishing directement à partir des urls officiels des banques visées, de lancer l’installation d’un code malveillant dans l’ordinateur d’un visiteur, …

Il faut, cependant, que le pirate construise une adresse web malveillante qu’il doit diffuser à ses cibles par courriel, Twitter, Facebook, … Les trois banques concernées ont été alertées : Central bank of Azerbaïdjan, Central bank of Belize et la banque centrale de la république dominicaine.

Yahoo piraté : 22 millions d’identifiants peuvent avoir été volés

Suite à la nouvelle de la toute récente acquisition de Tumblr pour 1,1 milliard de dollars, Yahoo est devenue une cible privilégiée des pirates informatiques. L’annonce d’une intrusion sur les serveurs de Yahoo Japon, indique que 22 millions d’identifiants de connexion – soit environ un dixième des abonnés de Yahoo au niveau mondial – pourraient avoir été volés par les pirates. Bien que l’envergure de l’attaque n’ait pas été confirmée, Yahoo Japon a admis son infrastructure avait été compromise et la société a déclaré qu’elle ne pouvait pas « nier la possibilité » qu’un fichier contenant 22 millions de nom d’utilisateurs ait pu être dérobés. Jean-Pierre Carlin, Directeur régional pour l’Europe du Sud chez LogRhythm, commente à datasecuritybreach.fr : « Si 22 millions d’identifiants utilisateur ont été volés, nous pouvons considéré cela comme un piratage à grande échelle. Malheureusement, il n’est plus rare d’entendre parler de ce type d’attaques d’envergure, et Yahoo est simplement la dernière société d’’une longue liste de grandes marques qui se rend compte que la question n’est plus de savoir « si » la société est attaquée, mais « quand » elle le sera.« 

Cependant, à porter à son crédit, Yahoo n’a pas tardé à communiquer à propos de cette attaque, et la société devrait également être félicitée pour avoir fourni à ses membres des conseils concrets sur la façon d’empêcher les pirates de compromettre leurs comptes individuels. Toutefois, à la suite d’une violation, quelle qu’en soit la sorte, il est aussi absolument vital d’étudier la manière dont les pirates ont réussi à s’introduire, pour ensuite à utiliser ces informations afin de renforcer les défenses de sécurité à l’avenir. Les indices seront contenus dans les messages d’activité. En analysant les millions – voire des milliards – de logs que chaque infrastructure informatique génère quotidiennement, les organisations peuvent recueillir des indications essentielles sur la façon dont les pirates sont capables d’infiltrer leurs réseaux, de cibler les fichiers de grande valeur ou les bases de données pour ensuite extraire ces informations à des fins de profit personnel.

C’est seulement à ce niveau d’intelligence réseau qu’une organisation peut améliorer sa stratégie de sécurité globale et être ainsi en meilleure position de contrecarrer les futures attaques. En effet, avec l’analyse en temps réel des données contenues dans les messages d’activité, les entreprises peuvent identifier les attaques ainsi que d’autres incidents inattendus au moment même où ils se produisent, permettant de stopper les pirates et d’éviter les gros titres médiatiques embarrassants qui accompagnent toute violation de données au sein d’une organisation. A noter que le protocole d’alerte de zataz.com, qui permet d’aider bénévolement des entreprises à se protéger face à une fuite, un piratage, … a alerté Yahoo! de plusieurs failles. des XSS et injection SQL.

Vague de piratage de comptes Twitter

Piratage des Twitters de la FIFA, Justin Bieber, Angelina Joli, Guy Birenbaum, … mais comment font les pirates ? Explication ! Depuis quelques semaines, les comptes Twitter de nombreux média, stars ou journalistes se font pirater, un par un. Des attaques qui donnent l’impression aux témoins de la cybercriminalité que nous sommes depuis plus de 20 ans que les pirates ont un « sésame ouvre toi » en main. Ce fameux petit bouton pressoir qui permet de prendre la main sur un Twitter en deux clics de souris.

L’une des possibilités de ces attaques, des cross-sites scripting cachés dans Twitter ou dans des outils tiers comme TwittDeck. Comme le montre les captures écrans si dessous, Twitter recèle quelques XSS, des Cross-Sites Scripting, qui permettent de mettre la main sur le cookies de connexion (bilan, un pirate pourrait prendre la main sur la session en cours) ; afficher une page phishing via l’url officiel (Bilan, l’internaute pense être chez Twitter et se retrouve à fournir login et mot de passe au pirate). Il se peut, aussi, que les malveillants ont réussi à mettre la main sur les données de connexion en piégeant leurs cibles via d’autres outils (Cheval de Troie), page d’hameçonnage ou tout simplement usant de social engineering. Dernière méthode plus hasardeuse, mais qui a déjà prouvé son efficacité. Le mot de passe utilisé n’est-il pas inscrit dans le blog, le Facebook de la personne piratée ? (date de naissance, ville, métier, famille, …)

  

Pour se protéger d’une attaque utilisant une XSS :

1- Ne cliquer sur aucun lien extérieur. Préférez, toujours, taper l’url dans votre navigateur.

2- Après chaque utilisation de Twitter ou tout autre outil, effacez vos cookies. Pour cela, un outil gratuit comme Ccleaner vous sera un précieux allier.

3- Vérifiez toujours que l’url indiqué dans votre barre de recherche est bien https://www.twitter.com

4- Utilisez des applications tiers pour vérifier l’origine du serveur que vous allez utiliser. Netcraft vous prouvera, par exemple, que vous êtes bien sur Twitter (voir notre capture écran) ; Sous FireFox, l’addon NoScript vous indiquera aussi l’utilisation d’une XSS au moment de votre promenade numérique.

5- Un mot de passe fort (chiffres, lettres, ponctuation, …) permet de freiner les assauts d’un malveillant.

6- datasecueritybreach.fr vous conseille aussi d’utiliser un programme qui vous décortique les urls raccourcis. Le site urlex.org, par exemple, vous transforme une adresse http://is.gd/G41r6x, qui ne veut rien dire, en son véritable url, ici Intel.com. Cela permet de s’assurer que derrière le lien recueilli n’est pas un piège. Je vous conseille, cependant, de suivre ma règle n’1. Une extension pour Chrome permet, en passant sa souris sur un lien réduit, de découvrir l’adresse d’origine cachée derrière un tinyurl, bit.ly, is.gd …

Cette hygiène de vie numérique n’est pas infaillible, mais comme pour la grippe, se laver les mains est déjà une premiére protection. Il en va de même sur la toile.

Problème de sécurité pour un espace Google

Un bug aux potentialités malveillantes découvert dans un espace googlecode.com. Découverte d’un problème de sécurité qui pourrait, entre de mauvaises mains, nuire aux potentiels visiteurs du site GoogleCode.com. Cet espace, dédié aux développeurs, recèle des pages pouvant être exploitées de biens mauvaises façons. Dans l’un de ses espaces, une faille de type XSS. Un Cross Site Scripting qui pourrait permettre, comme le montre dans son émission du mois d’avril de ZATAZWeb.tv, d’afficher un message, diffuser un code malveillant, de mettre en place un espace phishing, …

L’entreprise a été alertée [#1254414323] mais a expliqué que ce problème n’était pas de son ressort (sic!). En attendant une correction, il est fortement conseillé de ne cliquer sur aucun lien renvoyant vers GoogleCode.com. DataSecuritybreach.fr vous conseille de taper, par vous même, l’url dans la barre de navigation de votre butineur préféré.