Au début du mois de juillet, un attaquant a annoncé une vulnérabilité de type "zero-day" pour Citrix ADC. Cependant, en raison d'un manque d'informations, l'entreprise a attendu avant de répondre à l'annonce de l'attaquant. Aujourd'hui, Citrix avertit le public d'une vulnérabilité de gravité critique qui affecte NetScaler ADC et NetScaler Gateway et qui serait liée à l'annonce faite par l'attaquant début juillet. Citrix a déjà publié de nouvelles mises à jour logicielles pour les trois vulnérabilités qui étaient dans la nature avant que Citrix ne communique sur le zero-day. CVE-2023-3519 est la vulnérabilité la plus grave, avec un score de 9,8 sur 10. Ce code peut être exécuté par l'attaquant à tout moment sans fournir d'authentification. En d'autres termes, l'attaquant a configuré l'appareil infecté comme une passerelle ou un serveur virtuel d'authentification pour utiliser les outils de sécurité du logiciel. La vulnérabilité CVE-2023-3466 a un niveau de gravité de 8,3 et découle d'un problème de script intersite (XSS) de l'entreprise. L'exploitation se produira si un utilisateur reçoit une URL malveillante d'un attaquant (lorsqu'ils sont sur le même réseau) et la saisit dans le navigateur. La dernière vulnérabilité, CVE-2023-3467, a un score de gravité de 8. Ce problème permet aux attaquants de modifier et d'élever les privilèges de l'administrateur.
Voici les versions récentes qui corrigent le zero-day :
-
- NetScaler ADC et NetScaler Gateway 13.1-49.13 et toutes les versions plus récentes
- NetScaler ADC et NetScaler Gateway 13.0-91.13 et versions ultérieures de la 13.0
- NetScaler ADC 13.1-FIPS 13.1-37.159 et versions ultérieures de 13.1-FIPS
- NetScaler ADC 12.1-FIPS 12.1-65.36 et versions ultérieures de 12.1-FIPS
- NetScaler ADC 12.1-NDcPP 12.1-65.36 et versions ultérieures de
(Source : BleepingComputer)
Le registre Artifact est l'entrepôt de Google pour tous les logiciels d'hébergement. Le mois dernier, Google a été informé de la vulnérabilité de son entrepôt et a fourni un correctif ; cependant, selon les chercheurs, la faille est toujours présente et les attaquants peuvent modifier les images du registre et insérer des logiciels malveillants, lancer des attaques par déni de service, voler des données, et plus encore. La faille, nommée Bad.Build par les chercheurs, peut avoir un impact sur les clients une fois qu'ils téléchargent les photos cachées par des logiciels malveillants. L'inquiétude croissante provient des attaques de la chaîne d'approvisionnement de MOVEit et de la constatation directe de l'étendue des dégâts qu'elles ont causés. Cependant, les chercheurs pensent que la faille concerne en fait les journaux d'audit du service Google Cloud Build et qu'il s'agit d'un défaut de conception. Les attaquants pourraient accéder à tous les comptes et autorisations de projet de Google Cloud en imitant un compte cloudbuild.builds.create.
Le correctif de juin de Google a corrigé l'autorisation de journalisation sur Google Cloud Build, empêchant les attaquants d'accéder aux journaux d'audit et d'avoir accès à tous les projets. Cependant, l'autorisation Google cloudbuild.builds.create reste vulnérable. Lorsque Google Cloud Build est intégré à un projet, il crée automatiquement un compte de service pour aider l'utilisateur à construire son projet. Dans la mise à jour de juin, Google a désactivé la possibilité d'accéder aux journaux des utilisateurs à partir du service cloud. Google est conscient de la gravité des attaques de la chaîne d'approvisionnement et travaille actuellement à l'élimination complète du risque.
(Source : DarkReading)
Les éditeurs de logiciels espions Cytrox et Intellexa ont été placés sur la liste noire des États-Unis par l'administration Biden. Ces deux sociétés malveillantes sont responsables de la création de vulnérabilités en matière de sécurité et de protection de la vie privée pour les particuliers et les organisations du monde entier. Elles se livrent à un trafic d'exploits pour permettre l'accès aux systèmes d'information. Elles ont toutes deux déployé des cyberattaques réussies sur des appareils Apple et Android qui ont rapporté des millions. Cytox est connu pour avoir placé des logiciels malveillants d'écoute sur les téléphones des législateurs à l'aide de liens malveillants envoyés en un seul clic à partir de l'application de messagerie populaire WhatsApp.
(Source : SecurityWeek)
Microsoft a annoncé cette semaine qu'en septembre, elle modifierait les licences de ses logiciels en raison de l'augmentation des attaques de logiciels malveillants. Les nouveaux changements permettront aux clients de niveau inférieur de M365 d'accéder gratuitement aux paramètres par défaut du journal de sécurité du nuage. Le changement soudain de Microsoft découle de la découverte par l'agence de cybersécurité du gouvernement américain (CISA), cette semaine, qu'un groupe de menace chinois ciblait des fonctionnaires et des agences gouvernementales. Après avoir pris connaissance de l'attaque, la CISA a constaté que le système de Microsoft n'était pas accessible aux licences M365 de niveau inférieur. En outre, Microsoft a reconnu cette semaine que les pirates chinois avaient utilisé une clé de connexion Azure AD volée pour falsifier les jetons d'authentification afin d'accéder aux boîtes de réception des utilisateurs M365. L'attaque chinoise a touché 25 entreprises. Le principal obstacle est survenu lorsque les clients M365 ont été incapables d'enquêter en raison d'un manque de licences E5/G5 mises à niveau. Microsoft est en train de modifier ses licences pour offrir aux utilisateurs une plus grande visibilité sur les données. Afin de résoudre les problèmes, des données de journal plus complètes seront ajoutées, et la période de conservation des données médico-légales pour les clients Audit Standard passera de 90 à 180 jours.
(Source : SecurityWeek)
Les agences américaines de cybersécurité et de renseignement ont publié de nouvelles recommandations visant à mieux sécuriser les réseaux 5G. La CISA et la NSA reconnaissent que le paysage des menaces de la 5G est devenu de plus en plus dynamique et vulnérable aux acteurs malveillants, en particulier en ce qui concerne le découpage des réseaux. Le découpage des réseaux permet aux fournisseurs de partitionner leurs réseaux pour servir différents types d'utilisateurs ; cependant, l'architecture pourrait exposer les utilisateurs à une série d'attaques, y compris le déni de service, le brouillage, l'usurpation d'identité et les attaques de type "adversary-in-the-middle". Les dernières lignes directrices des agences s'appuient sur les recommandations publiées en décembre 2022, qui avertissaient également les utilisateurs que le modèle d'architecture pouvait être susceptible d'être attaqué par des pirates.
La recommandation la plus récente se concentre sur trois vecteurs principaux : les attaques du plan de signalisation, les attaques par mauvaise configuration et les attaques de l'adversaire au milieu. Les agences conseillent aux utilisateurs d'adopter une architecture de confiance zéro afin de mieux sécuriser leurs réseaux.
(Source : TheHackerNews)
