Avertissements aux administrateurs de Zimbra et Fortinet, leçons tirées du piratage d’un sous-traitant américain de la défense et plus encore.
Bienvenue dans Cyber Security Today. Nous sommes le lundi 10 octobre 2022. Je suis Howard Solomon, journaliste collaborateur sur la cybersécurité pour ITWorldCanada.com.
C’est la fête de Thanksgiving au Canada, donc si vous êtes un Canadien et que vous écoutez lundi, merci d’être ici.
Administrateurs Linux et Unix qui supervisent les installations de la suite Zimbra Collaboration sont à nouveau rappelés pour corriger une grave vulnérabilité dans le scanner antivirus de l’application. La semaine dernière, des chercheurs en sécurité de Point de rupture et Rapide7 blogs publiés sur la nécessité de combler le trou. Il a été signalé pour la première fois en septembre. À ce stade, Zimbra a déclaré que les administrateurs devaient installer un package appelé “pax”, puis redémarrer le serveur Zimbra pour atténuer la vulnérabilité. Ce package n’est pas installé par défaut par la plupart des distributions Linux, notamment Red Hat, Oracle et CentOS. Les administrateurs doivent noter que la Cybersecurity and Infrastructure Security Agency des États-Unis a également émis un avertissement récent pour corriger plusieurs autres vulnérabilités de Zimbra.
Administrateurs réseau avec les pare-feu Fortinet et les proxys Web sont invités à mettre à jour les applications vers la dernière version. Il s’agit de colmater une grave vulnérabilité. Un avis confidentiel a été envoyé à certains clients Fortinet la semaine dernière, selon un abonné Twitter. Le trou permet un contournement d’authentification dans le système d’exploitation FortiOS et le proxy Web sécurisé FortiProxy.
Serveurs de messagerie sont une cible de choix pour les pirates parce qu’ils offrent une riche veine d’informations sur les employés d’une organisation, leur travail et les données contenues dans les pièces jointes et les messages. À partir d’un système de messagerie piraté, l’attaquant peut essayer de pénétrer plus profondément dans le réseau de l’organisation pour voler des données à vendre ou à espionner. Dans un exemple sérieux de cela, la semaine dernière, la Cybersecurity and Infrastructure Security Agency des États-Unis a signalé que plusieurs pirates sont entrés dans le réseau d’un entrepreneur de la défense en 2021 grâce à des vulnérabilités dans Microsoft Exchange. Il n’est pas clair d’après le rapport comment ils sont entrés initialement, ou si les attaquants ont travaillé ensemble. Mais finalement, au moins un attaquant a pu compromettre un compte administrateur et travailler à partir de là. Plus tard, un attaquant a exploité quatre vulnérabilités sur le serveur Exchange. Encore une fois, le rapport n’est pas clair s’il s’agissait de trous de jour zéro, mais ils ont été corrigés à peu près au même moment par Microsoft. En fin de compte, les attaquants sont restés dans le système de l’entreprise victime pendant des mois – et n’ont pas été détectés. Les commentateurs du SANS Institute notent le rapport montre l’importance de patcher Exchange, ainsi que la nécessité d’une surveillance constante du réseau pour détecter toute activité suspecte.
Les ponts entre les échanges de crypto-monnaie continuent d’être pillés par les pirates. Le dernier en date est Binance, qui a admis qu’au moins 100 millions de dollars de jetons avaient été retirés la semaine dernière du pont numérique entre deux blockchains Binance. Certains utilisateurs sont le signaler sur Reddit comme la frappe de nouvelles pièces sur le pont, par opposition à un vol de pièces individuelles. Le service de cyber-actualités The Record note que cette année seulement, près de 2 milliards de dollars en crypto-monnaie ont été volés lors de 13 attaques de ponts inter-chaînes.
Le mois dernier J’ai signalé que l’éditeur américain de jeux vidéo 2K Games avait admis qu’un acteur menaçant avait pénétré dans son système d’assistance par l’intermédiaire d’une société partenaire. Maintenant, il dit aux utilisateurs qui a fourni des informations personnelles au support client que certaines de ces données, y compris leur adresse e-mail, ont été copiées par le pirate informatique et sont vendues. Aucun mot de passe ou information financière n’a été compromis. Mais le pirate a utilisé son accès pour envoyer aux clients des e-mails qui semblaient provenir du support client avec des liens malveillants. Toute personne ayant cliqué sur ces liens doit réinitialiser son mot de passe.
Pour terminer, Les forces de l’ordre de nombreux pays sont de plus en plus sensibles au nombre croissant d’attaques de ransomwares contre les administrations locales et régionales. Cependant, les agences ne coordonnent pas toujours leur travail. Un récent rapport du Government Accountability Office dit que cela se passe aux États-Unis. Le rapport se plaint que l’aide offerte par le FBI, les services secrets et la Cybersecurity and Infrastructure Security Agency aux gouvernements des États, locaux, territoriaux et tribaux manque de procédures détaillées. Il y a des leçons ici alors que la GRC au Canada met en place son Centre national de coordination de la cybercriminalité et que les gouvernements provinciaux envisagent d’aider les municipalités, les conseils scolaires et d’autres organismes non gouvernementaux.
C’est tout pour le moment. N’oubliez pas que les liens vers les détails des histoires de podcast sont dans la version texte sur ITWorldCanada.com. C’est là que vous trouverez également d’autres histoires à moi.
Suivez Cyber Security Today sur Apple Podcasts, Google Podcasts ou ajoutez-nous à votre Flash Briefing sur votre haut-parleur intelligent.