Archives de catégorie : Actu

Vulnérabilités dans Ivanti Connect Secure et Policy Secure Gateways

Episode #442 Consacré aux vulnérabilités découvertes en janvier 2024 dans Ivanti Connect Secure et Policy Secure Gateways

Bulletin d’alerte du CERT-FR
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-001/

Ce blog détaille comment l’analyse de la mémoire a révélé l’exploitation de deux vulnérabilités zero-day dans Ivanti Connect Secure VPN1.
https://www.volexity.com/blog/2024/02/01/how-memory-forensics-revealed-exploitation-of-ivanti-connect-secure-vpn-zero-day-vulnerabilities/

Détails sur cinq familles de malwares associées à l’exploitation des appareils CS et PS3.
https://www.mandiant.com/resources/blog/suspected-apt-targets-ivanti-zero-day

Volexity a découvert une exploitation active de deux vulnérabilités permettant l’exécution de code à distance non authentifié dans les appareils Ivanti Connect Secure VPN4.
https://www.volexity.com/blog/2024/01/10/active-exploitation-of-two-zero-day-vulnerabilities-in-ivanti-connect-secure-vpn/

Le CISA ordonne à présent de débrancher les équipements dans les administrations US
https://www.cisa.gov/news-events/directives/supplemental-direction-v1-ed-24-01-mitigate-ivanti-connect-secure-and-ivanti-policy-secure

De nouvelles 0 days sont annoncées:
https://labs.watchtowr.com/welcome-to-2024-the-sslvpn-chaos-continues-ivanti-cve-2023-46805-cve-2024-21887/

CVE-2023-20198

Episode #430 consacré à la vulnérabilité CVE-2023-20198 qui impacte un grand nombre de routeurs

Avec Patrice Auffret

 

Références : 

 

Intelligence Artificielle et Cybersécurité

Episode #426

Comment les IA sont utilisées par les attaquants ? Par les défenseurs ?

Quels sont les risques pour les concepteurs ? Et pour les RSSI ?  

Références :
https://www.datacommons.org/
https://chat.openai.com/
https://bard.google.com/
https://claude.ai/
https://www.midjourney.com/

Attaques DMA

Episode #403 consacré aux attaques DMA

Avec Jean-Christophe Delaunay et Antoine 🍻 Cervoise 

Références : 

https://www.synacktiv.com/publications/practical-dma-attack-on-windows-10.html

https://www.synacktiv.com/publications/dumping-the-sonos-one-smart-speaker.ht

L’Outil utilisé pour les attaques : https://github.com/ufrisk/pcileech

Erratum :

4:59 : En théorie la norme permet de faire du DMA sur USB-C

 

 

Ransomware ESXi

Episode #399 consacré au déploiement d’un Ransomware sur des serveurs ESXi

Références :

– Faille exploitée – CVE-2021-21974 (à confirmer)

– Exécution de code à distance sur le service OpenSLP

– Déploiement d’un binaire de chiffrement + script bash :

https://pastebin.com/y6wS2BXh ou https://web.archive.org/web/20230211151007/https://pastebin.com/y6wS2BXh

– Code d’exploitation

https://github.com/straightblast/My-PoC-Exploits/blob/master/CVE-2021-21974.py

– Réponse de VMWare

https://www.vmware.com/security/advisories/VMSA-2021-0002.html

https://core.vmware.com/blog/reminder-vsphere-6567-end-general-support

https://core.vmware.com/esxiargs-questions-answers#when-do-people-need-to-act

– Sources

– CERT-FR : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-015/

– OVH: https://blog.ovhcloud.com/ransomware-ciblant-vmware-esxi/

– CNIL: https://www.cnil.fr/fr/cyberattaques-alerte-sur-la-necessaire-mise-jour-des-hyperviseurs-vmware-esxi

– Script de récupération

https://github.com/cisagov/ESXiArgs-Recover

 

Chaînes de blocs et tiers de confiance

Episode #392

Chaînes de blocs et tiers de confiance, disruption ou pas ? Est-ce que les tiers de confiance vont disparaître ?

avec Fabrice Croiseaux 

site de la FNTC : https://fntc-numerique.com/