Ce mercredi 7 juin 2023, le Sénat a pris la décision suivante dans le cadre du projet de loi Justice : autoriser l’activation à distance des caméras ou micros des appareils connectés, comme les smartphones. Big Brother is watching you !

Le garde des Sceaux, Éric Dupond-Moretti, travaille sur un projet de loi Justice et dans l’article 3, il y a la présence de cette mesure controversée. Après avoir lu et examiné ce texte, le Sénat a donné son accord pour autoriser l’activation à distance des micros et des caméras sur les appareils connectés, ce qui s’applique aux smartphones, mais aussi aux ordinateurs, à l’insu de la personne ciblée.

Concrètement, les autorités seront en mesure de capter du son et des images, et cette technique de surveillance peut être utilisée uniquement dans certains cas : affaires de délinquance, de terrorisme et de criminalité organisées. Clairement, chaque appareil connecté devient potentiellement un mouchard. A cela s’ajoute, une autorisation pour géolocaliser en temps réel un appareil pour certaines infractions. Lorsqu’il y aura le souhait de surveiller un individu, il sera nécessaire d’obtenir l’accord d’un juge.

De son côté, Éric Dupond-Moretti affirme que ces techniques sont déjà utilisées, mais que, actuellement, il faut poser des balises (micros, caméras) pour permettre cette surveillance. Cela représente un risque pour les enquêteurs, contrairement à l’activation de fonctions sur un appareil déjà en possession de la personne ciblée.

Pour que ce soit possible techniquement, il faut tout de même que le gouvernement collabore avec les constructeurs de smartphones : à l’heure actuelle, je ne pense pas qu’il dispose de ce pouvoir sur nos smartphones. En quelque sorte, le système du smartphone doit être équipé d’un logiciel permettant l’activation à distance de ces fonctions, comme peuvent le faire les cybercriminels avec un malware, comme une porte dérobée par exemple.

Alors « Big Brother is watching you » ou pas ? 

Source

The post Le Sénat autorise l’activation à distance des micros ou caméras des smartphones ! first appeared on IT-Connect.

Une faille de sécurité zero-day est présente dans l’outil MOVEit Transfer et des cybercriminels l’exploitent déjà dans le cadre de cyberattaques pour dérober des données aux entreprises ! D’ailleurs, le gang de ransomware Clop s’amuse depuis longtemps avec cette vulnérabilité.

Propulsée par l’éditeur Ipswitch (dont la maison mère est Progress), l’application MOVEit Transfer est utilisée par les entreprises pour partager des données de manière sécurisée avec d’autres partenaires ou clients, que ce soit en HTTP, SCP ou SFTP. Cette application est disponible en mode SaaS et elle peut être aussi déployée en local sur l’infrastructure de l’entreprise.

MOVEit Transfer et la CVE-2023-34362

Désormais associée à la référence CVE-2023-34362, cette faille de sécurité est de type « injection SQL » et elle permet à un attaquant d’exécuter du code à distance sur le serveur MOVEit Transfer. Pour l’exploiter, les attaquants doivent avoir la possibilité de communiquer avec le serveur sur le port 80 ou le port 443, ce qui n’est pas sans conséquence puisqu’il n’est plus possible d’utiliser certaines fonctions, dont l’accès externe à l’interface web, l’API, et l’extension MOVEit Transfer pour Outlook.

D’après les informations disponibles sur Shodan, il y aurait plus de 2 500 serveurs MOVEit Transfer exposés sur Internet et qui représentent des cibles potentielles. À chaque fois qu’un serveur a été compromis, le webshell nommé « human2.asp » a été découvert à la racine du site web de l’application (c:MOVEit Transferwwwroot).

Le tableau ci-dessous, issu du bulletin de sécurité officiel de Progress, liste les versions affectées et les versions où la faille de sécurité zero-day est corrigée :

Versions affectées
Versions corrigées
Documentation

MOVEit Transfer 2023.0.0 (15.0)
MOVEit Transfer 2023.0.1
MOVEit 2023 Upgrade Documentation

MOVEit Transfer 2022.1.x (14.1)
MOVEit Transfer 2022.1.5
MOVEit 2022 Upgrade Documentation

MOVEit Transfer 2022.0.x (14.0)
MOVEit Transfer 2022.0.4

MOVEit Transfer 2021.1.x (13.1)
MOVEit Transfer 2021.1.4
MOVEit 2021 Upgrade Documentation

MOVEit Transfer 2021.0.x (13.0)
MOVEit Transfer 2021.0.6

MOVEit Transfer 2020.1.x (12.1)
Patch spécial disponible
See KB 000234559

MOVEit Transfer 2020.0.x (12.0) or older
Doit être mis à jour vers une version supportée
See MOVEit Transfer Upgrade and Migration Guide

MOVEit Cloud
Prod:
14.1.4.94 or 14.0.3.42
Test:
15.0.1.37
Toutes les instances Cloud sont patchées.

Si vous utilisez MOVEit Transfer on-premise, il est urgent de patcher votre serveur ou de le mettre hors ligne en attendant de le faire ! De son côté, l’agence américaine CISA a aussi émise une alerte au sujet de cette faille de sécurité zero-day.

Des attaques initiées par le gang de ransomware Clop

Le gang de ransomware Clop exploite de manière intensive la faille de sécurité dans MOVEit Transfer de façon à voler les données stockées sur ces serveurs destinés au partage de données. Cela peut aller plus loin avec la compromission de l’infrastructure, selon les attaques. Cette information est officielle puisque c’est le gang lui-même qui affirme être à l’origine de la découverte de cette vulnérabilité.

D’après les analyses menées par l’entreprise Kroll sur les serveurs de clients impactés, les cybercriminels du groupe Clop exploiteraient cette vulnérabilité depuis 2021 ! Ou en tout cas, on peut dire qu’ils commençaient à tâter le terrain, et surtout ils ont pris le temps de se préparer pour réaliser des cyberattaques massives.

Il y a des similitudes dans les actions entre les attaques récentes et des événements passés. Le rapport de Kroll précise : « L’analyse par Kroll des journaux de Microsoft IIS des clients concernés a révélé des preuves d’activités similaires dans plusieurs environnements clients l’année dernière (avril 2022) et, dans certains cas, dès juillet 2021.« 

Progressivement, avec le temps, les cybercriminels ont mis au point leur outil et leur méthodologie pour automatiser ces attaques et faire de l’extorsion massive de données. D’après Kroll, la campagne d’attaques automatisées s’est intensifiée à partir du 15 mai 2023, avant de devenir massive à partir du 27 mai 2023.

À ce jour, le gang de ransomware Clop aurait déjà compromis les serveurs MOVEit Transfer de plusieurs centaines d’entreprises…!

Source

The post Le ransomware Clop connait la faille zero-day dans MOVEit Transfer depuis 2021 ! first appeared on IT-Connect.

Les clients de Barracuda qui sont impactés par la faille de sécurité zero-day qui se situe dans les appliances ESG Barracuda sont invités à contacter le support : leur boitier va être remplacé.

Récemment, Barracuda a mis en ligne un correctif de sécurité pour patcher une faille de sécurité zero-day présente dans plusieurs versions de son appliance Email Security Gateway (ESG).

Dans un premier temps, Barracuda a recommandé à ses clients de mettre à jour leur appliance vers une version permettant de corriger la vulnérabilité. Cette faille de sécurité est utilisée par les pirates pour déployer une porte dérobée. À ce jour, il y a eu plusieurs échantillons découverts :

SALTWATER, un module trojanisé pour le démon SMTP Barracuda (bsmtpd) qui dispose de plusieurs fonctionnalités malveillantes (charger ou télécharger des fichiers, exécuter des commandes, acheminer du trafic malveillant via un proxy ou un tunnel).
SEASPY, une porte dérobée persistante au format ELF x64 qui est activée au moyen d’un paquet magique.
SEASIDE, un module basé sur Lua pour bsmtpd qui déploie des reverse shell contrôlés via des commandes SMTP HELO/EHLO envoyées par le serveur C2 du cybercriminel.

Désormais, le message de Barracuda est différent et souhaite que ses clients impactés par la vulnérabilité bénéficient d’un boitier tout neuf et sain : « Les appareils ESG concernés doivent être immédiatement remplacés, quel que soit le niveau de version du correctif. Si vous n’avez pas remplacé votre appareil après avoir reçu l’avis dans votre interface utilisateur, contactez le support dès maintenant (support@barracuda.com). La recommandation de remédiation de Barracuda à l’heure actuelle est le remplacement complet de l’ESG impacté. » – Ce message est visible sur cette page.

Une décision qui peut surprendre, mais qui serait dans les habitudes de Barracuda, et qui ne devrait pas surprendre plus que ça les clients de cette entreprise.

Pour rappel, la faille de sécurité CVE-2023-2868, associée à un score CVSS de 9.8 sur 10, affecte toutes les versions de l’appliance Email Security Gateway de la version 5.1.3.001 à la version 9.2.0.006. Elle était exploitée par les pirates depuis octobre 2022.

Source

The post Impacté par la faille zero-day dans l’appliance Barracuda ? Demandez un nouveau boitier ! first appeared on IT-Connect.