Une vulnérabilité critique des solutions F5 BIG-IP activement exploitée après la publication d’un PoC
Nous avions évoqué les multiples vulnérabilités découvertes dans les solutions F5. Conséquence inévitable et néanmoins logique, un proof-of-concept d’exploitation des vulnérabilités dans les produits BIG-IP a été mis en ligne il y a peu. Cette preuve de concept s’appuie sur un travail de rétro-conception des patchs de sécurité publiés par F5 pour retrouver les failles concernées ; les attaquants ont ensuite scanné de manière massive les réseaux pour trouver des produits encore vulnérables et tenter d’exploiter la faille. Pour rappel, une exploitation réussie de ces vulnérabilités pourrait conduire à une compromission complète des systèmes sensibles, y compris la possibilité d’exécution de code à distance ainsi que déclencher un débordement de tampon, conduisant à une attaque par déni de service (DoS).
Les DDoS exploitent le protocole DTLS pour amplifier les attaques
Les services "DDoS-for-hire" exploitent maintenant activement les serveurs sur lesquels le protocole DTLS est mal configuré ou obsolète pour amplifier les attaques par déni de service distribué (DDoS). Le protocole DTLS est une version du protocole TLS (Transport Layer Security) basée sur le protocole UDP qui empêche l’écoute clandestine et la falsification dans les applications et services sensibles aux délais. Il s’avère que DTLS, comme tous les protocoles basés sur UDP, peut être usurpé et que les paquets de réponses peuvent être beaucoup plus volumineux que les demandes. Les analyses initiales des attaques permettent de déterminer un facteur d’amplification de 35 pour les attaques DTLS. En comparaison, le facteur d’amplification pour l’amplification DNS est compris entre 28 et 54, et pour le facteur d’amplification WS Discovery entre 10 et 500. En raison des attaques, les bandes passantes sortantes peuvent être épuisées et la disponibilité des applications ADC peut être limitée. Ce nouveau mode d’amplification semble prisé des acteurs malveillants proposant des services de DDoS, et sont possibles si les serveurs sont mal configurés ou n’ont pas été mis à jour récemment. Plusieurs entités, privées et publiques, expertes dans le domaine, ont déjà proposé des solutions de détection et de protection.
L’équipementier Acer victime d’un ransomware revendiqué par REvil
Le groupe REvil, connu pour ses activités de rançongiciels, a publié des documents qui semblent avoir été exportés des systèmes d’information d’Acer, l’équipementier taïwanais. Peu de temps après la publication des éléments, REvil a demandé une rançon de 50 millions de dollars à l’équipementier ; d’après des informations recueillies par BleepingComputer, les responsables d’Acer sont entrés en contact avec le groupe REvil, et qui a offert une remise de 20% si la rançon était payée dans un délai très court. Les premiers éléments suggèreraient que REvil a exploité les vulnérabilités des serveurs Microsoft Exchange et ProxyLogon pour pénétrer le système d’information d’Acer et déployer le ransomware. Acer n’a pas confirmé l’attaque pour le moment.
Une nouvelle version de Purple Fox se propage maintenant sur les systèmes Windows
Purple Fox, un malware précédemment distribué via des kits d’exploitation et des e-mails de phishing, a maintenant ajouté un module de type "ver" qui lui permet de scanner et d’infecter les systèmes Windows accessibles depuis Internet au cours de l’attaque. Les équipes de Guardicore Labs ont identifié un nouveau vecteur d’infection de ce malware où les machines Windows exposées sur Internet sont contaminées par une attaque de "brute-force" sur le mot de passe du protocole SMB. Guardicore Labs a également identifié un vaste réseau de serveurs compromis par Purple Fox hébergeant son injecteur (dropper) et ses charges utiles. Ces serveurs semblent être compromis des serveurs Microsoft IIS 7.5.
Le malware Purple Fox comprend un rootkit qui permet aux attaquants de cacher les logiciels malveillants sur la machine et ainsi de le rendre difficile à détecter et à supprimer.
Y’a plus, je laisse ?
TLS 1.0 et 1.1 sont officiellement désavoués et bannis des pratiques à l’état de l’art. C’est la RFC 8996 qui le dit.