💡 Ne manquez plus l’essentiel
Les derniers articles
Toutes les catégories
Actus Vulnérabilités

Les vulnérabilités critiques à suivre (23 déc 2024)

Offrez un café pour soutenir cette veille indépendante.

☕ Je soutiens DCOD
Voici le résumé des vulnérabilités les plus critiques découvertes la semaine passée.

Cette semaine, plusieurs vulnérabilités critiques ont été identifiées dans des dispositifs et logiciels largement utilisés, posant des risques significatifs pour la sécurité des systèmes d’information.

Des chercheurs de l’École polytechnique fédérale de Lausanne (EPFL) ont par ainsi mis en évidence des failles de sécurité dans plusieurs modèles d’intelligence artificielle (IA). Ils ont réussi à contourner les protections existantes, amenant ces systèmes à générer des contenus dangereux ou éthiquement douteux, tels que des instructions pour des attaques de phishing ou des plans de fabrication d’armes. Ces découvertes soulignent la nécessité de renforcer les mesures de sécurité dans le développement des modèles d’IA, surtout à l’heure où leur utilisation en tant qu’agents autonomes se généralise.

Une application populaire de streaming de caméras de sécurité, Home V de Virtavo, a été découverte collectant et exposant des données sensibles de ses utilisateurs. Des chercheurs ont trouvé un serveur de données non sécurisé contenant des informations personnelles, notamment des numéros de téléphone, des adresses IP et des identifiants de dispositifs, mettant potentiellement en danger des centaines de milliers d’utilisateurs. Le serveur a été fermé après notification, mais l’étendue de l’accès par des acteurs malveillants reste inconnue.

Par ailleurs, une vulnérabilité critique a été identifiée dans l’application indienne McDelivery, l’une des principales applications de livraison de nourriture. Cette faille permettait aux utilisateurs d’effectuer des commandes pour seulement 0,01 USD.

Synology, de son côté, a corrigé des failles critiques dans ses produits NAS, notamment dans les applications Photos pour DMS et BeePhotos pour BeeStation. Ces vulnérabilités permettaient l’exécution de code à distance sans interaction de l’utilisateur, exposant les appareils à des compromissions potentielles. Les correctifs ont été déployés suite à leur identification lors de l’événement Pwn2Own Ireland 2024, où des chercheurs ont démontré ces exploits.

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté une vulnérabilité critique affectant le logiciel BeyondTrust à son catalogue de vulnérabilités exploitées. Cette faille, déjà utilisée par des attaquants, souligne l’importance de maintenir les systèmes à jour et de surveiller les alertes de sécurité pour prévenir les compromissions.

Sophos a divulgué une vulnérabilité critique dans son produit Sophos Firewall, permettant une exécution de code à distance. Les versions antérieures à 21.0 GA (21.0.0) sont concernées. Des correctifs ont été déployés pour remédier à cette faille, et il est recommandé aux utilisateurs de mettre à jour leurs dispositifs pour se protéger contre des attaques potentielles.

Des chercheurs ont découvert des vulnérabilités dans l’intégration d’Apache Airflow au sein d’Azure Data Factory de Microsoft. Ces failles pourraient permettre à des attaquants de prendre le contrôle administratif de l’infrastructure cloud d’une entreprise, exposant ainsi des données sensibles et facilitant le déploiement de logiciels malveillants. Microsoft a été informé et des mesures correctives sont en cours.

Une nouvelle vulnérabilité, identifiée sous le code CVE-2024-53677, a été découverte dans le framework Apache Struts 2. Cette faille permet une exécution de code à distance et est déjà activement exploitée. Les organisations utilisant des versions affectées de Struts 2 sont encouragées à appliquer les correctifs disponibles et à vérifier l’intégrité de leurs systèmes pour détecter toute compromission.

Fortinet a corrigé une vulnérabilité critique dans son Wireless LAN Manager (FortiWLM), identifiée comme CVE-2023-34990. Cette faille permettait une divulgation non authentifiée d’informations sensibles et, lorsqu’elle était combinée avec une autre vulnérabilité, pouvait conduire à une exécution de code à distance. Les utilisateurs sont invités à mettre à jour vers les versions corrigées pour assurer la sécurité de leurs systèmes.

Les vulnérabilités de la semaine

Contenus dangereux : L’EPFL découvre des vulnérabilités de sécurité dans plusieurs modèles d’IA

Des chercheurs de l’EPFL ont identifié des vulnérabilités majeures dans les modèles d’intelligence artificielle. Ils ont réussi à contourner les mécanismes de sécurité et à produire des contenus malveillants, mettant en péril la sécurité des assistants IA autonomes.

Lire la suite sur Suisse – Blick: Les actualités et analyses importantes, en Suisse et dans le monde
Contenus dangereux : L'EPFL découvre des vulnérabilités de sécurité dans plusieurs modèles d'IA

Vulnérabilité de l’application de livraison McDonald’s permettant à n’importe qui de passer une commande pour seulement 0,01 $.

Une vulnérabilité critique a été découverte dans l’application de livraison de repas McDelivery de McDonald’s, l’une des principales applications de livraison de nourriture en Inde, permettant des commandes illimitées pour seulement 0,01 $. Les failles ont été identifiées par un chercheur qui a mené une enquête détaillée sur l’application, avec succès…

Lire la suite sur Cyber Security News
Vulnérabilité de l'application de livraison McDonald's permettant à n'importe qui de passer une commande pour seulement 0,01 $.

Vulnérabilité RCE dans 1 000 000 de sites WordPress permet aux attaquants de prendre le contrôle de l’arrière-plan.

Une vulnérabilité critique d’exécution de code à distance (RCE) (CVE-2024-6386), affectant plus de 1 000 000 d’installations actives du plugin WordPress Multilingual Plugin (WPML). Cette faille, découlant d’une vulnérabilité d’injection de modèle côté serveur (SSTI) dans le moteur de template Twig, a permis aux attaquants de…

Lire la suite sur Cyber Security News
Vulnérabilité RCE dans 1 000 000 de sites WordPress permet aux attaquants de prendre le contrôle de l'arrière-plan.

Synology corrige des vulnérabilités critiques, encourage les utilisateurs à mettre à jour leurs appareils contre les attaques zero-click.

Synology a récemment corrigé une faille de sécurité critique dans ses produits de stockage NAS qui aurait pu permettre aux pirates informatiques…

Lire la suite sur Techradar – All the latest technology news
Synology corrige des vulnérabilités critiques, encourage les utilisateurs à mettre à jour leurs appareils contre les attaques zero-click.

Vulnérabilité critique Zero-Day PHP dans Craft CMS permet aux hackers de gagner un accès à distance

Une vulnérabilité de sécurité significative dans Craft CMS, l’un des systèmes de gestion de contenu basés sur PHP les plus largement utilisés, a été découverte, permettant l’exécution de code à distance non authentifiée (RCE) sous les configurations par défaut.

Lire la suite sur Cyber Security News
Vulnérabilité critique Zero-Day PHP dans Craft CMS permet aux hackers de gagner un accès à distance

Cette application de diffusion en continu de caméras de sécurité hautement sécurisée pourrait avoir mis des milliers d’utilisateurs en danger.

Virtavo, une entreprise vendant des caméras web et d’autres solutions de sécurité, a été découverte en train d’exposer les données des utilisateurs. Les chercheurs de Cybernews ont trouvé une grande base de données pleine de données personnelles identifiables non protégées. L’archive a depuis été fermée.

Lire la suite sur Techradar – All the latest technology news
Cette application de diffusion en continu de caméras de sécurité hautement sécurisée pourrait avoir mis des milliers d'utilisateurs en danger.

L’agence américaine CISA ajoute une faille de sécurité dans le logiciel BeyondTrust à son catalogue des vulnérabilités exploitées connues.

L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ajoute la faille d’injection de commandes BeyondTrust Privileged Remote Access (PRA) et Remote Support (RS) à son catalogue de vulnérabilités exploitées connues.

Lire la suite sur Security Affairs
L'agence américaine CISA ajoute une faille de sécurité dans le logiciel BeyondTrust à son catalogue des vulnérabilités exploitées connues.

Sophos révèle une faille critique d’exécution de code à distance dans son pare-feu.

Sophos a corrigé trois vulnérabilités dans son produit Sophos Firewall qui pourraient permettre à des acteurs de menace distants non authentifiés d’effectuer une injection SQL, une exécution de code à distance et d’obtenir un accès SSH privilégié aux appareils. […]

Lire la suite sur Latest news and stories from BleepingComputer.com
Sophos révèle une faille critique d'exécution de code à distance dans son pare-feu.

Des bugs dans Azure Data Factory ont exposé l’infrastructure cloud

Trois vulnérabilités dans l’intégration d’Apache Airflow du service auraient pu permettre à des attaquants de prendre le contrôle administratif occulte d’une infrastructure cloud d’entreprise, d’accéder et d’exfiltrer des données, et de déployer des logiciels malveillants.

Lire la suite sur Dark Reading
Azure Data Factory Bugs Expose Cloud Infrastructure Des bugs dans Azure Data Factory ont exposé l'infrastructure cloud

Les organisations se précipitent pour corriger une faille activement exploitée dans Apache Struts 2.

Une nouvelle vulnérabilité découverte, CVE-2024-53677, dans le framework Apache vieillissant va causer de sérieux problèmes aux équipes IT, car le simple patch ne suffit pas pour la corriger.

Lire la suite sur Dark Reading
Les organisations se précipitent pour corriger une faille activement exploitée dans Apache Struts 2.

Fortinet traite de la faille critique RCE non corrigée

Fortinet a corrigé la CVE-2023-34990 dans son gestionnaire de réseau local sans fil (FortiWLM), qui combinée avec la CVE-2023-48782 pourrait permettre une exécution de code à distance non authentifiée (RCE) et la capacité de lire tous les fichiers journaux.

Lire la suite sur Dark Reading
Fortinet traite de la faille critique RCE non corrigée

💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.

💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.

Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕

Oui pour un café merci !

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

📚 Pour prolonger la réflexion ou approfondir certains points abordés, voici quelques lectures recommandées par DCOD :

Des idées de lecture cybersécurité

Page frontale du livre Cybersécurité : tests d’intrusion des systèmes d’informations web

Cybersécurité : tests d’intrusion des systèmes d’informations web: Le guide des vulnérabilités web

Amplifiez vos compétences en cybersécurité avec ce guide exhaustif sur le pentesting et le bug bounty ! Conçu pour les pentesters, les bug hunters, les développeurs, et en fait toute personne curieuse de plonger dans le monde fascinant de la cybersécurité.

📘 Voir sur Amazon
Page frontale du livre Cybersécurité: Le guide du débutant

Cybersécurité: Le guide du débutant

Si vous voulez un guide étape par étape sur la cybersécurité, plus un cours gratuit complet sur la sécurité en ligne, plus un accès à une formidable communauté de hackers, ce livre est pour vous !

📘 Voir sur Amazon
Page frontale du livre Cybersécurité Nouvelle Génération

Cybersécurité Nouvelle Génération: Défendre Contre les Attaques Intelligentes grâce à l'IA

Dans un paysage numérique dominé par des menaces en constante évolution, les stratégies traditionnelles de cybersécurité ne suffisent plus. Cybersecurity Next-Generation est votre guide incontournable pour comprendre et mettre en œuvre l'intelligence artificielle comme arme stratégique dans la lutte contre les cyberattaques intelligentes et adaptatives.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏