Voici le résumé des vulnérabilités les plus critiques découvertes la semaine passée.
Le résumé de la semaine
Au cours de la semaine écoulée, plusieurs incidents notables ont marqué le domaine de la cybersécurité, touchant divers secteurs et technologies.
Une vulnérabilité critique a été découverte dans une API d’un service de voyage tiers, exposant des millions d’utilisateurs de compagnies aériennes à des prises de contrôle de comptes. Les attaquants pouvaient exploiter cette faille en manipulant le paramètre de redirection OAuth, leur permettant d’accéder aux informations personnelles sensibles des utilisateurs et d’utiliser leurs points de fidélité pour effectuer des réservations non autorisées. Cette situation souligne les risques associés aux intégrations de la chaîne d’approvisionnement des API et la nécessité de mesures de sécurité renforcées dans les écosystèmes de services tiers.
Une nouvelle attaque ciblant les navigateurs Chrome, baptisée « Browser Syncjacking », a été identifiée. Cette méthode permet aux attaquants de créer des profils gérés malveillants et de tromper les utilisateurs pour qu’ils activent la synchronisation Chrome, leur offrant ainsi un accès complet aux données du navigateur, y compris l’historique de navigation et les mots de passe enregistrés. Les conséquences potentielles incluent l’installation de logiciels malveillants, la capture de frappes au clavier et l’accès non autorisé aux webcams et microphones des appareils.
Dans le domaine des services de protection de la vie privée, une faille de protection mémoire a été découverte dans Proton VPN et Proton Pass, mettant potentiellement en danger 500 millions d’utilisateurs. Cette vulnérabilité pourrait exposer des données sensibles, y compris le trafic VPN chiffré et des informations de paiement. Bien que Proton soit réputé pour sa sécurité, cet incident souligne les défis liés à la protection des utilisateurs face aux vulnérabilités logicielles.
Une faille critique a été exploitée dans Fortinet, permettant aux attaquants d’obtenir des privilèges super-administrateur sur des produits FortiOS et FortiProxy exposés à Internet. Cette vulnérabilité a été activement exploitée dans une série d’attaques récentes.
Dans le domaine des appareils de santé, une alerte a été émise concernant des moniteurs de patients largement utilisés qui contiendraient une porte dérobée. Cette vulnérabilité permettrait l’envoi discret de données sensibles des patients vers une adresse IP distante et autoriserait le téléchargement et l’exécution de fichiers sur l’appareil, posant de graves risques pour la confidentialité des informations médicales.
Les utilisateurs de montres GPS Garmin ont signalé des dysfonctionnements majeurs, notamment des crashs lors de l’utilisation d’applications nécessitant l’accès au GPS, suivis d’une boucle de redémarrage affichant un logo en forme de triangle bleu. Ce problème affecte plusieurs séries de montres, rendant les appareils inutilisables pour de nombreux utilisateurs.
Une vulnérabilité critique non corrigée a été exploitée dans les appareils Zyxel de la série CPE. Cette faille de type injection de commande permet à des attaquants non authentifiés d’exécuter des commandes arbitraires en utilisant des comptes de service spécifiques, compromettant potentiellement la sécurité des réseaux utilisant ces appareils.
Une série d’attaques nommées « Clone2Leak » a été découverte, exploitant des failles dans la gestion des demandes d’authentification par Git et ses gestionnaires de crédentiels. Ces attaques peuvent compromettre des mots de passe et des jetons d’accès dans divers outils liés à Git, soulignant la nécessité pour les développeurs de mettre à jour leurs outils et de renforcer la sécurité de leurs environnements de développement.
Apple a corrigé sa première vulnérabilité zero-day de l’année, activement exploitée pour cibler les utilisateurs d’iPhone. L’exploitation de cette faille met en évidence la persistance des attaques ciblant les appareils Apple, malgré les efforts continus de renforcement de la sécurité du système iOS.
Enfin, CISA et le FBI ont émis une alerte concernant l’exploitation continue de vulnérabilités anciennes dans les produits Ivanti Cloud Service Appliances (CSA). Bien que des correctifs aient été publiés depuis septembre dernier, des attaquants continuent de les exploiter pour compromettre des réseaux vulnérables, rappelant l’importance d’appliquer rapidement les mises à jour de sécurité.
Les vulnérabilités de la semaine
Une attaque de la chaîne d’approvisionnement des API expose des millions de comptes d’utilisateurs de compagnies aériennes aux pirates informatiques
Une vulnérabilité dans l’API d’un service de voyage tiers a exposé des millions d’utilisateurs de compagnies aériennes à des piratages de comptes potentiels, permettant aux attaquants d’exploiter les points de fidélité des compagnies aériennes et d’accéder à des informations personnelles sensibles.

Une nouvelle attaque de piratage du navigateur Chrome pourrait affecter des milliards d’utilisateurs – voici comment la combattre
Une nouvelle attaque de piratage cible les navigateurs Chrome. Elle pourrait voler toutes les données de votre navigateur et même celles de votre système d’exploitation. Les utilisateurs peuvent riposter de plusieurs manières.

500 millions d’utilisateurs de Proton VPN et de Pass sont en danger en raison d’une vulnérabilité de protection de la mémoire
Proton, fournisseur mondialement reconnu de services axés sur la confidentialité tels que Proton VPN et Proton Pass, fait l’objet d’un examen minutieux après la découverte de graves vulnérabilités de protection de la mémoire dans ses produits. Bien qu’il se soit imposé comme un nom de confiance pour la protection des données des utilisateurs…

Le jailbreak Time Bandit ChatGPT contourne les mesures de sécurité sur les sujets sensibles
Une faille de jailbreak ChatGPT, surnommée « Time Bandit », vous permet de contourner les consignes de sécurité d’OpenAI lorsque vous demandez des instructions détaillées sur des sujets sensibles, notamment la création d’armes, des informations sur des sujets nucléaires et la création de logiciels malveillants. […]

Une porte dérobée a été découverte dans deux moniteurs de surveillance de patients, liée à une propriété intellectuelle en Chine
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) avertit que les appareils Contec CMS8000, un appareil de surveillance des patients largement utilisé dans le domaine de la santé, incluent une porte dérobée qui envoie discrètement les données des patients à une adresse IP distante et télécharge et exécute des fichiers sur…

Une faille zero-day activement exploitée par Fortinet confère aux attaquants des privilèges de super-administrateur
Le spécialiste des pare-feu a corrigé la faille de sécurité, responsable d’une série d’attaques signalées plus tôt ce mois-ci qui ont compromis les produits FortiOS et FortiProxy exposés à l’Internet public.

Les montres GPS Garmin se bloquent et sont bloquées dans une boucle de redémarrage triangulaire
Les utilisateurs de Garmin signalent que leurs montres plantent lorsqu’ils utilisent des applications qui nécessitent un accès GPS et restent ensuite bloquées dans une boucle de redémarrage, affichant un logo en forme de triangle bleu. […]

Des pirates informatiques exploitent une faille critique non corrigée dans les appareils CPE de Zyxel
Les pirates informatiques exploitent une vulnérabilité critique d’injection de commande dans les appareils de la série Zyxel CPE, actuellement identifiée comme CVE-2024-40891 et qui n’a pas été corrigée depuis juillet dernier. […]

Les attaques Clone2Leak exploitent les failles de Git pour voler des informations d’identification
Un ensemble de trois attaques distinctes mais liées, baptisées « Clone2Leak », peut divulguer des informations d’identification en exploitant la manière dont Git et ses assistants d’identification gèrent les demandes d’authentification. […]

Apple corrige le premier bug zero-day activement exploité de l’année
Apple a publié des mises à jour de sécurité pour corriger la première vulnérabilité zero-day de l’année, signalée comme activement exploitée dans les attaques ciblant les utilisateurs d’iPhone. […]

CISA : les pirates informatiques continuent d’exploiter les anciens bugs d’Ivanti pour pirater les réseaux
La CISA et le FBI ont averti aujourd’hui que les attaquants exploitent toujours les failles de sécurité des Ivanti Cloud Service Appliances (CSA) corrigées depuis septembre pour pénétrer dans les réseaux vulnérables. […]

(Re)découvrez la semaine passée:
Les vulnérabilités à suivre (27 jan 2025)
Découvrez les principales vulnérabilités à suivre cette semaine du 27 janvier 2025
