Le ransomware Qilin, une menace sophistiquée pour les serveurs VMware ESXi. Un nouvel échantillon du ransomware Qilin a été repéré ! Il étonne, car il utilise des techniques avancées sur les serveurs VMware ESXi et il propose de nombreuses options permettant de personnaliser le processus de chiffrement des machines virtuelles. Faisons le point sur cette menace. De nos jours, la majorité des gangs de ransomware ont un logiciel malveillant capable de chiffrer les machines virtuelles des hyperviseurs, notamment ceux des serveurs VMware ESXi, très populaire en entreprise. Le ransomware Qilin qui fait l'objet de cet article en fait partie.
Le chercheur en sécurité MalwareHunterTeam a identifié un nouveau module de chiffrement pour Linux, au format ELF64, capable de chiffrer les systèmes Linux, FreeBSD et VMware ESXi. Ce qui a étonné le chercheur en sécurité, c'est la quantité d'options disponibles pour permettre à l'attaquant de personnaliser l'opération de chiffrement. Il exécute également un ensemble de commandes spécifiques, que voici : Source. ARP cache poisoning : comment un pirate peut espionner votre Wi-Fi | FunInformatique. Comment LeBonCoin éteint les attaques DDoS de niveau 7 | LeMagIT. Avec plus de 25 millions de visiteurs uniques par mois, LeBonCoin est régulièrement dans le Top 10 des sites Web les plus visités en France. Son infrastructure est en outre conçue pour monter à l’échelle très rapidement afin de pouvoir répondre très rapidement à une hausse de l’audience due à une publicité TV ou une opération promotionnelle, comme la livraison à 99 centimes le week-end.
Cette flexibilité doit aussi valoir dans l’autre sens, afin de ne pas voir la facture AWS exploser à la fin du mois. Cette capacité s’appuie sur des équilibreurs de charge HAProxy qui font grossir l’infrastructure si l’audience s’accroît : des machines virtuelles additionnelles sont instanciées. Pour protéger cette infrastructure technique, LeBonCoin exploite le pare-feu d’application Web (WAF) d’AWS ainsi que son service de protection anti-DDoS AWS Shield Advanced.
. « Nous avons vu des modes d’attaque nouveaux : notamment le Burst DDoS. Propos recueillis lors des Assises de la Sécurité 2023. Linux : une faille dans Netfilter permet de devenir root ! Une nouvelle faille de sécurité importante a été découverte dans le noyau Linux, et plus particulièrement dans Netfilter. En exploitant cette vulnérabilité, un utilisateur local peut devenir root sur la machine. Associée à la référence CVE-2023-32233, cette faille de sécurité découverte dans Netfilter n'est pas encore associée à un niveau de sévérité.
Pourtant, on a déjà certains détails intéressants à son sujet. Pour rappel, Netfilter est un framework intégré au noyau Linux qui sert à ajouter des fonctions de pare-feu et de NAT au système. Des chercheurs en sécurité ont révélé des informations au sujet de cette faille de sécurité Netfilter et ils ont créé un exploit pour faire une démonstration de la CVE-2023-32233. D'ailleurs, l'ingénieur Pablo Neira Ayuso a déjà effectué un commit sur le code source du noyau Linux pour proposer un correctif afin de mieux gérer le cycle de vie des ensembles anonymes dans le sous-système Netfilter "nf_tables" (voir ici). Source. CyberSécurité. Vulnerability & Exploit Database - Rapid7. Agence nationale de la sécurité des systèmes d'information.
Agence nationale de la sécurité des systèmes d'information Logo de l'Agence nationale de la sécurité des systèmes d'information L'Agence nationale de la sécurité des systèmes d'information (ANSSI) est un service français créé par décret en juillet 2009[2]. Ce service à compétence nationale est rattaché au secrétariat général de la Défense et de la Sécurité nationale (SGDSN), autorité chargée d'assister le Premier ministre dans l'exercice de ses responsabilités en matière de défense et de sécurité nationale.
L'ANSSI remplace la Direction centrale de la sécurité des systèmes d'information, créée par décret en juillet 2001. Son budget s'élève à 23 millions d’euros hors masse salariale en 2022[1] et ses effectifs, passés de 350 personnes en 2013 à 500 agents fin 2015, sont stables autour de 600 agents depuis le début des années 2020[3],[1]. Vincent Strubel, ingénieur général des mines, est nommé directeur général de l'ANSSI le 4 janvier 2023[4],[5], succédant à Guillaume Poupard. Un bug critique dans le kernel Linux fragilise des serveurs SMB. Avec un score de gravité de 10, la faille dans le noyau Linux touche un type de serveur SMB. Elle a été découverte par une équipe de Thales. C’est un mauvais cadeau pour les administrateurs systèmes en ce lendemain de fêtes. En effet, ils ont été alertés d’une vulnérabilité du noyau Linux touchant les serveurs SMB (Server Message Block).
Une faille à ne pas prendre à la légère, car elle affiche un score de gravité (CVSS) de 10, soit la plus élevée. Exploitée, elle peut conduire à l’exécution de code à distance et entrainer une fuite mémoire (similaire à celle de Heartbleed). La faille critique a été découverte par la Thalium Team ( composée d’Arnaud Gatignol, Quentin Minster, Florent Saudel, Guillaume Teissier) de Thales Group en juillet dernier. Dans un bulletin de sécurité, ZDI donne un peu plus de détail sur la brèche. « Elle réside dans le traitement des commandes SMB2_TREE_DISCONNECT. Selon des experts, si la gravité est importante, l’usage de Ksmbd est encore relativement faible. Zerologon : la faille critique qui touche l’Active Directory. La faille CVE-2020-1472 surnommée Zerologon et patchée en août 2020 par Microsoft représente un vrai danger sur les serveurs contrôleurs de domaine qui ne bénéficient pas de ce correctif.
A l'intérieur du Patch Tuesday du mois d'août 2020, la correction de cette vulnérabilité est presque passée inaperçue au milieu de la centaine de failles corrigées malgré un score de criticité de 10 sur 10. La faille Zerologon s'avère très dangereuse : un attaquant qui parviendrait à l'exploiter pourrait prendre le contrôle de votre domaine Windows par l'intermédiaire du protocole Netlogon Remote Protocol (MS-NRPC) qui se présente sous la forme d'une interface RPC. Le CERT-FR a d'ailleurs publié une note au sujet de cette faille où l'on apprend que toutes les versions de Windows Server sont touchées, de Windows Server 2008 R2 à Windows Server version 2004.
Que ce soit sur une installation en mode graphique ou en tant que Server Core. Quelques liens : ➡ Liste des KB Microsoft. Actualités du numérique | éduscol | Ministère de l'Éducation nationale et de la Jeunesse - Direction générale de l'enseignement scolaire. Wakelet: un outil de veille et de diffusion très pratique. Cours Nmap : cartographie réseau et scan de vulnérabilités. Bienvenue dans ce cours d'introduction à Nmap conçu spécialement toute personne souhaitant maîtriser cet outil puissant de scan de réseau.
Ce cours a pour objectif de vous fournir les connaissances fondamentales nécessaires pour utiliser efficacement Nmap au quotidien. Nmap est un outil polyvalent largement utilisé par de nombreux métiers de l’informatique, du réseau et de la cybersécurité pour le diagnostic, la découverte de réseau et l'audit de sécurité.
Ce cours s'adresse à ceux qui sont nouveaux dans ces domaines et qui souhaitent apprendre les bases de Nmap. Pour suivre ce cours, des connaissances élémentaires en administration système et en réseau sont nécessaires. Dans ce cours, vous apprendrez tout sur les bases de Nmap, comment effectuer des balayages de ports, découvrir des hôtes sur un réseau, détecter des versions de services et systèmes d'exploitation, réaliser un scan de vulnérabilités, et bien plus encore.