Nous sommes fans de haveibeenpwned.com par ici, mais une histoire étrange est tombée sur mon bureau proverbial cette semaine – (Troy Hunt) a écrit une injection SQL malveillante dans l'un de leurs e-mails! Cette chaîne d'attaque était simple ';--

Attendez, ça ne vous semble pas familier? Vous vous souvenez de l'en-tête de la page Web haveibeenpwned? Ouais, c'est ';--have i been pwned?. C'est une plaisanterie intelligente sur l'injection SQL qui fait partie de la marque de l'entreprise. Une annonce automatisée a été envoyée à une entreprise qui utilisait le logiciel du service desk GLPI. Cette société, qui ne sera pas nommée pour des raisons qui vont devenir évidentes, exécutait une installation légèrement obsolète de GLPI. Cet e-mail a généré un ticket d'assistance automatisé, qui a commencé avec la collection magique de symboles. Lorsqu'un technicien s'est auto-assigné le ticket, le bogue d'injection SQL a été déclenché et toute la base de données de tickets a été effacée. L'histoire se termine joyeusement, grâce à une bonne sauvegarde, et l'entreprise a appris une leçon précieuse.

Lorsque le décrypteur Ransomware est plus malveillant

Nous avons vu quelques exemples de programmes de décryptage lancés pour les logiciels malveillants de rançongiciels. Dans certains cas, l'auteur du ransomware a fait une erreur dans leur crypto, et dans d'autres, les clés de déchiffrement sont libérées. Une fois que les clés (ou la faille) sont connues, les chercheurs en sécurité mettent souvent en place un programme de décryptage automatisé.

Les méchants veulent vous empêcher de les faire fonctionner. Contrairement à un véritable décrypteur, certains hommes veulent juste regarder le monde brûler. En utilisant le nom Zorab, ce logiciel malveillant prétend être un décrypteur, mais ajoute en fait juste une deuxième couche de cryptage. Touche, pour l'instant.

Images Docker

J'ai toujours été un peu inquiet à propos des images Docker, en particulier celles publiées par un tiers non fiable. Il semble que la prudence était de mise, du moins selon un nouveau rapport sur la sécurité des images Docker (pdf). La plupart des résultats sont comme on pouvait s'y attendre: les images officielles sont plus sécurisées, Javascript et Python sont les langues où la plupart des vulnérabilités apparaissent, et les packages Python2 sont les plus problématiques.

Dans les actualités associées, il existe un nouveau scanner de vulnérabilité spécialement pour les images Docker.

Facebook, un hack et un prédateur

Les outils de sécurité et de confidentialité modernes comme Tor et la distribution Tails sont incroyables et potentiellement extrêmement utiles. Les journalistes, les manifestants et même les dénonciateurs trouvent une utilisation légitime de l'ensemble d'outils. Cependant, de temps en temps, une histoire nous oblige à regarder directement la face laide du côté sombre du filet. Dans ce cas, c'est un prédateur qui a utilisé Tor pour traquer et harceler les adolescentes sur Facebook et leur extorquer des photos compromettantes.

La raison pour laquelle nous parlons de cette affaire est que Facebook est allé jusqu'à embaucher une firme de sécurité pour développer un exploit spécifiquement pour leur harceleur anonyme. Ils ont trouvé un jour zéro dans le lecteur vidéo Tails et ont développé une attaque complète de désanonymisation. Facebook a ensuite remis l'attaque au FBI, qui l'a utilisée pour finalement attraper Buster Hernandez.

On ne sait toujours pas ce qu'était l'exploit du jour zéro, car la divulgation n'a jamais eu lieu. Apparemment, la faille a finalement été supprimée de Tails au cours du processus de mises à jour normales, et n'a jamais été identifiée publiquement comme une vulnérabilité. On ne sait pas exactement combien de temps le FBI était en possession de l'outil avant que la faille ne soit corrigée. Il est raisonnable de soupçonner qu'il a été utilisé dans d'autres cas, mais il est peu probable que nous le découvrions de sitôt.

Facebook avait-il raison d'aller aussi loin pour aider à capturer un criminel qui abusait de sa plate-forme? En tant que décision commerciale, il était essentiel qu'ils ne permettent pas à ce type d'activité de se poursuivre sans contrôle. Cependant, coopérer pour pirater un de leurs utilisateurs est un coup dur pour la confiance de leurs utilisateurs dans la plateforme. Je suis curieux de savoir ce que nos lecteurs pensent de la décision de Facebook ici.

Netgear

Vous avez besoin de compromettre un appareil Netgear? Les gars de GRIMM vous soutiennent. Ils viennent de publier un article sur un débordement de tampon dans le service HTTP Netgear qui s'exécute sur la plupart de leurs appareils SOHO. 28 appareils, en fait.

Cette faille spécifique a également été découverte de manière indépendante par (d4rkn3ss) et signalée par Zero Day Initiative.

Le débordement est exploitable avant l'authentification des utilisateurs, il s'agit donc d'un problème potentiellement vicieux et vermifuge. Cela va sans dire, mais n'exposez pas le service HTTP de votre routeur à Internet.

Errata

La semaine dernière, nous avons couvert un hack bizarre en utilisant cmd.exe et les chemins relatifs pour exécuter les commandes. J'ai oublié de créditer (Julian Horoszkiewicz) d'avoir trouvé le hack en premier lieu.

LAISSER UN COMMENTAIRE

Rédigez votre commentaire !
Entrez votre nom ici