Archives quotidiennes :

Cybersécurité, Mise à jour, Securite informatique

Violation de données chez owasp : exposition accidentelle de cv de membres

La Fondation OWASP (Open Worldwide Application Security Project), une référence dans le domaine de la sécurité logicielle, a récemment révélé une fuite de données due à une configuration incorrecte de leur ancien serveur Web Wiki. Ce problème a mené à l’exposition publique des curriculum vitae de certains de ses membres.

Fondée en décembre 2001, l’OWASP est une organisation à but non lucratif qui se concentre sur l’amélioration de la sécurité des logiciels à travers le monde. Avec des dizaines de milliers de membres répartis en plus de 250 sections, l’OWASP organise des événements éducatifs et des formations sur la sécurité logicielle globalement.

Détails de l’incident

La découverte de cette mauvaise configuration de Media Wiki a été faite fin février 2024, après que plusieurs membres ont contacté l’assistance technique de l’organisation. Les investigations ont montré que seuls les membres ayant rejoint OWASP entre 2006 et 2014 et ayant soumis leur CV lors de leur adhésion étaient affectés. Ces documents comprenaient des informations sensibles telles que noms, adresses email, numéros de téléphone, et adresses physiques.

Réponse de l’owasp

Andrew van der Stock, directeur exécutif de l’OWASP, a précisé que l’organisation avait pris des mesures immédiates pour contenir la fuite. Cela inclut la désactivation de la navigation dans les répertoires du serveur, la révision de la configuration de Media Wiki, et la suppression des CV du site Wiki. L’OWASP a également vidé le cache de Cloudflare et contacté les archives Web pour s’assurer que les informations accidentellement exposées soient également retirées.

L’OWASP s’est engagée à informer toutes les victimes identifiées par des lettres explicatives, mentionnant que beaucoup des informations exposées pourraient être désuètes, étant donné que nombre de ces membres ne font plus partie de l’organisation. Van der Stock a souligné que, pour les données toujours actuelles, il est conseillé aux membres concernés de rester vigilants face aux communications non sollicitées.

Cybersécurité, Mise à jour, Phishing, Sécurité

Google lance device bound session credentials pour sécuriser chrome

Google introduit une innovation dans la sécurité des navigateurs avec Device Bound Session Credentials (DBSC), une fonctionnalité destinée à renforcer la sécurité des sessions en ligne en liant les cookies d’authentification à un appareil spécifique. Cette approche vise à neutraliser les tentatives de vol de cookies, souvent utilisées pour contourner l’authentification multifacteur.

La nouvelle fonctionnalité, Device Bound Session Credentials, crée un lien cryptographique entre les cookies d’authentification et l’appareil de l’utilisateur. Ce processus s’appuie sur la puce Trusted Platform Module (TPM) pour générer une paire de clés publique et privée unique à chaque session. Les cookies ainsi sécurisés ne peuvent être utilisés sur aucun autre appareil, ce qui invalide les tentatives de vol.

Fonctionnement technique

Lorsqu’une session est établie via DBSC, le serveur effectue des vérifications périodiques de la clé privée pour s’assurer qu’elle n’a pas été déplacée ou copiée vers un autre appareil. Ces clés sont stockées de manière sécurisée et sont inaccessibles en dehors de l’appareil original, ce qui garantit que même en cas de vol de cookies, les attaquants ne pourront pas accéder aux comptes utilisateurs.

Kristian Monsen, ingénieur de l’équipe anti-abus de Google Chrome, souligne que DBSC pourrait révolutionner la sécurité en ligne en rendant le vol de cookies pratiquement inutile. Cette fonctionnalité contraint les attaquants à opérer localement, facilitant ainsi la détection et l’élimination des logiciels malveillants par les solutions antivirus et les protections d’entreprise.

Actuellement en phase de prototype, DBSC peut être activé par les utilisateurs avancés pour des tests en modifiant les paramètres sous chrome://flags/. Cette phase expérimentale permet à Google de peaufiner la technologie avant son déploiement à grande échelle.

Sécurité et confidentialité des utilisateurs

DBSC garantit que chaque session est isolée grâce à des clés uniques. Les serveurs n’interagissent qu’avec la clé publique, et ne peuvent donc ni identifier, ni suivre les utilisateurs à travers plusieurs sessions. De plus, les utilisateurs peuvent révoquer les clés à tout moment, ajoutant une couche supplémentaire de contrôle sur leur vie privée.

La fonctionnalité DBSC est prévue pour être intégrée dans environ 50% des ordinateurs de bureau équipés de Chrome dans un premier temps. Son intégration complète promet de renforcer significativement la sécurité pour tous les utilisateurs de Chrome, aussi bien dans un cadre privé que professionnel. « Nous travaillons également déjà pour proposer cette technologie à nos clients Google Workspace et Google Cloud afin de leur offrir une couche supplémentaire de sécurité des comptes », ajoute Monsen.

Cybersécurité, Mise à jour, Wordpress

Vulnérabilité critique pour 1 million de site sous WordPress

Une vulnérabilité critique d’injection SQL dans le populaire plugin LayerSlider pour WordPress pourrait être utilisée pour extraire des informations sensibles des bases de données, telles que les hachages de mots de passe.

LayerSlider est un outil permettant de créer des sliders, des galeries d’images et des animations sur les sites WordPress. Le plugin est utilisé sur environ un million de sites Web. Le problème, identifié comme CVE-2024-2879 et avec un score CVSS de 9,8 [Trés grave], décrit un problème d’injection SQL qui affecte toutes les versions du plugin de 7.9.11 à 7.10.0. La vulnérabilité a été découverte par le chercheur en sécurité AmrAwad et corrigée dans la version 7.10.1 , publiée le 27 mars 2024. Pour divulgation responsable et découverte de la vulnérabilité, le spécialiste a reçu une récompense de 5 500 $.

Selon les experts de Wordfence, le problème a permis aux attaquants d’extraire des données confidentielles de la base de données de sites vulnérables. La vulnérabilité était liée au traitement du paramètre id dans la fonction du plugin ls_get_popup_markup. Étant donné que le paramètre id n’était pas correctement traité, les attaquants pouvaient injecter du code SQL malveillant dans des requêtes spécialement conçues, entraînant ainsi l’exécution de commandes, et l’exfiltration de données.

La structure des requêtes possibles réduisait l’attaque à une injection SQL aveugle dans le temps, c’est-à-dire que les attaquants devaient observer le temps de réponse pour obtenir les données de la base de données. Mais malgré ces limitations, CVE-2024-2879 permettait toujours de récupérer des informations de la base de données sans nécessiter d’authentification.

Cybersécurité, Mise à jour, Patch

Alerte de sécurité : cisco identifie une vulnérabilité xss critique dans ses routeurs pour petites entreprises

Dans un récent communiqué, la société Cisco a émis une alerte concernant une vulnérabilité de type cross-site scripting (xss) affectant plusieurs modèles de ses routeurs destinés aux petites entreprises.

Cette faille, référencée sous le code CVE-2024-20362, présente un risque particulièrement élevé puisqu’elle peut être exploitée à distance et sans nécessiter d’authentification préalable. Les modèles concernés par cette vulnérabilité sont les RV016, RV042, RV042G, RV082, RV320 et RV325. Une caractéristique commune à tous ces appareils est leur statut de fin de vie : cisco a déjà cessé leur support, ce qui signifie qu’aucun correctif pour cette vulnérabilité ne sera disponible.

La vulnérabilité provient d’une validation insuffisante au sein de l’interface web des produits, permettant à un attaquant de lancer des attaques xss en incitant simplement un utilisateur à visiter une page web malveillante. cette exploitation pourrait permettre l’exécution de scripts malveillants ou même entraîner une fuite de données sensibles.

Absence de solution de contournement et recommandations

Cisco a confirmé ne pas avoir connaissance d’exploitations actives de cette vulnérabilité. Toutefois, l’absence de solution de contournement rend critique la transition vers des appareils plus récents et toujours soutenus par des mises à jour de sécurité.
Outre cette faille xss, cisco a récemment corrigé plusieurs autres vulnérabilités importantes. parmi elles, un défaut sérieux dans le Nexus Dashboard Fabric Controller (NDFC), identifié sous le numéro CVE-2024-20348, permettait à des attaquants de lire des fichiers arbitraires sur un serveur d’approvisionnement web. Ce bug touchait uniquement la version NDFC 12.1.3b et a été corrigé dans les versions ultérieures.

D’autres produits cisco, tels que le TelePresence Management Suite, Nexus Dashboard et Orchestrator, Identity Services Engine (ISE), ainsi que divers outils de communication et de gestion des urgences ont également reçu des correctifs pour des vulnérabilités diverses.