Vercel 🚨 Violation de données, NIST 🔍 Réforme des vulnérabilités, Microsoft 💻 Zero-day critique

Maxime Blanc

Maxime Blanc

4 min de lecture

Bonjour et bienvenue dans l'édition du mardi 21 avril !

A la une aujourd'hui:

  • Faille de sécurité chez Vercel: L'Intrusion via Context AI compromet des données clients
  • Face à une hausse de 263% des CVE, le NIST adopte un modèle NVD basé sur les risques
  • Nexcorium: Une nouvelle variante de Mirai cible les DVR TBK pour des Attaques DDoS
  • Des chercheurs découvrent ZionSiphon, un malware ciblant les systèmes hydrauliques Israéliens
  • Cyberattaques : les collectivités territoriales deviennent des cibles privilégiées

Faille de sécurité chez Vercel: L'Intrusion via Context AI compromet des données clients

Points Clés :

  • Vercel a été victime d'une intrusion suite à la compromission de l'outil d'IA Context.ai utilisé par un employé
  • L'attaquant a pu accéder aux variables d'environnement non marquées comme "sensibles" après avoir pris le contrôle du compte Google Workspace
  • Le groupe ShinyHunters revendique l'attaque et propose les données volées pour 2 millions de dollars

Description :

Vercel a révélé une violation de sécurité permettant à des acteurs malveillants d'accéder à certains systèmes internes suite à la compromission de Context.ai, un outil d'IA tiers. Un employé de Context.ai aurait été infecté par Lumma Stealer en téléchargeant des cheats de jeux vidéos comme Roblox. Un nombre limité de clients a vu ses identifiants compromis, et Vercel les a contactés pour qu'ils modifient leurs identifiants.

Pourquoi c'est important :

Cette attaque met en lumière les risques liés à la chaîne d'approvisionnement des logiciels et les dangers des outils tiers. La compromission d'un employé chez un fournisseur a permis une escalade sophistiquée vers l'infrastructure de Vercel. L'incident souligne l'importance de sécuriser les variables d'environnement et d'implémenter une surveillance robuste des accès tiers.

Face à une hausse de 263% des CVE, le NIST adopte un modèle NVD basé sur les risques

Points Clés :

  • Le NIST abandonne l'analyse exhaustive au profit d'un modèle ciblé sur les risques face à l'explosion des soumissions de vulnérabilités.
  • Priorité accordée aux failles exploitées activement (catalogue KEV), celles affectant les agences fédérales américaines et les logiciels critiques.
  • Les vulnérabilités moins prioritaires seront publiées mais étiquetées "Lowest Priority" sans enrichissement immédiat des données.

Description :

Le NIST transforme radicalement sa gestion des vulnérabilités dans la National Vulnerability Database (NVD) en réponse à une augmentation de 263% des soumissions CVE depuis 2020. Cette nouvelle approche basée sur les risques permet aux équipes de sécurité de recevoir rapidement des informations sur les menaces critiques, tout en aidant le NIST à gérer efficacement le volume croissant de rapports.

Pourquoi c'est important :

Cette transition stratégique répond à l'impossibilité de traiter exhaustivement toutes les vulnérabilités dans un contexte d'explosion des menaces. Pour les professionnels de la cybersécurité, ce nouveau modèle signifie une meilleure visibilité sur les vulnérabilités les plus dangereuses, mais nécessite potentiellement des ressources supplémentaires pour évaluer les failles de moindre priorité. Cette évolution reflète la nécessité d'une approche plus pragmatique dans la gestion des risques de sécurité.

Nexcorium: Une nouvelle variante de Mirai cible les DVR TBK pour des Attaques DDoS

Points Clés :

  • Des acteurs malveillants exploitent la vulnérabilité CVE-2024-3721 dans les DVR TBK pour déployer le botnet Nexcorium
  • Le malware établit sa persistance via crontab et systemd, et peut lancer des attaques DDoS via UDP, TCP et SMTP
  • D'autres équipements comme les routeurs TP-Link en fin de vie sont également ciblés pour étendre le réseau de bots

Description :

Des chercheurs de Fortinet et Palo Alto Networks ont identifié des attaques exploitant des failles de sécurité dans les DVR TBK et les routeurs TP-Link obsolètes. Les attaquants déploient une variante du botnet Mirai appelée Nexcorium qui cible la vulnérabilité CVE-2024-3721. Une fois installé, le malware affiche le message "nexuscorp has taken control" et établit différentes méthodes de persistance.

Pourquoi c'est important :

Cette campagne souligne la vulnérabilité persistante des appareils IoT, particulièrement ceux qui ne reçoivent plus de mises à jour de sécurité. L'exploitation réussie permet aux attaquants de construire des réseaux de botnets capables de lancer des attaques DDoS massives. Les propriétaires d'appareils TBK DVR et de routeurs TP-Link en fin de vie devraient envisager leur remplacement pour limiter les risques.

Des chercheurs découvrent ZionSiphon, un malware ciblant les systèmes hydrauliques Israéliens

Points Clés :

  • ZionSiphon est spécifiquement conçu pour attaquer les infrastructures de traitement d'eau et de dessalement israéliennes
  • Le malware peut manipuler les paramètres de chlore et de pression, créant un risque pour la santé publique
  • Il contient des messages politiques pro-Iran et peut se propager via des supports USB amovibles

Description :

Des chercheurs de Darktrace ont identifié un nouveau malware baptisé ZionSiphon qui cible spécifiquement les systèmes hydrauliques israéliens. Découvert après la 'Guerre de Douze Jours' entre l'Iran et Israël, ce logiciel malveillant encore incomplet combine élévation de privilèges, persistance, et capacités de sabotage dirigées contre les contrôles de chlore et de pression dans les installations de traitement d'eau.

Pourquoi c'est important :

Cette découverte met en lumière l'évolution inquiétante des cyberattaques ciblant les infrastructures critiques nationales. En visant les systèmes de traitement d'eau, ZionSiphon pourrait potentiellement compromettre l'accès à l'eau potable et menacer la santé publique. Ce cas illustre comment les tensions géopolitiques se transforment en cyberattaques sophistiquées contre des ressources vitales, nécessitant une vigilance accrue dans la protection des infrastructures essentielles.

Nouvelles failles zero-day dans Microsoft Defender exploitées activement par des cybercriminels

Points Clés :

  • Un chercheur a publié deux nouvelles exploits zero-day pour Microsoft Defender : "RedSun" et "UnDefend"
  • Ces exploits et une précédente faille "BlueHammer" ont été observés dans des attaques réelles
  • Microsoft devra probablement publier un correctif d'urgence avant le prochain Patch Tuesday

Description :

Un chercheur connu sous le pseudonyme "Chaotic Eclipse" a révélé deux nouvelles vulnérabilités zero-day dans Microsoft Defender, après sa première divulgation début avril. Les exploits "RedSun" (élévation de privilèges) et "UnDefend" (blocage des mises à jour) ont été publiés sur GitHub et leur efficacité confirmée par des experts en sécurité.

Pourquoi c'est important :

Ces vulnérabilités sont particulièrement préoccupantes car Microsoft Defender est un composant de sécurité critique présent sur des millions d'appareils Windows. Huntress a confirmé leur exploitation active par au moins un groupe d'attaquants. Avec plusieurs semaines avant le prochain Patch Tuesday, les organisations restent exposées jusqu'à ce que Microsoft publie un correctif d'urgence.

Avant de partir, j'ai 2 (petits) services à te demander :

  1. Réponds à ce mail avec ton avis/ressenti sur cette édition. C'est toujours un plaisir de pouvoir échanger avec toi sur ces sujets, je réponds à tout le monde ! Tu peux aussi donner ton avis en cliquant sur les boutons ci-dessous.
  2. Si tu as trouvé cette newsletter utile, partage-la à tes proches. C'est ce qui m'aide le plus à la faire grandir.

Bon mardi à toi !