Le rapport montre comment le gang Lapsus$ a réussi et corrige les logiciels Atlassian, Java et Amazon
Bienvenue dans la cybersécurité aujourd’hui. Nous sommes le lundi 25 avril 2022. Je suis Howard Solomon, journaliste collaborateur sur la cybersécurité pour ITWorldCanada.com.
Les professionnels de la cybersécurité sont enthousiastes que le gang d’extorsion Lapsus$ a pu pirater les systèmes de l’opérateur mobile américain T-Mobile le mois dernier. Le journaliste de sécurité Brian Krebs a fait la découverte après avoir lu les conversations du gang sur Telegram. Il s’agissait de communications faites peu de temps avant l’arrestation d’un certain nombre de membres de gangs au Royaume-Uni. Deux d’entre eux sont actuellement poursuivis. La plupart des sites d’information se concentrent sur l’admission de T-Mobile selon laquelle il a été piraté. Le transporteur a souligné qu’aucune donnée client n’avait été consultée. Ce que j’ai trouvé le plus intéressant dans l’histoire de Krebs, c’est comment les membres de gangs ont pu s’introduire dans T-Mobile, Microsoft, Samsung, Nvidia et d’autres grandes entreprises : soit en achetant des informations d’identification avec accès aux systèmes informatiques à partir de sites Web criminels, soit en persuadant le personnel d’assistance de l’entreprise. pour réattribuer le numéro de téléphone portable d’un employé dans une tactique appelée échange de carte SIM pour contourner l’authentification à deux facteurs. Comme je l’ai déjà dit, l’authentification à deux ou plusieurs facteurs, effectuée correctement, empêche de nombreuses attaques. Mais bien faire les choses signifie former le personnel d’assistance à ne pas tomber dans les histoires sanglantes d’inconnus au téléphone ou par SMS sur la façon d’ajouter ou de modifier des numéros de téléphone aux comptes. Cela signifie également que les utilisateurs de smartphones doivent avoir un code PIN dans leurs comptes, qu’un attaquant doit connaître pour apporter des modifications à un compte d’utilisateur. Que se passe-t-il lorsque les procédures internes sont exécutées correctement ? Les attaquants sont bloqués. Selon l’histoire de Krebs, cela s’est produit dans une société d’externalisation du support client en Floride appelée Iqor. Lapsus$ a passé des jours à convaincre les employés de supprimer l’authentification multifacteur pour les comptes pour lesquels ils avaient le nom d’utilisateur et le mot de passe. Les employés d’Iqor ne tomberaient dans aucun piège.
Atlassian a publié des mises à jour de sécurité pour ses applications de gestion de projet Jira et Jira Service Management. Ces mises à jour corrigent une vulnérabilité critique qui, dans certaines configurations, pourrait permettre à un attaquant de contourner les contrôles d’authentification. Les mises à jour doivent être installées dès que possible.
Parfois, les patchs ont besoin de patchs. L’exemple le plus récent provient d’Amazon, qui a publié un correctif pour les deux versions des systèmes Amazon Linux avec des machines virtuelles Java en décembre afin de corriger les vulnérabilités critiques de la bibliothèque log4j2. Cependant, ce correctif a introduit ses propres problèmes. Amazon a donc publié une nouvelle version du hotpatch. Il a également publié une nouvelle version de l’utilitaire appelé Hotdog, qui est utilisé pour injecter le patch à chaud log4j2 dans des conteneurs. Les clients utilisant le système d’exploitation Amazon Bottlerocket pour exécuter des conteneurs doivent également le mettre à jour.
Il y a un autre problème lié à Java Les administrateurs informatiques doivent de toute urgence y prêter attention. Si votre environnement utilise des applications Java 17 et 18, elles doivent être mises à jour. Oracle a déjà publié une mise à jour critique du correctif d’avril pour ses applications. Le problème réside dans un algorithme utilisé pour signer des documents numériques dans des fonctionnalités telles que l’authentification multifacteur. Une vulnérabilité pourrait permettre à un attaquant de falsifier un certificat SSL pour contourner un contrôle de sécurité. La vulnérabilité pourrait également affecter les versions 15 et 16 de Java, cependant celles-ci ne sont plus supportées et ne doivent donc plus être utilisées.
C’est tout pour le moment. N’oubliez pas que les liens vers les détails de l’histoire du podcast sont inclus dans la version texte sur ITWorldCanada.com.
Vous pouvez suivre Cyber Security Today sur Apple Podcasts, Google Podcasts ou nous ajouter à votre Flash Briefing sur votre haut-parleur intelligent.
Le post Cyber Security Today, 25 avril 2022 – Le rapport montre comment le gang Lapsus$ a réussi et les correctifs pour les logiciels Atlassian, Java et Amazon sont publiés en premier sur Germanic News.