histats

Cette semaine en sécurité : Asterisk, TikTok, Gitlab et enfin une solution anti-spam

Cette semaine en sécurité : Asterisk, TikTok, Gitlab et enfin une solution anti-spam

Il y a une campagne en cours qui compromet les systèmes FreePBX dans le monde entier. Il semble cibler spécifiquement les systèmes Elastix, en utilisant CVE-2021-45461, une exécution de code à distance (RCE) vraiment désagréable de décembre dernier. Ce bogue était un bogue de 0 jour, car il a été découvert en analysant un système FreePBX compromis. On ne sait pas si la campagne décrite dans le rapport de la semaine dernière a utilisé le jour 0 en décembre ou si elle a été lancée à la suite de la divulgation publique de la faille.

Quoi qu’il en soit, CVE est un paramètre d’URL transmis au service Rest Phone Apps. Ce module est destiné à s’exécuter directement sur l’écran des téléphones VoIP, permettant aux utilisateurs finaux de définir des fonctionnalités telles que Ne pas déranger sans avoir à saisir de codes étoiles ou à visiter une page Web. En raison du cas d’utilisation, toute distribution FreePBX qui prend en charge les téléphones VoIP se connectant depuis l’extérieur du réseau qui utilisent cette fonctionnalité aura besoin de ces ports ouverts. La meilleure façon de s’en assurer serait d’imposer des connexions via un VPN, que seuls certains téléphones prennent en charge.

Après avoir trouvé un point de terminaison vulnérable, la campagne commence par déposer un webshell à plusieurs endroits, tous dissimulés légèrement différemment. Il crée ensuite plusieurs comptes d’utilisateurs de niveau racine et ajoute une tâche Cron pour maintenir l’accès. Il existe une quantité surprenante de fonctionnalités d’obscurcissement et de furtivité dans cette famille de logiciels malveillants, ce qui rend difficile l’identification d’un seul indicateur de compromission. Si vous utilisez un système FreePBX qui pourrait avoir le module Phone Apps en cours d’exécution, il est temps de le parcourir avec un peigne fin.

Quel est le problème avec TikTok ?

La FCC a de nouveau demandé que TikTok soit supprimé du Google Play Store et de l’Apple App Store. Que se passe-t-il avec TikTok ? C’est juste une application pour filmer et partager des vidéos idiotes, n’est-ce pas ? Il existe essentiellement deux problèmes potentiels avec TikTok, et les deux peuvent être attribués à la société mère de l’application résidant en Chine.

Ici, aux États-Unis, nous avons des lettres de sécurité nationale, et la Chine semble avoir un système plus simple, où “tout est vu en Chine”, comme l’a dit un membre du département de confiance et de sécurité de TikTok. TikTok utilise pas mal d’autorisations, dont certaines semblent un peu trop zélées. Si vous êtes une personne d’intérêt pour le gouvernement chinois, ces autorisations peuvent-elles être utilisées pour vous surveiller ? Absolument. Tout comme une application basée aux États-Unis pourrait le faire, à la suite d’une habilitation de sécurité nationale.

Le deuxième problème est un peu plus subtil et peut virer vers une théorie du complot, mais cela vaut la peine d’être considéré. TikTok propose des vidéos sur tous les sujets imaginables, de tous les points de vue possibles. Et si le Parti communiste chinois (PCC) voulait qu’une réputation spécifique gagne du terrain aux États-Unis ? Une simple petite poussée sur l’algorithme de recommandation vidéo créerait des vidéos sur cette tendance de sujet. Effet de levier instantané pour l’opinion publique.

See also  Les mises à jour d'Avast One renforcent la protection du réseau domestique et les conseils de sécurité numérique multiplateforme

Il manque probablement une partie de l’histoire ici, sous la forme d’informations classifiées. Jusqu’à ce que suffisamment de temps s’écoule pour qu’une demande de Freedom of Information Act débloque le reste de l’histoire, il sera difficile de savoir quelle part de la menace TikTok est légitime et quelle part est une querelle géopolitique.

Oh, et si vous pensiez que vous pouviez simplement ouvrir le Google Play Store et voir les autorisations exactes utilisées par l’application TikTok, Google a pris la malheureuse décision de masquer les autorisations jusqu’à ce que vous fassiez l’installation. Cela ressemble à une décision terrible, et après un bref tollé, il semble que Google soit d’accord. Juste avant l’impression de cet article, Google a annoncé qu’il renversé cette décision.

Gitlab CER

Gitlab a corrigé un problème très sérieux lors de sa série de versions mineures du 4 juillet, et [Nguyễn Tiến Giang (Jang)] voulait vraiment comprendre ce qui était arrivé à celui-ci. À tel point qu’il a mis en place une installation débogable de Gitlab et a recréé le problème, nous emmenant avec lui. L’erreur est d’importer un projet Gitlab existant, où le nom de l’archive est ajouté directement à une chaîne de commande. Si vous pouvez manipuler la valeur donnée pour le nom de l’archive et éviter de déclencher certaines des vérifications destinées à l’empêcher, vous pouvez trivialement insérer un shellcode à exécuter sur le serveur sous-jacent. Éviter les pièges est une grande partie de l’effort pour en faire un véritable PoC. Lisez le message pour plus de détails sur le parcours de dépannage.

See also  Les portefeuilles numériques talonnent les cartes de débit et de crédit…

Le spam du calendrier enfin corrigé

Considérez-vous chanceux si vous avez manqué le fléau qu’est le spam de calendrier. Google Agenda est génial car n’importe qui peut vous envoyer une invitation par e-mail et l’événement apparaîtra automatiquement sur votre calendrier. Rétrospectivement, il semble évident que cela sera utilisé pour le spam. Quoi qu’il en soit, après des années de problème de spam, Google lance enfin une fonctionnalité pour ajouter uniquement des invitations à votre calendrier provenant d’expéditeurs connus. Maintenant, si on vous le demande ou si vous souffrez vous-même de spam, vous savez qu’il faut regarder dans les paramètres de l’événement et modifier le paramètre. Pour terminer!

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *