/images/logo.png

TRACKFLAW

XZ Utils : la backdoor faisant trembler le monde libre et de la cybersécurité

🕶️ Nouvelle et sulfureuse porte dérobée dans XZ Utils sur Linux Introduction Le 29 mars 2024, une faille de sécurité majeure a été découverte dans XZ Utils, un paquet largement utilisé dans les distributions Linux populaires. Cette faille, connue sous le nom de CVE-2024-3094, permet aux attaquants d’exécuter du code à distance sur les systèmes affectés. TL;DR La CVE-2024-3094 introduit un backdoor dans le serveur OpenSSH, permettant à des attaquants en possession d’une clef privée UNIQUE de lancer des commandes avant l’étape d’authentification.

Pourquoi faire un test d'intrusion sur son site Wordpress en 2024 ?

Pourquoi un test d’intrusion est OBLIGATOIRE sur votre site Wordpress en 2024 ? Introduction WordPress, en tant que l’un des systèmes de gestion de contenu (CMS) les plus utilisés au monde, alimente une part significative des sites web, allant des blogs personnels aux sites d’entreprise. Sa popularité s’accompagne toutefois de risques de sécurité accrus, rendant les tests d’intrusion cruciaux pour protéger ces sites contre les cyberattaques. 📈 Quelques statistiques faramineuses (selon lesmakers.

GhostRace : nouvelle vulnérabilité CPU préoccupante

👻 GhostRace : Spectre v2.0 ? TL;DR Une nouvelle classe de vulnérabilités d’exécution spéculative a été découverte courant mars 2024, appelée GhostRace. Cette attaque est particulièrement dangereuse car elle peut être utilisée pour exploiter un grand nombre de logiciels, y compris les navigateurs web, les systèmes d’exploitation et les applications critiques. En théorie Mais comment fonctionne l’attaque GhostRace ? 🤔 L’attaque GhostRace (CVE-2024-2193) repose sur l’exploitation de failles dans les primitives de synchronisation, qui sont des outils logiciels utilisés pour coordonner l’exécution de plusieurs processus ou threads.

Comment hacker (légalement) une multinationale de 20 milliards d'euros ?

📸 CVE-2023-2520{2|3} : Comment hacker une MULTINATIONALE avec un dépôt de fichiers et une SSRF ? Introduction La sécurité informatique est maintenant au coeur de notre quotidien. Aux infos, sur internet, sur les réseaux, tout le monde, avec ou sans connaissance, semble déjà avoir été victime d’une attaque informatique plus ou moins grave. Et cela peut toucher des petites entreprises comme les plus grosses du CAC40. Si vous pensiez que la sécurité des plus grosses sociétés de ce monde est inviolable, détrompez vous.

Compromettre Jenkins via une simple lecture de fichiers : CVE-2024-23897

💣 D’une petite erreur verbeuse à une compromission complète A l’origine Le 25 janvier 2024, des chercheurs de chez Sonar publient 2 vulnérabilités concernant le leader des logiciels d’intégration et de déploiement continus open-source (CI/CD) : Jenkins. Jenkins joue un rôle central dans l’automatisation des processus de développement logiciel pour une grande partie de l’industrie, avec une part de marché d’environ 44% en 2023. L’impact potentiel de ces vulnérabilités est donc considérable.

Quelle démarche choisir pour effectuer un test d'intrusion ?

🤔 Comment bien choisir sa démarche pour effectuer un test d’intrusion ? Boite noire, boite grise, boite blanche ? Dans le monde en constante évolution de la cybersécurité, où les cyberattaques deviennent de plus en plus sophistiquées, la réalisation de tests d’intrusion est devenue une nécessité pour les entreprises soucieuses de protéger leurs systèmes informatiques et données sensibles. Ces tests, souvent désignés sous les termes de tests en boîte noire, boîte grise et boîte blanche, sont des composantes cruciales de toute stratégie de sécurité informatique robuste.

Compromettre des comptes Gitlab avec la vulnérabilité CVE-2023-7028

😮 Exposer GitLab publiquement en 2024 : trop dangereux ? Est ce que exposer son propre Gitlab est une bonne pratique de sécurité ? Et bien vous allez voir que non. 2024 commence fort et donne encore de bonnes raisons de ne pas exposer ce service sur Internet (mais plutôt de l’héberger derrière un VPN). Un début d’année sous haute tension Le 11 janvier 2024, GitLab, la célèbre plateforme communautaire, a publié une annonce importante concernant les nouvelles versions 16.

Comment bien choisir un prestataire de tests d'intrusion en 2024 ?

🕵️ Comment bien choisir un prestataire de tests d’intrusion en 2024 ? Un test d’intrusion est-il utile ? La réponse est oui ! Les tests d’intrusion, aussi connus sous le nom de tests de “pénétration” (terme à éviter dans le langage courant français 😉), constituent une composante cruciale de la cybersécurité moderne. En simulant des attaques informatiques dans des conditions contrôlées, ces tests permettent de détecter les failles de sécurité dans les systèmes d’information, les serveurs, les applications web, et autres composants informatiques.

Pwncloud : votre propre cloud (non) sécurisé

☁️ Pwncloud : votre propre cloud (non) sécurisé 1, 2 et 3 vulnérabilités critiques OwnCloud est un logiciel libre offrant une plateforme de services de stockage et partage de fichiers et d’applications diverses en ligne. Il est présenté comme une alternative à Dropbox, lequel est basé sur un cloud public. Fin novembre 2023, OwnCloud publiait 3 articles concernant 3 vulnérabilités critiques : La CVE-2023-49103 : Score CVSS de 10 ! 😱 Divulgation d’informations d’identification et de configuration sensibles dans des déploiements conteneurisés.

Le reverse tab nabbing, méthode de phishing sous stéroïdes.

💉 Le reverse tab nabbing, méthode de phishing sous stéroïdes. Connaissez vous le “reverse tab nabbing” ? 🐟 Le reverse tab nabbing est une technique d’attaque par hameçonnage consistant à rediriger la page d’origine d’un onglet vers une page malveillante. Cette technique est particulièrement vicieuse car elle peut tromper les utilisateurs en leur faisant croire qu’ils sont toujours sur le site légitime qu’ils ont initialement visité. Un exemple Pour comprendre cette attaque, voici ci-dessous un scénario réaliste concernant ce type d’attaque.