TRACKFLAW3 vulnérabilités critiques exposent les utilisateurs de ownCloud
OwnCloud a signalé trois failles majeures dans son logiciel de partage de fichiers. Elles permettent la divulgation d’informations sensibles dans les déploiements conteneurisés, de contourner l’authentification API WebDAV ainsi que la validation de sous-domaine. Ces faiblesses permettent dans certains cas de récupérer des informations sensibles (clefs, mots de passe…) et de modifier et supprimer des fichiers sans authentification. Les utilisateurs sont encouragés à modifier les mots de passe et identifiants critiques.
Des secrets de Kubernetes de sociétés du Fortune 500 publiquement accessibles
Des chercheurs en cybersécurité alertent sur des secrets de configuration Kubernetes exposés publiquement sur GitHub, présentant des risques d’attaques pour les organisations. Ces secrets ont été téléchargés sur des référentiels publics, affectant des sociétés de blockchain et des entreprises Fortune 500. Environ 46 % des enregistrements contenaient des informations d’identification valides pour accéder aux registres de conteneurs. Près de la moitié des mots de passe étaient faibles (ex. : password, test123456). Ces failles soulignent le besoin de politiques de mots de passe strictes pour éviter de telles vulnérabilités.
Failles dans les capteurs d’empreintes digitales sur Windows
Une étude a révélé des vulnérabilités contournant l’authentification Windows Hello sur les ordinateurs Dell Inspiron 15, Lenovo ThinkPad T14 et Microsoft Surface Pro X. Des chercheurs de Blackwing Intelligence ont identifié des faiblesses dans les capteurs d’empreintes digitales Goodix, Synaptics et ELAN intégrés à ces appareils. Des vulnérabilités permettent à des capteurs de contourner la protection MoC (“match on chip”), permettant des attaques MiTM. Le capteur ELAN est spécifiquement vulnérable, manquant de support SDCP (protection Windows) et transmettant des informations de manière non sécurisée.
Le retour de grosses attaques DDoS du botnet Mirai via plusieurs 0day
Une campagne active de logiciels malveillants exploite deux vulnérabilités zero-day pour infecter des routeurs et des enregistreurs vidéo, pour un botnet de DDoS basé sur Mirai. Akamai a rapporté que la charge cible les appareils avec des identifiants d’administrateur par défaut, installant des variantes de Mirai. Les détails des failles sont confidentiels pour permettre la publication de correctifs. Les attaques ont été détectées en octobre 2023, mais les auteurs restent inconnus.