Vulnérabilité critique sur F5 BIG-IP permettant une exécution de commande
F5 a communique sur une vulnérabilité de sécurité critique affectant BIG-IP permettant d’entraîner une exécution de code à distance non authentifiée. Le problème s’est vu attribuer l’identifiant CVE-2023-46747 au score CVSS de 9,8/10. La faille repose sur une mauvaise gestion des données reçus par les entêtes HTTP permettant de contourner l’authentification. La majorité des versions de Big-IP sont vulnérables et un correctif à appliquer est disponible.
iLeakage : Un nouvel exploit Safari affecte les iPhones et Macs d’Apple
Un groupe d’universitaires a mis au point une nouvelle attaque, baptisée iLeakage, exploitant une faiblesse des processeurs des séries A et M fonctionnant sur les appareils Apple iOS, iPadOS et macOS. La vulnérabilité permet d’extraire des informations sensibles du navigateur web Safari. Un PoC permet, à l’aide d’une page web malveillante, de récupérer le contenu de la boîte de réception Gmail. iLeakage impacte également contre tous les navigateurs web tiers disponibles pour iOS et iPadOS utilisant le moteur WebKit de Safari.
Citrix Bleed : publication d’un PoC pour une vulnérabilité impactant Citrix
Citrix est impacté depuis quelques jours par une vulnérabilité nommée Citrix Bleed (CVE-2023-4966) au score CVSS de 9.4. Elle impacte NetScaler ADC et Gateway et permet d’accéder à des informations sensibles comme des jetons de session de façon anonyme. L’exploitation est vraiment très simple et réside dans la communication d’un entête Host HTTP particulièrement long. Les données divulgués peuvent permettre à un attaquant de s’authentifier sur les systèmes en ligne. Les versions actuelles de Citrix ne sont pas vulnérables.
Un ancien employé de la NSA plaide coupable d’avoir transmis des données classifiées à la Russie
Un ancien employé de l’Agence nationale de sécurité des États-Unis (NSA) a plaidé coupable à des accusations de tentative de transmission d’informations classifiées secret défense à la Russie. Jareh Sebastian Dalke, 31 ans, a travaillé pour la NSA du 6 juin 2022 au 1er juillet 2022, où il disposait d’une habilitation Top Secret lui permettant d’accéder à des documents sensibles. Ce dernier développement intervient plus d’un an après son arrestation. Dalke a admis qu’entre août et septembre 2022, il avait transmis des extraits de trois documents classifiés à une personne pensant être un agent russe. Or, ce dernier était un agent du FBI. Dalke a été arrêté par les autorités le 28 septembre 2022 et attend son jugement.