Ajouter à une liste de lectureDepuis fin septembre 2024, nous entendons beaucoup parler de vulnérabilités critiques qui affectent CUPS le système de gestion d'impression (Common UNIX Printing System). Nous allons vous présenter ces vulnérabilités, comment les exploiter et bien sûr comment les détecter et réduire les risques pour votre SI.
1. Introduction
Le système de gestion d'impression CUPS (Common UNIX Printing System) est largement utilisé dans les environnements Linux et UNIX pour gérer les tâches d'impression. Le fait qu'il soit essentiel pour l'impression sur des réseaux locaux fait également de CUPS une cible de choix pour les attaquants. Les CVE récentes, notamment CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 et CVE-2024-47177, soulèvent des préoccupations majeures en matière de sécurité. Le CERT-FR via son site web a communiqué un bulletin d’alerte [CERTFR-2024-ALE-012] dès le 27 septembre.
Cet article propose une analyse détaillée de ces vulnérabilités, en abordant leurs mécanismes, leurs conséquences potentielles, ainsi que les stratégies pour détecter et atténuer les risques associés. Simone Margaritelli alias EvilSocket est crédité d'avoir trouvé ces CVE.
Un état des lieux issu de Shodan et FOFA est présenté en Figure 1.
Par le(s) même(s) auteur(s)
OpenSSH : une vulnérabilité existant depuis 20 ans a été détectée dans cet outil conçu pour sécuriser les communications
Cela fait 20 ans qu’une vulnérabilité présente dans OpenSSH permet d’énumérer les utilisateurs. Elle a été rendue publique le 17 août 2018 sous la référence CVE ID 2018-15473. Du fait de sa facilité d’exploitation, des exploits ont rapidement vu le jour sur des sites de dépôt de code comme GitHub, des scripts Python ont également été codés et même le très célèbre Metasploit a mis à jour son module d'énumération des utilisateurs SSH [Ref] « modules/auxiliary/scanner/ssh/ssh_enumusers.rb ». Cette vulnérabilité ne donne pas la liste des noms d'utilisateurs valides, mais permet, sans faire d’attaque par mot de passe, de dire si un utilisateur existe ou non. Nous allons voir ensemble au travers de cet article pourquoi cette vulnérabilité existe, comment l'exploiter et de quelle manière nous pouvonsnous en prévenir.
Gestion des logs : présentation et mise en œuvre simplifiée d’un collecteur et d’un SIEM
De nos jours, il est de plus en plus difficile de détecter une activité malveillante, ce qui rend extrêmement important la collecte des journaux d’événements. Cet article fournit une introduction pour celle-ci et pourra être appliquée à tous les types de log ; peu importe si ce sont des événements système, applicatif, réseau, etc… Nous verrons également comment ces derniers devront être stockés et gérés. L'objectif de ce document est double : - Présenter à un responsable les bienfaits de collecter et superviser ses logs, - Orienter avec les bases, une équipe de sécurité opérationnelle ou une équipe d’analystes forensic. De nombreux outils disponibles dans le commerce existent pour collecter les journaux d’événements, je vous présenterai via un cas pratique comment collecter tous types d’événements, et comment mettre en place un SIEM facilement et rapidement.