Les fournisseurs de cloud utilisent toujours des middleware secrets and techniques ? The Register

Résumé de la conférence RSA Les chercheurs de Wiz, qui avaient précédemment découvert une série de quatre failles graves dans l’agent Azure Open Management Infrastructure (OMI) surnommé “OMIGOD”, ont présenté quelques nouvelles connexes à RSA : Pratiquement tous les fournisseurs de cloud installent des logiciels similaires “à l’insu du client ou explicite consentement.”

Dans un article de blog accompagnant la présentation, Nir Ohfeld et Shir Tamari de Wiz déclarent que les agents sont des middleware qui connectent les VM clientes et d’autres services de fournisseurs gérés. Les agents sont nécessaires pour activer les fonctionnalités avancées des machines virtuelles telles que la collecte de journaux, la mise à jour automatique et la synchronisation de la configuration, mais ils ajoutent également de nouvelles surfaces d’attaque potentielles qui, comme les clients ne les connaissent pas, ne peuvent pas être défendues.

Dans le cas d’OMIGOD, cela incluait un bogue avec un score CVSS de 9,8/10 qui permettrait à un attaquant de passer à la racine et d’exécuter du code à distance. Microsoft a corrigé les vulnérabilités, mais la plupart ont dû être appliquées manuellement.

Wiz a publié une page sur GitHub avec une liste de 12 agents installés secrètement, ainsi que des OMI, sur Azure, AWS et Google Cloud, et probablement pas tous. “Il est probable, sur la base de notre enquête, qu’il y ait plus d’acteurs que les chercheurs en sécurité et les clients du cloud ignorent”, ont déclaré Ohfeld et Tamari.

Peu de gens comprennent sa surface d’attaque, selon Trend Micro

Les résultats de l’enquête de Trend Micro indiquent que lorsqu’il s’agit d’organisations qui comprennent leurs surfaces d’attaque, la plupart ne le font pas.

Au total, 73 % des 6 297 décideurs informatiques et commerciaux interrogés ont déclaré être préoccupés par leur surface croissante de vulnérabilité aux attaques, que seuls 51 % ont déclaré pouvoir définir entièrement.

Un peu plus d’un tiers des personnes interrogées ont déclaré que leur infrastructure de sécurité était désordonnée et en constante évolution, tandis que 43 % ont admis que leur surface d’attaque était « hors de contrôle », a déclaré Trend Micro. Les environnements cloud ont été cités comme les plus opaques, et avec la plupart des fournisseurs installant des middleware secrets, il est facile de comprendre pourquoi.

Bharat Mistry, directeur technique chez Trend Micro, a déclaré que la modernisation rapide de l’informatique au début de la pandémie de COVID-19 est une des principales raisons des problèmes actuels de visibilité de la surface d’attaque. “Dans tant de cas [IT upgrades] élargi involontairement la surface d’attaque numérique, donnant aux acteurs de la menace plus d’opportunités de compromettre des actifs clés », a-t-il déclaré.

L’étude fournit également une variété de raisons pour lesquelles la visibilité ne s’est pas améliorée, telles que des chaînes d’approvisionnement opaques, des services informatiques cachés, des travailleurs à distance et des changements techniques constants dans les produits des fournisseurs, entre autres.

Malheureusement, le principal conseil que donne Trend Micro – “gagner en visibilité” – est plus facile à dire qu’à faire. À moins que vous n’ayez les bons outils, ce que vend Trend Micro.

Du secteur privé au gouvernement fédéral : plus de collaboration, s’il vous plaît

Une liste de groupes du secteur privé et de cyberdéfense a publié mardi une déclaration conjointe prônant “une collaboration accrue entre le public et le privé pour améliorer la préparation du pays à la cybersécurité”.

Les signataires ont déclaré que s’ils pensaient que l’administration Biden avait pris des mesures pour renforcer la coopération public-privé, elle n’en avait pas fait assez. Les signataires ont déclaré qu’ils “chercheront activement à engager les partenaires du gouvernement américain avec des idées et des initiatives visant à renforcer la cyber-résilience nationale” et présenteront cinq propositions à cette fin :

  • Renforcer la portée du Joint Cyber ​​​​Defense Collaborative (JCDC), ce que les signataires ont déclaré qu’ils feraient en travaillant avec le Collaborative et l’Agence de cybersécurité et de sécurité des infrastructures pour mener à bien
  • Construire une compréhension collective des menaces en soutenant les “outils, technologies, incitations, processus métier et cadres juridiques” nécessaires pour ce faire
  • Améliorer la planification d’urgence en identifiant “les 5 principales cyber-urgences qui posent un risque pour la sécurité nationale et en élaborant des plans d’intervention proactifs”
  • Améliorer les cadres juridiques en identifiant les lois et réglementations qui entravent les progrès
  • Améliorer le travail d’équipe en créant des opportunités d’échanges à long terme entre les professionnels de la cybersécurité du gouvernement et du secteur privé

Les signataires ont de la chance : les dirigeants de la CISA, de la NSA et du National Cyber ​​​​Directory, Chris Inglis, ont pris la parole à la RSA et ont spécifiquement mentionné le JCDC lors de leur table ronde cette semaine.

“Nous ne pouvons pas maintenir le niveau d’alerte le plus élevé pendant une longue période, c’est pourquoi nous pensons … à cette relation que le gouvernement doit avoir avec le secteur privé”, a déclaré la directrice de la CISA, Jen Easterly, au panel.

Le nouveau produit MFA aurait résisté aux bombardements immédiats

Le fournisseur d’authentification unique Xage affirme avoir créé un nouveau produit d’authentification multifacteur (MFA) multicouche distribué capable de résister à des bombes immédiates comme celles qui ont permis à Lapsus$ de s’introduire dans Okta plus tôt cette année.

Le bombardement MFA n’est pas tant une technique de piratage sophistiquée qu’un moyen d’épuiser quelqu’un en essayant à plusieurs reprises de se connecter à l’un de vos comptes sur lequel MFA est activé. Alors que la victime est bombardée de demandes de vérification, l’attaquant s’assoit et attend que sa marque en difficulté appuie accidentellement sur “Accepter”. Une erreur et l’attaquant est libre de faire tout ce à quoi le compte de la victime a accès.

Ce que Xage propose comme solution est, à toutes fins utiles, une forme hybride de MFA et de segmentation du réseau : , un site Web ou même un seul actif », a déclaré Xage dans un communiqué de presse. ce que Xage prétend, c’est l’utilisation de différents Méthodes MFA à chaque couche d’accès.

Bien qu’un type différent de MFA à chaque point de contrôle ajoute définitivement une couche de sécurité supplémentaire, on ne sait pas dans quelle mesure les utilisateurs s’adapteraient à la friction de l’expérience utilisateur créée en ayant besoin d’une forme différente de MFA pour chaque demande d’accès granulaire. .

TOC toc. Qui est là? pas qui tu voulais

Une faille dans un système de sécurité physique largement utilisé pourrait permettre à un attaquant réussi de déverrouiller tous les ports gérés par le logiciel.

Les panneaux de contrôle d’accès LenelS2 de Carrier, qui gèrent les systèmes de portes de sécurité dans des installations telles que les hôpitaux, les écoles, les installations de transport et les bureaux gouvernementaux, ont montré huit vulnérabilités de type « jour zéro » lors d’une enquête menée par des chercheurs de Trellix Threat Labs.

LenelS2 a été choisi spécifiquement parce qu’il est largement utilisé, et même si l’équipe s’attendait à trouver des failles, “nous ne nous attendions pas à trouver des vulnérabilités logicielles héritées communes dans une technologie relativement récente”, ont-ils déclaré.

La sécurité physique a été un sujet brûlant récemment, et bien que cette vulnérabilité soit effrayante, elle serait difficile à exécuter car un accès physique aux ports de débogage du contrôleur est requis. Avec l’accès aux ports et “en utilisant des techniques de piratage matériel”, les chercheurs ont pu obtenir un accès root et obtenir une copie complète du micrologiciel de l’appareil pour l’émulation et la découverte de vulnérabilités.

Armée de la connaissance du logiciel, l’équipe a pu enchaîner une paire de vulnérabilités pour obtenir un accès root à distance. Un programme injecté fonctionnant parallèlement au logiciel du contrôleur a permis aux attaquants de déverrouiller les portes et de subvertir le logiciel de surveillance.

Pour atténuer le problème, Carrier a déclaré qu’il était nécessaire de désactiver la connexion Web pour le portail Web LenelS2 ; Une fois désactivé, un interrupteur physique sur le contrôleur doit être déclenché pour le réactiver. Bien que cela puisse sécuriser à nouveau un contrôleur précédemment compromis, un attaquant disposant d’un accès physique pourrait simplement basculer l’interrupteur.

Comme méthode d’atténuation supplémentaire, envisagez un cadenas. ®

Leave a Comment