Une veille technologique consiste à se tenir informer puis d’analyser et de diffuser de façon systématiques des dernières nouvelles concernant un secteur d’activité ou d’un sujet concernant un secteur d’activité ou une profession.
Les failles informatiques
La principale préoccupation de tout administrateur réseau, DSI (Directeur des Systèmes d’information) et maintenant de plus en plus celui des développeurs est la sécurité à l’heure où les attaques informatiques se multiplient d’année en année.
En 2019, on estime que 43% des attaques ont été réalisées par le biais d’exploitations de vulnérabilités logicielles, il est donc important dans le travail d’un administrateur réseau où tous autres postes ayant une responsabilité sur la sécurité des systèmes d’information des entreprises de veiller à ce qu’il y ait le moins de failles et de vulnérabilités logicielles connues possibles dans son système en plus du travail de prévention envers les utilisateurs car la principale faille de sécurité dans un système d’information c’est l’utilisateur et l’humain en général (73% des attaques en 2019 ont été effectuées par le biais de phishings, 35% par ingénierie social, et 39% par l’exploitation d’un défaut de configuration).
On recense deux types de vulnérabilités: les « Zero-Day » et les « CVE »
Les failles « Zero-Day »: sont des vulnérabilités informatiques n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu. L’existence d’une telle faille sur un produit informatique implique qu’aucune protection n’existe, qu’elle soit palliative ou définitive.
Les failles « CVE »: sont des vulnérabilités informatiques qui sont connues et qui bénéficient d’un correctif ou d’une protection palliative, ces failles sont recensées dans le système « Common Vulnerabilities and Exposures » ou « CVE » accessible publiquement, lorsqu’une faille est découverte elle sera recensée et publiée dans ce système et devient une CVE. La base CVE est donc la principale source à consulter en plus du site du constructeur/développeur se tenir informer des dernières failles de sécurité connue des produits se trouvant dans son parc informatique.
Une CVE prend la forme suivante:
La criticité de ces CVE sont également notés avec le système de notation CVSS « Common Vulnerability Scoring System » qui est actuellement à la version 3.0 selon trois métriques :
- « Base » qui comprends deux métriques celles de l’impacte de la vulnérabilité et celle de l’exploitabilité de la vulnérabilités
- « Temporal » la temporalité de la faille
- « Environmental » l’environnement de la vulnérabilité
Exemples de CVE importants exploités sur ces deux dernières année:
- CVE-2020-1472 dit « Zerologon » qui affecte la technologie d’authentification « Active Directory Netlogon » qui est utiliser pour l’authentification et l’ouverture de sessions des utilisateurs d’un Active Directory.
https://www.trendmicro.com/fr_fr/what-is/zerologon.html - Les CVE-2021-26855 , 27065 , 26857 et 26858 qui sont des failles publiés en même temps par Microsoft permettant d’exécuter du code arbitraire à distance par divers moyens sur des serveurs Exchange 2010, 2013, 2016, et 2019. Ces failles sont souvent exploités pour injecter un « Web Shell » un programme web permettant d’avoir et de maintenir le contrôle d’une machine, et de Ransomwares qui sont des logiciels qui cryptent les données d’une machine moyennant rançon pour obtenir la clé de déchiffrement.
https://www.zdnet.fr/actualites/microsoft-exchange-les-vulnerabilites-sont-maintenant-exploitees-par-un-groupe-de-ransomware-39919379.htm
Dispositifs utilisés
Trois outils sont utilisés pour faire cette veille:
- L’agrégateur de flux RSS « Inoreader » pour suivre les flux RSS:
Des alertes de sécurité de la distribution GNU/Linux Debian debian.org/security/
Des avis de sécurité du site linuxsecurity.com qui répertorie les alertes sécurités des plus importantes distributions Linux
Des alertes du CERT « Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques » cert.ssi.gouv.fr/alerte
Des alertes de sécurité de Cisco tools.cisco.com/security/center/publicationListing.x
- Les alertes mail du site VulDB qui est une base de données qui répertorie les vulnérabilités connus. Mes alertes sont configuré de telle sorte à ce que je reçois uniquement les alertes concernant:
Microsoft Windows
Debian Linux
Ubuntu Linux
Cisco IOS
Mariadb
WordPress
sudo
Google Chrome
Mozilla Firefox
- Et ce WordPress sur lequel vous vous trouvez pour diffuser ma veille WordPress est un CMS « Content Management System » un ensemble de logiciels permettant la création et la gestion d’un site web. Il est hébergé par Google Cloud Plateform qui est le service de Cloud-Computing de Google, avec un nom de domaine acheter sur OVH « rofanchone.info » avec l’extension Feedzy pour reproduire mon ensemble de flux RSS que j’utilise sur Inoreader que vous pouvez retrouver ci-dessous.
Flux RSS:
- Oracle8: ELSA-2024-11345: gstreamer1-plugins-base Important Security Advisory Updateson 19/12/2024 at 17h19
The following updated rpms for Oracle Linux 8 have been uploaded to the Unbreakable Linux Network:
- Oracle8: ELSA-2024-11299: gstreamer1-plugins-good Important Security Advisory Updateson 19/12/2024 at 17h19
The following updated rpms for Oracle Linux 8 have been uploaded to the Unbreakable Linux Network:
- Oracle8: ELSA-2024-11193: mpg123 security Moderate Security Advisory Updateson 19/12/2024 at 17h19
The following updated rpms for Oracle Linux 8 have been uploaded to the Unbreakable Linux Network:
- Oracle8: ELSA-2024-11192: libsndfile Moderate Security Advisory Updateson 19/12/2024 at 17h19
The following updated rpms for Oracle Linux 8 have been uploaded to the Unbreakable Linux Network:
- Oracle8: ELSA-2024-11189: python3.11-urllib3 Moderate Security Advisory Updateson 19/12/2024 at 17h19
The following updated rpms for Oracle Linux 8 have been uploaded to the Unbreakable Linux Network:
- Oracle8: ELSA-2024-11185: edk2:20220126gitbb1bba3d77 Moderate Security Advisory Updateson 19/12/2024 at 17h19
The following updated rpms for Oracle Linux 8 have been uploaded to the Unbreakable Linux Network:
- Vulnérabilité dans Trend Micro Deep Security Agent (19 décembre 2024)on 19/12/2024 at 12h35
Une vulnérabilité a été découverte dans Trend Micro Deep Security Agent. Elle permet à un attaquant de provoquer une élévation de privilèges.
- Multiples vulnérabilités dans les produits Fortinet (19 décembre 2024)on 19/12/2024 at 8h27
De multiples vulnérabilités ont été découvertes dans les produits Fortinet. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et un contournement de la politique de sécurité.
- Multiples vulnérabilités dans Google Chrome (19 décembre 2024)on 19/12/2024 at 8h26
De multiples vulnérabilités ont été découvertes dans Google Chrome. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur.
- Vulnérabilité dans les produits Elastic (18 décembre 2024)on 18/12/2024 at 12h44
Une vulnérabilité a été découverte dans les produits Elastic. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données et un contournement de la politique de sécurité.
- Multiples vulnérabilités dans Xen (18 décembre 2024)on 18/12/2024 at 10h15
De multiples vulnérabilités ont été découvertes dans XEN. Elles permettent à un attaquant de provoquer un déni de service à distance et une atteinte à la confidentialité des données.
- Vulnérabilité dans Traefik (18 décembre 2024)on 18/12/2024 at 10h06
Une vulnérabilité a été découverte dans Traefik. Elle permet à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur.
- Multiples vulnérabilités dans Apache Tomcat (18 décembre 2024)on 18/12/2024 at 10h00
De multiples vulnérabilités ont été découvertes dans Apache Tomcat. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un déni de service à distance.
- Multiples vulnérabilités dans Synacor Zimbra Collaboration (18 décembre 2024)on 18/12/2024 at 8h53
De multiples vulnérabilités ont été découvertes dans Synacor Zimbra Collaboration. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une injection de code indirecte à distance (XSS) et une injection de requêtes illégitimes par rebond (CSRF).
- Vulnérabilité dans les produits StormShield Management Center (17 décembre 2024)on 17/12/2024 at 12h57
Une vulnérabilité a été découverte dans Stormshield Stormshield Management Center. Elle permet à un attaquant de provoquer un déni de service à distance.
- Multiples vulnérabilités dans les produits Foxit (17 décembre 2024)on 17/12/2024 at 12h52
De multiples vulnérabilités ont été découvertes dans les produits Foxit. Certaines d’entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, une élévation de privilèges et une atteinte à la confidentialité des données.
- Vulnérabilité dans les produits Siemens (17 décembre 2024)on 17/12/2024 at 8h46
Une vulnérabilité a été découverte dans les produits Siemens. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
- Multiples vulnérabilités dans Trend Micro Apex One (17 décembre 2024)on 17/12/2024 at 8h44
De multiples vulnérabilités ont été découvertes dans Trend Micro Apex One. Elles permettent à un attaquant de provoquer une élévation de privilèges.
- Multiples vulnérabilités dans Moodle (17 décembre 2024)on 17/12/2024 at 8h39
De multiples vulnérabilités ont été découvertes dans Moodle. Certaines d’entre elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).
- DSA-5833-1 dpdk – security updateon 17/12/2024 at 0h00
https://security-tracker.debian.org/tracker/DSA-5833-1