Alertes de sécurité

Notre support vous informe régulièrement des événements importants qui se déroulent ici.

Vous pouvez vous abonner à ces alertes via ce flux RSS. Vous pouvez le faire dans Outlook (lire par ici comment) ou via le lecteur RSS de votre choix.

En raison d'une vulnérabilité dans Microsoft Outlook, nous demandons à tout le monde de fermer le client Outlook et de travailler temporairement par le biais de https://outlook.office.com/mail/

Grâce à une vulnérabilité récemment découverte, les cybercriminels peuvent déjà pénétrer dans votre système en envoyant simplement un courrier électronique malveillant. Dès que ce courrier est traité par le client Outlook, il est déjà activé. Vous n'avez donc même pas besoin d'ouvrir ce courrier.

Il est recommandé de procéder à une mise à jour dès que possible.

Nous tenons à préciser que vous pouvez également mettre à jour Office 365 dans Word. Vous pouvez voir comment procéder dans l'image ci-dessous ou dans ce guide.

Certaines vulnérabilités ont été découvertes et corrigées dans la version 11 de VEEAM Backup : CVE-2022-26500CVE-2022-26501, CVE-2022-26504, CVE-2022-26503CVE-2023-27532

Le message est donc le suivant : il faut patcher. Attention, VEEAM donne les avertissements suivants avant la mise à jour.

  • Veeam Agent pour Linux : version 5.0.2 est livré avec des modules veeamsnap kmod/kmp signés avec un certificat renouvelé. Après la mise à niveau de l'agent, vous devez mettre à jour le paquet veeamsnap-ueficert et enregistrer le nouveau certificat dans le MOK UEFI, sinon le module ne se chargera pas. Ceci ne s'applique qu'aux machines RHEL/CentOS et SLES/openSUSE avec UEFI SecureBoot activé.
  • Veeam Cloud Connect : Les travaux de sauvegarde et de copie de sauvegarde contenant des machines virtuelles Hyper-V Windows 11 et des sauvegardes Kasten K10 commenceront à échouer pour les locataires s'ils installent P20211211 avant leur fournisseur de services.

Agir

Sur le lien ci-joint, vous pouvez suivre les procédures nécessaires.

Contactez-nous pour résoudre ce problème. Vous pouvez le faire par courrier à l'adresse suivante support@vanroey.be ou compter : 014 470 600. Vous pouvez également avoir un créer un ticket.

Une vulnérabilité de type "buffer underwrite" ("buffer underflow") dans l'interface administrative de FortiOS & FortiProxy pourrait permettre à un attaquant distant non authentifié d'exécuter un code arbitraire sur l'appareil et/ou d'effectuer un DoS sur l'interface graphique, par le biais de requêtes spécifiquement conçues à cet effet.

Fortinet n'a connaissance d'aucun cas d'exploitation de cette vulnérabilité. L'entreprise examine et teste constamment la sécurité de ses produits, et cette vulnérabilité a été découverte en interne dans ce cadre.

Agir

La vulnérabilité susmentionnée est vraiment critique (score CVE = 9.3). En bref : il n'y a vraiment pas le choix > il faut agir. D'où notre géré les clients sont déjà aidés et reçoivent les mises à jour nécessaires.

Besoin d'aide ? Contactez-nous pour résoudre ce problème. Vous pouvez le faire par courrier à l'adresse suivante support@vanroey.be ou compter : 014 470 600. Vous pouvez également avoir un créer un ticket.

Fortinet a connaissance d'au moins un cas où cette vulnérabilité a été exploitée avec succès, mais d'autres cas inconnus peuvent certainement exister.

L'un exploite une vulnérabilité pour déployer des fichiers malveillants sur le système de fichiers des appareils concernés.

De plus, comme on l'a vu dans une récente campagne touchant les appareils Fortinet (CVE-2022-40684), les attaquants peuvent exécuter du code à distance dans les appliances Fortinet pour atteindre l'un des objectifs suivants :

  • Ouverture et téléchargement du fichier de configuration du dispositif
  • Cela inclut, sans s'y limiter, les règles, les politiques, le filtrage, les noms d'utilisateur, les configurations de routage et les mots de passe chiffrés (chiffrés via la clé de chiffrement privée) en clair.
  • Création de comptes d'administrateur privilégié
  • Téléchargement et exécution de scripts

Potentiel d'exploitation à grande échelle

Selon le catalogue des vulnérabilités exploitées connues du CISA, les acteurs de la menace ont historiquement utilisé des vulnérabilités Fortinet similaires pour obtenir un accès initial et se déplacer latéralement dans l'environnement d'une organisation.

Nous supposons donc également que les pirates continueront à exploiter activement cette vulnérabilité à court terme pour accéder à des informations sensibles, telles que le fichier de configuration du dispositif.

Cela est dû à la facilité d'exploitation, au potentiel de charge utile et d'exécution et à la prévalence des dispositifs Fortinet affectés dans les environnements d'entreprise.

 

 

Agir

Il s'agit d'une vulnérabilité majeure qui doit être traitée immédiatement.

Compte tenu de l'impact du processus de mise à jour ou de la complexité éventuelle d'autres mesures, nous sommes actuellement en train de contacter les clients pour convenir ou qui/quand effectuer la/les mise(s) à jour.

Veuillez noter que, si possible, effectuez d'abord les mises à niveau dans un environnement de test.

Mise à jour de FortiOS

Produit  Versions impactées  Versions fixes 
FortiOS  v7.2.0 à v7.2.2
v7.0.0 à v7.0.8
v6.4.0 à v6.4.10
v6.2.0 à v6.2.11 
v7.2.3 ou supérieur
v7.0.9 ou supérieur
v6.4.11 ou supérieur
v6.2.12 ou supérieur 
FortiOS-6K7K   v7.0.0 à v7.0.7
v6.4.0 à v6.4.9
v6.2.0 à v6.2.11
v6.0.0 à v6.0.14 
v7.0.8 ou supérieur
v6.4.10 ou supérieur
v6.2.12 ou supérieur
v6.0.15 ou supérieur 

Solution de rechange

Désactiver le SSL-VPN

Besoin d'aide ?

Contactez-nous dès que possible pour réparer cette fuite pour vous. Vous pouvez le faire par courrier à l'adresse suivante support@vanroey.be ou compter : 014 470 600. Vous pouvez également avoir un créer un ticket.

Pour l'instant, Microsoft ne propose aucun correctif officiel pour combler cette vulnérabilité, mais nous savons qu'elle est activement exploitée. Plus de détails sur cette vulnérabilité peuvent être trouvés à l'adresse suivante Ici : CVE-2022-30190.

Cependant, il existe un solution de contournement temporaire disponibles, que vous par ici peut être consulté.

  • Tout d'abord, vous devez désactiver le protocole URL de l'outil de diagnostic via le registre.
  • Les utilisateurs de Microsoft Defender Antivirus (MDAV) doivent activer la "protection fournie par le cloud" et la "soumission automatique d'échantillons".
  • Les utilisateurs de Microsoft Defender for Endpoint (MDE) peuvent également bénéficier d'une protection supplémentaire grâce au paramètre suivant : "Bloquer la création de processus enfants par toutes les applications Office".

Bien entendu, nous suivons cette situation de près et nous agirons aussi rapidement que possible lorsqu'un correctif sera disponible.

Si vous voulez utiliser notre expertise pour la solution de contournement n'hésitez pas à contacter votre responsable de compte.

À compter du 15 octobre 2022, VMware ne prendra plus en charge la version 6.x de vSphere. Afin de bénéficier d'un support complet (y compris les mises à jour), nous vous recommandons de mettre à niveau votre matériel dès que possible. Étant donné que tous les serveurs ne sont pas compatibles avec vSphere 7.0 ou une version ultérieure, le message est de commencer votre processus de migration à temps ! Surtout avec les délais de livraison actuels.

Quelle que soit votre situation, n'hésitez pas à contacter nos spécialistes si vous avez des questions ou des incertitudes. Nous nous ferons un plaisir d'examiner si la configuration idéale est sur site, en nuage ou hybride.

Les clients qui sont contactés par VanRoey.be par l'intermédiaire d'une Contrat de services gérés sont déjà couverts.

Nous souhaitons vous informer d'une mise à jour nécessaire de N-Central, l'outil chargé de surveiller votre environnement.

Par conséquent, notre Portail des services gérés du vendredi soir 18h au dimanche soir pas accessible. En raison de ce temps d'arrêt, la surveillance automatique ne sera pas possible pendant le week-end à venir.

En outre, cette mise à niveau n'a aucun impact sur votre environnement. Si vous avez des questions, n'hésitez pas à nous contacter :

Le week-end dernier, une grave vulnérabilité a été découverte dans l'outil de journalisation Java Log4j, largement utilisé. Cette vulnérabilité permet à des personnes non authentifiées d'injecter et d'exécuter du code arbitraire à distance.

  • Fortinet a déjà publié des mises à jour de signatures (voir la source pour plus d'informations) ;
  • Vos VCenters sont contrôlés et ne sont pas ouverts au monde extérieur ;
  • Pour certains autres logiciels (par exemple Ruckus Cloud), nous attendons un patch du fournisseur. Entre-temps, des mesures de sécurité supplémentaires ont été prises.

Si nous constatons que votre environnement nécessite des interventions supplémentaires ou des mises à jour, nous vous en informerons personnellement. Si vous avez des doutes ou des questions, n'hésitez pas à contacter notre service d'assistance.

Agir

Vérifiez auprès de vos fournisseurs de logiciels s'il existe encore des facteurs de vulnérabilité dans votre environnement.

Nos solutions

GNE