Planète Warez

La distribution Tails a reçu hier d’importants correctifs de sécurité au sein d’une mise à jour estampillée 6.11.

Plusieurs failles critiques sont colmatées. Elles ont été découvertes par des chercheurs de Radically Open Security dans Tails 6.10. Exploitées, elles peuvent permettre diverses actions, comme l’installation permanente de logiciels malveillants (via Tails Upgrader), de surveiller l’activité en ligne (Onion Circuits, Unsafe Browser, Tor Browser et Tor Connection) ou encore de modifier les paramètres de Persistent Storage.

Bien que les failles soient décrites comme critiques, elles nécessitent que les pirates aient déjà un pied dans le système, par l’exploitation d’une autre faille.

« Ces vulnérabilités ne peuvent être exploitées que par un attaquant puissant qui a déjà exploité une autre vulnérabilité pour prendre le contrôle d’une application dans Tails. Si vous voulez être très prudent et que vous avez beaucoup utilisé Tails depuis le 9 janvier sans faire de mise à jour, nous vous recommandons d’effectuer une mise à jour manuelle au lieu d’une mise à jour automatique », indique l’équipe de Tails dans un billet.

Tails 6.11 présente également quelques nouveautés plus pratiques. Elle permet ainsi une meilleure détection des erreurs de partitionnement sur les clés USB Tails, à cause « d’un matériel cassé ou contrefait, d’erreurs logicielles ou du retrait physique de la clé USB lorsque Tails est en cours d’exécution ». La distribution détecte maintenant plus tôt ces erreurs. « Par exemple, si des erreurs de partitionnement sont détectées alors qu’il n’y a pas de stockage persistant, Tails recommande de réinstaller ou d’utiliser une nouvelle clé USB », explique l’équipe.

Signalons aussi l’arrivée de Tor Browser 14.0.4 et Thunderbird 128.5.0 ESR, l’ajout d’un lien Tor Connection dans le menu de l’icône d’état sur le bureau, ou encore une option pour bloquer l’ouverture automatique du dernier document dans GNOME Text Editor.

Source : next.ink

@Raccoon

Tu installes un jeu cracké en le faisant soit via steamos (en ajoutant le setup dans la librairie steam puis tu le lances en n’oubliant pas de cocher une des librairies proton pour émuler tous ça ou soit tu lances l’installation via lutris ou un autre outil permettant de faire cela).
Une fois que tu as fait ça, t’es rodé pour faire ça avec toute ta bibliothèque (en + de ça, y’a un petit côté ludique ^^).

Pumakit, un rootkit récemment découvert, représente une menace sérieuse pour les serveurs Linux. Il agit discrètement pour compromettre les systèmes en manipulant leurs processus internes, rendant sa détection particulièrement difficile. En interceptant et en modifiant les appels système, il dissimule ses activités malveillantes, notamment l’exfiltration de données sensibles.

Comme sur ce schéma, le rootkit déploie Kitsune SO (lib64/libs.so). Il va agir en tant que rootkit utilisateur et s’injecte dans les processus à l’aide de LD_PRELOAD pour intercepter les appels système au niveau de l’utilisateur.

Plus d’information :

https://www.it-connect.fr/pumakit-un-nouveau-rootkit-qui-menace-les-serveurs-linux-en-toute-discretion/

Affaire à suivre … Merci du partage @Violence !

Merci pour le partage de cette info @Violence !

Très très sympa même si je penses que pas grand monde n’est prêt, que ce soit côté admin que côté client 😞

la faille de sécurité dans CUPS peut être utilisée pour amplifier des attaques DDoS

https://www.it-connect.fr/linux-la-faille-de-securite-dans-cups-peut-etre-utilisee-pour-amplifier-des-attaques-ddos/

Six après sa sortie, le système d’exploitation Zorin OS s’offre une solide mise à jour. La version 17.2 est arrivée, avec de belles améliorations de l’expérience de bureau et en termes de compatibilité.

Le système d’exploitation, qui se présente comme une alternative crédible à Windows et macOS et plus respectueuse de la vie privée, s’offre une importante mise à jour 17.2, publiée le 19 septembre 2024. 78 % des téléchargements viennent de plateformes propriétaires comme Windows et macOS. C’est dire l’engouement qui entoure ce système d’exploitation Linux grand public.

ZORIN OS : c’est quoi ?

Zorin OS est un système d’exploitation GNU/Linux basé sur la distribution Ubuntu fourni avec Wine et PlayOnLinux pour offrir une alternative à Windows et macOS. Son développeur est l’entreprise Zorin OS Technologies Limited, une entreprise basée en Irlande.

Zorin OS 17.2 : les nouveautés

Zorin OS 17.2 est basé sur même version du noyau Linux que celle utilisée dans la dernière version d’Ubuntu 24.04 LTS.  La nouvelle version comprend des pilotes mis à jour, ce qui offre un meilleur support du matériel récent, notamment :

Processeurs Intel Core Ultra Processeurs AMD Zen 5 (y compris les dernières puces Ryzen, Ryzen AI et EPYC) Cartes graphiques NVIDIA GeForce séries RTX 20, 30 et 40 Périphériques Logitech Plusieurs gamepads, y compris les manettes Nintendo Switch Online et Google Stadia, ainsi que la Lenovo Legion Go Claviers d’ordinateurs portables Lenovo, comme sur les modèles Lenovo V14, V15 et G14 AMN

Les derniers correctifs de sécurité sont également préinstallés sur l’ensemble du système. Cela signifie que vous pouvez avoir l’esprit tranquille en sachant que vous utilisez la version la plus sécurisée de Zorin OS jamais sortie.

Apparence et interface

Les développeurs ont apporté des ajouts et des améliorations à Zorin Appearance pour rendre votre un bureau encore plus personnalisé. Exemple : la possibilité de changer le thème du curseur. Zorin a également simplifié l’installation de thèmes supplémentaires en ajoutant un lien vers le nouveau guide d’installation de thèmes tiers directement dans Zorin Appearance. Ce guide inclut également des instructions pour appliquer des styles personnalisés aux applications natives libadwaita, rendu possible grâce à un patch de la bibliothèque d’interface dans Zorin OS 17.

Vous avez désormais un accès facile à une multitude de paramètres pour personnaliser le comportement des fenêtres d’applications sur le bureau Zorin. La nouvelle section « Windows » de Zorin Appearance a été soigneusement organisée et conçue pour simplifier la modification du comportement de placement des fenêtres, des actions de la barre de titre et du déplacement de l’attention entre les fenêtres ouvertes.

LibreOffice

LibreOffice est l’une des applications les plus essentielles de Zorin OS. La mise à jour inclut LibreOffice 24.8, la version la plus récente de la suite bureautique libre, avec meilleure compatibilité avec les documents Microsoft Office/365, un nouveau volet de notes de présentation sous les diapositives, des fonctions supplémentaires pour les feuilles de calcul (XLOOKUP, XMATCH, FILTER, RANDARRAY, SEQUENCE, SORT, SORTBY, UNIQUE et LET) et nombreuses autres améliorations.

Applications plus récentes

De nombreuses autres applications préinstallées sont également mises à jour dans Zorin OS 17.2 : vous aurez (donc) moins de mises à jour à télécharger après avoir installé Zorin OS sur votre ordinateur. Ajoutons le support intégré pour les paquets Flatpak, AppImage, et Snap.

Télécharger Zorin OS 17.1

Vous pouvez télécharger Zorin OS 17.2 gratuitement depuis la page de téléchargement du site officiel (Core, Pro, Education).

L’installation est possible sur la plupart des configurations Intel/AMD x86, mais pas encore sur les ordinateurs Apple dotés d’une puce Apple Silicon (M1, M2, M3, M4).

Vous pouvez effectuer une mise à jour simplement :

Si vous utilisez Zorin OS 17, vous pouvez passer à Zorin OS 17.2 en installant les dernières mises à jour via le Mise à jour de logiciels.

Si vous utilisez Zorin OS 16, vous pouvez effectuer une mise à niveau sur place vers Zorin OS 17.2 sans effacer vos fichiers et données. Pour cela, consultez notre guide de mise à niveau ›

Support étendu

Zorin OS 17.2 sera pris en charge par des mises à jour logicielles, des correctifs de sécurité et des mises à jour de pilotes jusqu’en juin 2027 au moins.

Passer à la version Pro

La version Pro coûte 47,99 € et permet d’obtenir des apparences de bureau premium (proches de macOS, Windows 11 ou ChromeOS), et par ailleurs des applications créatives ou de productivité.

La mise à jour vers Zorin OS 17.2 est également gratuite.

Source : goodtech.info

La semaine dernière, Wedson Almeida Filho, l’un des principaux collaborateurs du projet Rust for Linux, a décidé d’arrêter de travailler sur l’intégration de ce langage dans le noyau libre. En cause, son « manque d’énergie et d’enthousiasme » face à des problèmes qui, selon lui, relèvent d’ « absurdités non techniques », confirmant les difficultés de relations humaines qui entourent la gestion du noyau Linux.

Wedson Almeida Filho, l’un des responsables de l’équipe chargée d’encadrer l’utilisation du langage Rust dans le noyau Linux, a annoncé son départ la semaine dernière sur la liste de discussion du projet. Cet ingénieur de Microsoft explique qu’ « après presque 4 ans, [il n’a] plus l’énergie et l’enthousiasme qu’[il avait] autrefois pour répondre à certaines des absurdités non techniques ».

Ce langage est de plus en plus utilisé dans des projets critiques pour assurer une gestion de la mémoire plus robuste. La DARPA l’utilise par exemple, ayant pour ambition d’éliminer « une fois pour toutes les vulnérabilités liées à la sécurité de la mémoire » et a même lancé un projet pour traduire automatiquement le code C en Rust. La Maison-Blanche exhorte même les développeurs à se mettre au Rust.

Une intégration qui prend du retard

Débuté en 2020, le projet Rust for Linux a pour ambition d’aider à augmenter encore la sécurité du noyau le plus connu du logiciel libre. En avril 2021, travaillant alors dans l’équipe Android de Google, Wedson Almeida Filho affirmait dans un billet de blog : « nous pensons que Rust est maintenant prêt à rejoindre le langage C en tant que langage pratique pour l’implémentation du noyau. Il peut nous aider à réduire le nombre de bugs potentiels et de vulnérabilités de sécurité dans le code privilégié, tout en s’intégrant proprement avec le noyau central et en préservant ses caractéristiques de performances ».

Mais il a fallu attendre fin 2023 pour que le langage s’insère pour la première fois dans la version 6.8 du noyau via un driver réseau, comme l’expliquent le chercheur Hongyu Li et ses collègues, dans une étude de l’intégration du langage dans le noyau publiée début juillet. Linus Torvalds, le créateur de Linux et toujours responsable de son développement, avait pourtant annoncé cette intégration pour la version 6.1.

Altercation virulente entre développeurs C et Rust

Mais ce retard ne mine pas la confiance de Wedson Almeida Filho dans l’utilité de Rust pour écrire des noyaux robustes. Au contraire, il affirme dans son message : « je crois vraiment que l’avenir des noyaux passe par des langages à mémoire sécurisée ». Il ajoute même que Linux pourrait se faire dépasser par d’autres noyaux : « je ne suis pas un visionnaire, mais si Linux n’intériorise pas cela, je crains qu’un autre noyau ne lui fasse ce qu’il a fait à Unix ».

Wedson Almeida Filho intègre aussi dans son message un lien vers une

filmée en mai lors de la conférence Linux Storage, Filesystem, Memory-Management, and BPF Summit. Le passage qu’il pointe montre une discussion difficile entre l’ingénieur et un de ses collègues, Ted Ts’o, qui l’accuse de vouloir « convaincre tous les autres de s’orienter vers une religion promue par Rust ».

« Et la réalité, c’est que ça ne va pas arriver, car nous avons plus de 50 systèmes de fichiers dans Linux qui ne vont pas être convertis immédiatement en Rust. Avant ça, nous allons continuer à réécrire du code C, car nous voulons que le code en C soit meilleur », argumentait le second. Il avait ajouté : « vous n’allez pas tous nous forcer à apprendre Rust ».

Des développeurs Rust solidaires

Comme l’a repéré ArsTechnica, la développeuse Asahi Lina (responsable du projet Asahi Linux) a partagé un avis similaire à celui de Filho en le soutenant : « je comprends malheureusement tout à fait les frustrations de Wedson ».

Elle évoque son expérience lorsqu’elle a voulu proposer des modifications au Direct Rendering Manager(DRM) de Linux : « lorsque j’ai essayé d’apporter en amont des corrections mineures au code C pour rendre le comportement plus robuste et les exigences de durée de vie plus raisonnables, le mainteneur l’a bloqué et a dit que je devais simplement faire “ce que font les autres pilotes” ». Elle ajoute qu’ « un sous-ensemble de développeurs du noyau C semble déterminé à rendre la vie des mainteneurs de Rust aussi difficile que possible ».

« À ce jour, des bugs dans l’ordonnanceur du DRM ont été les seules causes de kernel panics déclenchées par le pilote de mon GPU Apple en production […] », explique Asahi Lina, « parce que je code en Rust ».

Dans un billet de blog, Drew DeVault, le fondateur de la plateforme d’outils open source Source Hut, suggère aux développeurs Rust de développer un noyau compatible Linux à partir de zéro. Ceci devrait, selon lui, les libérer des batailles politiques des mailing lists du noyau Linux. Celles-ci seraient plus un « far west » qu’un milieu « enthousiaste et prêt à accueillir en son sein des innovateurs motivés pour faciliter cet impact ».

Constat désemparé de Linus Torvalds

Ce n’est pas le premier conflit interpersonnel à surgir dans le projet du noyau Linux. Linus Torvalds a lui-même installé pendant longtemps un climat brutal dans ses conversations, qu’elles soient internes ou externes. En 2018, il avait envoyé un message d’excuses.« Je vais prendre du temps pour moi et demander de l’aide pour comprendre les émotions des autres et comment y répondre de manière appropriée », annonçait-il.

Torvalds expliquait à Zdnet au mois d’aout : « je m’attendais à ce que les mises à jour soient plus rapides, mais le problème réside en partie dans le fait que les développeurs de noyau de longue date sont habitués au C et ne connaissent pas Rust. Ils ne sont pas vraiment enthousiastes à l’idée de devoir apprendre un nouveau langage qui est, à certains égards, très différent. Il y a donc eu des réactions négatives à l’égard de Rust ». Il ajoutait cependant qu’ « une autre raison est que l’infrastructure Rust elle-même n’a pas été très stable ».

L’un des membres de la Rust core team, Steve Klabnik, a commenté sur Bluesky : « des responsables du noyau Linux se comportent si mal que d’autres abandonnent. Windows se contente de livrer discrètement du code Rust. Nous verrons comment tout cela va se dérouler… »

Source : next.ink

La dernière mouture LTS (Long Term Support) d’Ubuntu a reçu il y a quelques jours son noyau « temps réel », qui « réduit la latence par rapport à Linux principal et améliore la capacité du système à gérer efficacement les opérations urgentes ».

Comme Ubuntu 22.04 avant elle, ce nouveau noyau Linux est réservé aux personnes inscrites à Ubuntu Pro, gratuit pour une utilisation personnelle ou commerciale si limitée à cinq appareils.

Ce noyau particulier est basé sur la version 6.8 et y ajoute notamment les modifications PREEMPT_RT pour les architectures AMD64 et ARM64. Il contient également des optimisations pour le matériel Raspberry Pi.

« Avec des réponses limitées dans le temps pour les exigences de latence critiques, Real-time Ubuntu 24.04 LTS fournit un traitement déterministe aux charges de travail les plus exigeantes dans tous les secteurs, de la fabrication à l’automobile en passant par l’infrastructure critique des opérateurs télécoms », indique Canonical.

Si vous bénéficiez de l’abonnement Ubuntu Pro, il suffit d’exécuter une commande pour activer le nouveau noyau :

pro attach pro enable realtime-kernel

Si vous souhaitez l’activer sur un Raspberry Pi, il faudra ajouter « --variant=raspi » à cette même commande.

Notez que ce noyau est conçu pour des besoins spécifiques. Il n’est pas utile pour un usage standard.

Source : next.ink

=> Tour des nouveautés d’Ubuntu 24.04 LTS

Nouvelle mouture pour le noyau Linux, qui passe en version 6.9. Les améliorations sont nombreuses, particulièrement pour le support matériel. On note aussi un meilleur support des écrans 4K et un démarrage plus rapide dans certains cas.

Les noyaux Linux fournissent l’essentiel du support matériel dans les distributions. On peut bien sûr installer des pilotes dédiés (c’est même souvent le cas avec les GPU NVIDIA), mais c’est bien au « kernel » d’assurer l’exploitation du matériel dans l’immense majorité des cas. Aussi, l’arrivée d’un nouveau noyau permet souvent le support de matériels récents.

Le noyau 6.9 ne fait pas exception et ajoute de nouveaux éléments, notamment pour Intel et AMD.

Du côté des processeurs

L’une des principales améliorations concerne les processeurs Zen et la fonction Preferred Core. Celle-ci permet d’orienter certaines tâches vers les cœurs les plus puissants du processeur, le système communiquant avec l’ordonnanceur pour répartir la charge.

Ce support était attendu pour le noyau 6.8 mais n’avait pas eu le temps d’être finalisé. Pour en profiter, il faut que le pilote P-State d’AMD soit installé. Cet ajout est d’autant plus important qu’AMD fournit un nombre croissant de processeurs comprenant des cœurs performants (Zen4) et des cœurs efficaces (Zen4c).

Restons chez AMD avec deux autres nouveautés. D’abord, une meilleure prise en compte de SEV-SNP, l’une des fonctions dévolues à la sécurité cryptographique dans le pack SEV, qui comprend également SEV-ES. Ces fonctions sont présentes dans les puces EPYC et devraient être toutes gérées dans le noyau 6.10. Ensuite, le support du FRU Memory Poison Manager, qui permet aux informations sur les erreurs en mémoire vive de persister entre les redémarrages.

Côté Intel, on note une série de correctifs pour les processeurs Meteor Lake destinés aux ordinateurs portables. Les paramètres Energy Performance Preference ont été ajustés, avec à la clé de meilleures performances. Signalons aussi l’intégration d’Intel FRED (Flexible Return and Event Delivery), dont la mission est de permettre des transitions entre les niveaux de privilèges avec une latence faible.

Enfin, un support plus étendu des instructions x86S, lancées pour rappel il y a un an pour simplifier l’architecture x86 et supprimer le support des systèmes 16 et 32 bits.

Améliorations graphiques

L’un des plus gros apports du noyau Linux 6.9 est la prise en charge de polices plus grandes dans FBDEV (frame-buffer device). La largeur maximale passe à 64 et la hauteur à 128. Cela ne vous évoque peut-être rien, mais ce changement permet un bien meilleur support des écrans haute définition, notamment 4K, en cas d’utilisation de la console.

Plusieurs autres améliorations sont présentes, notamment pour le pilote i915 d’Intel, le support du tunneling DisplayPort, ou encore celui de fastboot pour les anciennes plateformes.

Processeurs ARM, stockage et autres

Comme toujours, le nouveau noyau propose des ajouts significatifs dans le support de certaines architectures ARM et autres. C’est le cas de RISC-V qui y gagne entre autres la prise en charge des routines cryptographiques à accélération vectorielle.

L’architecture LoongAarch reçoit certaines attentions, elle aussi, dont le support d’objtool, du live-patching (pour appliquer les correctifs du noyau sans redémarrer la machine) ainsi que des fonctions supplémentaires pour la configuration du noyau. Plusieurs nouveautés aussi pour ARM64, dont le support de la compilation Rust dans le noyau.

Côté stockage, signalons l’arrivée d’une grosse nouveauté : la gestion du mode FUSE passthrough. En clair, les opérations de lecture et écriture sont transmises directement par le noyau au système de fichiers de l’espace utilisateur, avec à la clé une amélioration des performances du FS, en évitant de surcharger le daemon. On note aussi des améliorations significatives dans le support de l’exFAT, dont une nette augmentation des performances quand l’option dirsync est activée.

Disponibilité du noyau 6.9

La récupération du nouveau noyau diffère selon la distribution utilisée. Dans la plupart des cas, les distributions classiques (Ubuntu, Fedora…) attendant la version majeure suivante pour livrer une évolution importante du noyau. Dans ce genre de cas, il est conseillé d’attendre, même si des outils permettent le téléchargement et l’installation du nouveau noyau dans sa version générique.

Les autres distributions, en rolling release, proposent déjà ce noyau ou vont le faire très prochainement.

Source : next.ink

Je crois qu’une IA à plantée

Vous êtes-vous déjà demandé ce que vos applications faisaient dans votre dos ? Quelles données elles envoyaient sur Internet à votre insu ? Je suis sûr que oui !

C’est pourquoi, si vous êtes soucieux de votre confidentialité et de la sécurité de vos informations, il est temps de faire connaissance avec OpenSnitch, le pare-feu interactif qui va vous permettre de mieux sécuriser et gérer les connexions sur votre ordinateur Linux.

Inspiré du célèbre Little Snitch sur macOS, OpenSnitch agit comme un garde-fou en vous alertant chaque fois qu’un programme tente d’établir une connexion sortante. Comme ça, plus besoin de laisser les applications communiquer sans votre consentement, vous avez le contrôle !

OpenSnitch utilise évidemment iptables couplé à NFQUEUE et ftrace présent par défaut dans le noyau pour détecter et alerter l’utilisateur d’un poste client Linux que quelque chose ne tourne pas rond. Top pour détecter les trucs louches comme l’exploitation d’une faille ou une fuite de données.

L’interface d’OpenSnitch est simple à prendre en main. Lorsqu’une application essaie d’accéder à Internet, une pop-up apparaît, vous donnant toutes les informations nécessaires pour prendre votre décision : le nom de l’application, l’adresse IP et le port de destination, et même le chemin de l’exécutable. Vous pouvez alors choisir d’autoriser ou de bloquer la connexion, de manière ponctuelle ou permanente.

OpenSnitch ne se contente pas de filtrer les connexions puisqu’il vous permet également de garder un œil sur l’activité réseau de votre système. Via son interface graphique, vous pourrez consulter l’historique des connexions, voir quelles applications communiquent le plus, et même exporter les données pour une analyse plus poussée.

Pour l’installer sous Ubuntu, récupérez les .deb ici et lancez la commande :

sudo apt install ./opensnitch*.deb ./python3-opensnitch-ui*.deb

Et pour le lancer :

opensnitch-ui

OpenSnitch est disponible dans les dépôts de la plupart des distributions Linux, et son installation se fait en quelques commandes. Vous pouvez même l’essayer dans une machine virtuelle pour vous faire une idée avant de l’adopter sur votre système principal.

–> Plus d’infos ici !

– Source :

https://github.com/evilsocket/opensnitch

https://korben.info/opensnitch-clone-firewall-little-snitch-gnulinux.html

Un chercheur en sécurité a identifié un nouveau logiciel malveillant destructeur de données, nommé AcidPour, et qui cible les équipements réseau ainsi que des appareils avec un système Linux. Voici ce que l’on sait sur cette menace.

AcidPour, qui est considéré comme une variante du malware AcidRain, est, ce que l’on appelle un “data wiper”, c’est-à-dire un malware dont l’unique but est de détruire les données présentes sur l’appareil infecté. Autrement dit, le malware AcidPour est destiné à effectuer des actes de sabotages. D’ailleurs, AcidRain a été utilisé dans le cadre d’une cyberattaque contre le fournisseur de communications par satellite Viasat, ce qui avait eu un impact important sur la disponibilité des services en Ukraine et en Europe.

Le malware AcidPour quant à lui, a été identifié par Tom Hegel, chercheur en sécurité chez SentinelLabs, et il a été téléchargé depuis l’Ukraine le 16 mars 2024. Il présente plusieurs similitudes avec AcidRain, notamment au sein des chemins pris pour cible sur les machines infectées. Néanmoins, les deux malwares ont uniquement 30% de code source en commun. AcidPour pourrait être une variante beaucoup plus évoluée et puissante qu’AcidRain, grâce à la “prise en charge” de la destruction de données sur une plus grande variété d’appareils.

AcidPour est un malware destructeur de données capable de s’attaquer à des équipements réseau, notamment des routeurs, mais aussi des appareils avec une distribution Linux embarquée (Linux x86). Par exemple, il pourrait s’agir de cibler des NAS dont le système est basé sur Linux, car le malware s’intéresse aux chemins de type "/dev/dm-XX.

Sur X (ex-Twitter), Rob Joyce, directeur de la cybersécurité de la NSA, affiche une certaine inquiétude vis-à-vis de ce logiciel malveillant :

Il s’agit d’une menace à surveiller. Mon inquiétude est d’autant plus grande que cette variante est plus puissante que la variante AcidRain et qu’elle couvre davantage de types de matériel et de systèmes d’exploitation.

Enfin, sachez que SentinelLabs a partagé un échantillon de ce malware sur VirusTotal, et vous pouvez le retrouver sur cette page publique.

– Sources :

https://www.bleepingcomputer.com/news/security/new-acidpour-data-wiper-targets-linux-x86-network-devices/

https://www.it-connect.fr/acidpour-un-malware-destructeur-de-donnees-qui-cible-linux-et-les-equipements-reseau/

Cela fait déjà plusieurs années que Wayland a débarqué, notamment sur Ubuntu. Bien que ça soir une excellente avancé pour Linux j’avais été embêté car VNC ne supportait pas encore Wayland, depuis cela a été résolu et pour quasi tous les usages les plus courant il est parfaitement opérationnel.

Une nouvelle faille de sécurité critique a été découverte dans une bibliothèque très populaire puisque présente dans de nombreuses distributions Linux : GNUC C (glibc). En l’exploitant, un attaquant peut obtenir un accès root sur la machine. Voici ce qu’il faut savoir.

Les chercheurs en sécurité de chez Qualys ont mis en ligne un nouveau rapport dans lequel ils évoquent la découverte de 4 vulnérabilités dans la bibliothèque GNU C.

Celle qui est particulièrement dangereuse, c’est la faille de sécurité associée à la référence CVE-2023-6246 est présente dans la fonction “__vsyslog_internal()” de la bibliothèque glibc. Cette fonction est très utilisée par les distributions Linux par l’intermédiaire de syslog et vsyslog afin d’écrire des messages dans les journaux.

Cette vulnérabilité de type “heap-based buffer overflow” permet une élévation de privilèges sur une machine locale sur laquelle un attaquant à déjà accès avec un compte utilisateur standard. Ainsi, il peut élever ses privilèges pour devenir root (“super administrateur”) sur cette machine. De nombreuses distributions populaires sont vulnérables, comme le précise le rapport de Qualys :

Les principales distributions Linux telles que Debian (versions 12 et 13), Ubuntu (23.04 et 23.10) et Fedora (37 à 39) sont confirmées comme étant vulnérables.

Pour Debian, rendez-vous sur cette page pour obtenir la liste des versions où cette vulnérabilité a été corrigée.

Il est à noter que cette vulnérabilité a été introduite dans la bibliothèque GNU C en août 2022, au sein de glibc 2.37. Par ailleurs, elle a été accidentellement intégrée dans la version 2.36 de glibc lorsque les développeurs ont intégré un correctif pour une autre vulnérabilité : CVE-2022-39046. Par ailleurs, la fonction “qsort()” de glibc contient une vulnérabilité qui affecte toutes les versions de la 1.04 (septembre 1992) à la version 2.38, qui est la plus récente.

L’occasion pour Qualys de rappeler l’importance de la sécurité des bibliothèques populaires :

Ces failles soulignent le besoin critique de mesures de sécurité strictes dans le développement de logiciels, en particulier pour les bibliothèques de base largement utilisées dans de nombreux systèmes et applications.

Ces dernières années, Qualys a fait la découverte de plusieurs failles de sécurité importantes au sein de Linux, notamment Looney Tunables et PwnKit.

– Sources

https://www.it-connect.fr/linux-acces-root-faille-critique-glibc-cve-2023-6246/

https://www.bleepingcomputer.com/news/security/new-linux-glibc-flaw-lets-attackers-get-root-on-major-distros/

@Violence je m’en occuperai ce soir.

Pas mal, pas mal 🙂

Les pirates de Kinsing exploitent la faille Looney Tunables pour compromettre des instances Cloud

La faille de sécurité Looney Tunables présente dans une bibliothèque du noyau Linux semble intéresser certains cybercriminels. En effet, des pirates associés au groupe Kinsing ont été repérés en train de tenter d’exploiter cette vulnérabilité pour compromettre des environnements Cloud. Voici ce que l’on sait.

Pour rappel, la vulnérabilité Looney Tunables (référence CVE-2023-4911) a été découverte par les chercheurs en sécurité de chez Qualys et elle se situe dans la bibliothèque C du projet GNU : glibc. Cette bibliothèque est intégrée dans le noyau Linux. Quant à cette vulnérabilité, elle a été introduite dans la bibliothèque glibc en avril 2021 (dans glibc 2.34). En l’exploitant, un attaquant peut élever ses privilèges et devenir root sur la machine.

Dans un rapport partagé par l’entreprise Aqua, nous pouvons lire ce qui suit :

En utilisant une attaque rudimentaire mais typique d’exploitation d’une vulnérabilité dans PHPUnit, une étape de la campagne en cours de Kinsing, nous avons découvert les efforts manuels de l’acteur malveillant pour manipuler la vulnérabilité Looney Tunables (CVE-2023-4911).

Le groupe Kinsing à l’habitude d’utiliser une faille critique dans PHPUnit (CVE-2017-9841) permettant une exécution de code à distance. Elle leur permet d’avoir un accès initial à la machine cible. Ensuite, leur objectif est d’exploiter la vulnérabilité Looney Tunables pour élever leur privilège.

Dans le cas présent, les attaquants ont effectué des actions manuelles, notamment à l’aide d’un exploit codé en Python. Pas n’importe lequel puisque Kinsing récupère un exploit publié par un utilisateur surnommé @bl4sty. Sur son site, @bl4sty explique qu’il s’agit d’un “exploit d’escalade des privilèges locaux de Linux” ciblant la vulnérabilité Looney Tunables.

Habituellement, le groupe Kinsing cherche plutôt à compromettre des machines pour lancer un mineur de cryptomonnaie. Ici, les motivations sont différentes. En effet, les cybercriminels ont cherché à extraire les informations d’identifiants (credentials) du fournisseur de services Cloud afin d’effectuer d’autres actions par la suite. Dans le cas présenté par Aqua, il s’agissait d’une tentative de compromission à l’encontre d’une instance AWS (Cloud Amazon).

L’opération Kinsing pourrait se diversifier et s’intensifier dans un avenir proche, posant ainsi une menace accrue pour les environnements cloud-native.

précise le rapport d’Aqua.

– Source

https://www.it-connect.fr/les-pirates-de-kinsing-exploitent-la-faille-looney-tunables-pour-compromettre-des-instances-cloud/

Détails de l’attaque

Contrairement à leur habitude, Kinsing a testé manuellement la dernière attaque, probablement pour s’assurer qu’elle fonctionne comme prévue avant de développer des scripts d’exploitation pour automatiser la tâche.

– Exploitation de la faille CVE-2017-9841 (AquaSec)

L’exploitation de la faille PHPUnit (CVE-2017-9841) conduit à ouvrir un shell inversé sur le port 1337 sur le système compromis, que les opérateurs de Kinsing exploitent pour exécuter des commandes de reconnaissance comme uname -a et passwrd

– Ouverture d’un Shell inversé (AquaSec)

De plus, les attaquants déposent un script nommé gnu-acme.py sur le système, qui exploite la faille CVE-2023-4911 pour l’élévation de privilèges.

L’exploit de Looney Tunables est récupéré directement auprès du dépositaire du chercheur qui a sorti un PoC, sensible de cacher leurs traces.

Les attaquants téléchargent également un script PHP, qui déploie une backdoor JavaScript 'wesobase.js) qui prend en charge les étapes d’attaque suivantes.

– Payload JS

Plus précisément, la backdoor offre aux attaquants la possibilité d’exécuter des commandes, d’effectuer des actions de gestion de fichiers, de collecter des informations sur le réseau et le serveur, et d’exécuter des fonctions de chiffrement / déchiffrement.

– Collecte d’informations AWS

L’environnement de bureau GNOME est affecté par une faille de sécurité importante présente dans une bibliothèque qu’il utilise. En exploitant cette vulnérabilité, un attaquant peut exécuter du code arbitraire sur la machine Linux. Faisons le point.

GNOME est un environnement de bureau populaire pour les distributions Linux, et c’est une alternative à XFCE, KDE, etc… Il est utilisé (ou proposé) au sein de distributions Linux populaires comme Ubuntu, Debian ou encore Red Hat Enterprise Linux.

La faille de sécurité qui impacte GNOME est présente dans la bibliothèque “libcue” intégrée à l’outil d’indexation de métadonnées de fichiers Tracker Miners. Ce dernier est intégré dans les dernières versions de GNOME. En fait, libcue sert à analyser les fichiers de type “cue sheets” qui contiennent les métadonnées d’un CD ou d’un DVD (nom de la piste, durée de la piste, artiste, etc.).

La faille de sécurité CVE-2023-43641 est de type “1-click RCE” c’est-à-dire qu’elle permet une exécution de code en un seul clic puisqu’il suffit que l’utilisateur clique sur un lien malveillant pour que du code soit exécuté sur la machine Linux.

Kevin Backhouse, qui a fait la découverte de cette vulnérabilité, a mis en ligne de nombreux détails techniques sur son GitHub.

Il précise : “Parfois, une vulnérabilité dans une bibliothèque apparemment inoffensive peut avoir un impact important.” - Dans une démonstration, on voit qu’il clique sur un lien Web correspondant à un fichier “.cue” et le code est exécuté dès la fin du téléchargement du fichier, car le fichier est immédiatement indexé par Tracker Miners. D’autres formats sont pris en charge par cet indexeur : HTML, JPEG, PDF, etc…

Il y a un réel risque vis-à-vis de cette vulnérabilité et Kevin Backhouse est clair : “Si vous utilisez GNOME, mettez à jour dès aujourd’hui !”. Actuellement son exploit PoC complet n’est pas accessible publiquement, mais il sera mis en ligne par la suite.

La semaine dernière, une autre vulnérabilité baptisée Looney Tunables a été découverte dans Linux. Elle permet de devenir “root” sur une machine locale.

– Source

https://www.it-connect.fr/linux-avec-gnome-cette-faille-permet-une-execution-de-code-avec-un-simple-telechargement-de-fichier/