Attachez-vous pour plus de folie Log4j

C’est comme ressentir le monde a beaucoup de boîtes de Pandore ouvertes à la fois en ce moment. La semaine dernière, une autre crise est apparue avec la divulgation d’une vulnérabilité dans la bibliothèque de journalisation Apache open source largement utilisée Log4j. Depuis lors, les administrateurs système, les intervenants en cas d’incident et les gouvernements se sont efforcés d’installer des correctifs et de réduire la menace. Le bogue est simple à exploiter pour les attaquants et peut conduire à une prise de contrôle complète du serveur. Les correctifs sont à la hausse, mais Apache a dû publier des correctifs supplémentaires qui doivent maintenant être installés. Après quelques sondages préliminaires et exploitation par des attaquants du monde entier, les défenseurs se préparent à une prochaine vague brutale. Et ils disent que les systèmes vulnérables se cacheront dans les réseaux pendant des années, attendant juste d’être découverts et exploités.

Pendant ce temps, les chercheurs ont fait exploser l’industrie de la surveillance pour la location cette semaine alors que Meta a supprimé l’infrastructure sur ses plates-formes de sept entreprises qui avaient ciblé plus de 50 000 des utilisateurs de l’entreprise et d’autres. Et Project Zero de Google a effectué une analyse technique approfondie de l’exploit ForcedEntry iOS de NSO Group, soulignant à quel point les outils de piratage d’une organisation privée peuvent être sophistiqués. WIRED a également examiné les tactiques de croissance du plus grand site d’abus de deepfake au monde qui utilise l’IA pour générer de fausses images de nu.

Avec tout ce piratage ciblé et cette désinformation qui circulent, consultez le guide de WIRED pour vous défendre contre les attaques de « smishing » ou de phishing par SMS déployées par tout le monde, des pirates les plus élites aux spammeurs ordinaires.

Et il y a plus. Chaque semaine, nous rassemblons toutes les nouvelles sur la sécurité que WIRED n’a pas couvertes en profondeur. Cliquez sur les titres pour lire les histoires complètes.

La Cybersecurity and Infrastructure Security Agency du Department of Homeland Security a publié vendredi une directive d’urgence selon laquelle toutes les agences civiles fédérales doivent évaluer leurs systèmes et appliquer des correctifs et d’autres mesures d’atténuation liés à la vulnérabilité Log4j d’ici le 23 décembre. L’ordonnance exige également que les agences fournissent à la CISA une comptabilité avant le 28 décembre des noms et des versions de tous leurs systèmes concernés et des détails sur les protections qu’ils ont mises en place pour chaque application.

« La CISA a déterminé que cette vulnérabilité pose un risque inacceptable pour les agences de l’exécutif fédéral civil et nécessite une action d’urgence », a écrit la CISA dans la directive. « Cette détermination est basée sur l’exploitation actuelle de cette vulnérabilité par des acteurs de la menace dans la nature, la probabilité d’une exploitation supplémentaire de la vulnérabilité, la prévalence du logiciel affecté dans l’entreprise fédérale et le potentiel élevé de compromission des systèmes d’information de l’agence. . « 

L’Office des brevets et des marques a mis hors ligne l’accès externe à ses systèmes pendant 12 heures à partir de mercredi soir par mesure de précaution en réponse à la vulnérabilité Log4j. La CISA affirme qu’il n’y a pas de compromis Log4j confirmé des réseaux civils fédéraux et que jusqu’à présent, aucune autre agence n’a procédé à des fermetures comme celle du Bureau des brevets. Mais le retrait temporaire reflète le risque extrême et l’urgence de corriger la faille. Le secrétaire à la Sécurité intérieure, Alejandro Mayorkas, a déclaré jeudi qu’il était « extraordinairement préoccupé » par la vulnérabilité.

Après une enquête menée le mois dernier par Reveal du Center for Investigative Reporting et WIRED, les législateurs ont appelé à la fois à une enquête de la Federal Trade Commission sur la protection des données de mauvaise qualité d’Amazon et à une loi fédérale sur la confidentialité. Le rapport de WIRED et Reveal a montré qu’Amazon avait laissé de nombreux employés internes rechercher les commandes des clients à volonté, et qu’une société de données en Chine avait probablement eu accès aux données personnelles de millions de clients, entre autres défaillances. Amazon a déclaré que ces incidents ne reflètent pas les pratiques actuelles. Mais les sénateurs Ron Wyden (D-Oregon) et Jon Tester (D-Montana), ainsi que plusieurs représentants, ont souligné la série d’échecs comme preuve que les entreprises américaines doivent faire plus pour protéger les données de leurs clients.

L’ancien sous-traitant de la défense John Murray Rowe Jr. a été arrêté mercredi pour espionnage après que le ministère de la Justice a déclaré qu’il aurait « tenté de fournir des informations classifiées de défense nationale au gouvernement russe ». Rowe, 63 ans, encourt une peine maximale de prison à vie s’il est reconnu coupable. Il aurait travaillé comme ingénieur d’essai pour plusieurs sous-traitants de la défense au cours d’une carrière de 40 ans et aurait détenu diverses habilitations de sécurité tout au long de cette période, de « Secret » à « Top secret » et « Informations compartimentées sensibles ». Entre autres choses, Rowe a travaillé sur la technologie aérospatiale pour l’Air Force. Une série de violations de la sécurité qui montraient une allégeance potentielle à la Russie a conduit les responsables à identifier Rowe comme une menace d’initié et à le licencier en tant qu’entrepreneur en 2018. À partir de là, le FBI a ouvert une enquête et, en mars 2020, Rowe aurait rencontré un FBI infiltré. employé se faisant passer pour un fonctionnaire du gouvernement russe. Les procureurs disent que lui et l’agent infiltré ont correspondu dans plus de 300 e-mails au cours desquels Rowe a révélé qu’il serait prêt à travailler pour le gouvernement russe pour discuter de son travail antérieur et voler des secrets américains.

La police française a arrêté un homme non identifié du sud-est de la France pour avoir prétendument blanchi des paiements de ransomware s’élevant à plus de 21,4 millions de dollars. Les autorités n’ont pas nommé le ou les gangs de ransomware avec lesquels il est accusé de collaborer. L’action fait suite à un effort mondial concerté pour dissuader les attaques de ransomware et tenir les auteurs responsables.