Lucian Constantin

1 month ago | lemondeinformatique.fr | Lucian Constantin

Après une faille critique touchant les VPN Ivanti exploitée en janvier dernier, Ivanti doit encore affronter un autre gros souci de sécurité. Le fournisseur a averti ses clients qu'une autre faille affectant ses appliances VPN et d'autres produits a déjà été exploitée par un groupe APT chinois. La faille avait été initialement signalée par l'éditeur comme un problème de déni de service, mais les attaquants ont trouvé le moyen de l'exploiter pour exécuter du code à distance.

1 month ago | lemondeinformatique.fr | Lucian Constantin

L’écosystème npm fait souvent l’objet d’attaques par des cybercriminels et les chercheurs en cybersécurité travaillent dessus pour dénicher des failles. C’est le cas des experts de la société ReversingLabs qui ont trouvé une technique de persistance dans les paquets malveillants hébergés sur le dépôt npm. Les cybercriminels peuvent ainsi créer une porte dérobée dans les paquets officiels installés dans les environnements locaux des victimes. Cette tactique...

1 month ago | lemondeinformatique.fr | Lucian Constantin

Le projet Kubernetes (de la CNCF) a publié des correctifs pour cinq vulnérabilités dans un composant populaire largement utilisé Ingress Nginx Controller servant à acheminer le trafic externe vers les services Kubernetes. Si elle est exploitée, un des failles pourraient permettre à des attaquants de prendre complètement le contrôle de clusters de conteneurs entiers.

1 month ago | lemondeinformatique.fr | Lucian Constantin

Régulièrement des brèches de sécurité sont découvertes dans les BMC (baseboard management controller). Il s’agit microcontrôleur indépendant présent sur les cartes mères des serveurs qui permet une gestion de secours. Les BMC s'apparentent à de petits ordinateurs qui exécutent leur propre firmware, indépendamment de l'ordinateur principal, en l’occurrence le serveur lui-même. En l’espèce, des chercheurs ont trouvé une faille critique dans le BMC MegaRAC...

2 months ago | securityboulevard.com | Patrick Nohe |Krupa Patil |Lucian Constantin

NIST Releases New Report on Crypto-Agility – What You Need to Know Now | | crypto-agility, NIST, Post-Quantum Cryptography, PQC migration, PQC readiness, SHA-1 to SHA-2, TLS 1.1, TLS 1.2, TLS 1.3If you’re keeping up with post-quantum cryptography (PQC), here’s some big news: The U.S. National Institute of Standards and Technology (NIST) has released a fresh initial public draft of a Cybersecurity Whitepaper ...