Forefront Aperçu : Nouvelle attaque DoS HTTP/2

Dans la mise à jour de Forefront Insights de cette semaine, nous allons explorer quelques-unes des nouvelles importantes dans le monde de la cybersécurité, qui nous ont une fois de plus rappelé la nature persistante et évolutive des cyber-attaques ciblant les organisations. Qu'il s'agisse d'attaques sophistiquées visant à faire tomber des serveurs web ou de vulnérabilités critiques dans des plateformes largement utilisées, les développements de la semaine dernière soulignent l'importance de la vigilance et de mesures de cybersécurité robustes.

Nouvelle attaque DoS HTTP/2

Des chercheurs ont découvert une attaque par déni de service (DoS) appelée "CONTINUATION Flood", qui exploite le protocole HTTP/2 et peut mettre hors service des serveurs web avec une seule connexion. Cette méthode d'attaque manipule les complexités et les améliorations inhérentes au protocole HTTP/2, conçu pour rendre les communications web plus efficaces, qui a été publié en 2015 et est, au moment de la rédaction de cet article, utilisé par environ 63 % du trafic mondial, selon Cloudflare Radar.

En envoyant une série de requêtes malveillantes, un pirate peut épuiser les ressources du serveur, provoquant des perturbations ou des interruptions complètes du service.

Cette vulnérabilité montre clairement que les administrateurs de serveurs doivent rester vigilants et s'assurer que leurs serveurs web sont protégés par un pare-feu d'application web, qui peut empêcher ces attaques. Sur Forefront, nous travaillons en étroite collaboration avec Cloudflare, le leader mondial de l'atténuation des attaques DDoS, pour protéger nos partenaires. Cloudflare a reçu le plus grand nombre de notes "élevées" par rapport à 6 autres fournisseurs de solutions DDoS sur 23 critères dans l'étude Gartner 2020 "Solution Comparison for DDoS Cloud Scrubbing Centers" (Comparaison de solutions pour les centres de nettoyage DDoS)

Par ailleurs...

Vulnérabilité critique d'injection SQL dans WordPress

La découverte d'une vulnérabilité critique par injection SQL dans un plugin WordPress populaire, LayerSlider, a fait des vagues dans les quelque 40 % de sites web qui utilisent WordPress dans le monde. Cette vulnérabilité, découverte par un chercheur, permet aux pirates d'altérer les requêtes SQL en injectant du code malveillant, ce qui peut conduire à un accès non autorisé aux données, à la défiguration d'un site web ou, pire encore, à la prise de contrôle complète d'un site.

L'utilisation répandue de WordPress ainsi que le nombre important de plugins et d'instances WordPress obsolètes signifient que de nombreux sites web peuvent être menacés. Là encore, tous nos partenaires sont protégés contre les attaques par injection SQL de toutes sortes, car la ML de Cloudflare bloque préventivement toutes les tentatives avant qu'elles n'atteignent l'origine.

Le logiciel malveillant JSOutProx affecte les institutions financières dans les régions MENA et APAC

Une nouvelle vague de campagnes de logiciels malveillants JSOutProx, ciblant les utilisateurs avec une précision raffinée, a été identifiée, ce qui constitue une évolution inquiétante dans le monde des logiciels malveillants. Contrairement à l'approche large et répandue des logiciels malveillants traditionnels, JSOutProx fait preuve d'une concentration effrayante, utilisant des techniques sophistiquées pour infiltrer les systèmes et échapper à la détection.

Ce logiciel malveillant, déguisé en opérations légitimes, représente une avancée significative dans la sophistication des cybermenaces. Il nous rappelle brutalement à quel point les attaques de logiciels malveillants sont de plus en plus ciblées et à quel point les solutions antivirus traditionnelles ne suffisent plus aujourd'hui.

Nous travaillons avec de nombreuses institutions financières et nous aimons souligner le fait que les attaques visent aujourd'hui le PDG ou le RSSI de la banque, et pas seulement la banque, ce qui signifie que les solutions antivirus traditionnelles n'auront jamais vu cette signature auparavant. Notre partenaire, SentinelOne, protège des millions de points d'accès en analysant chaque fichier et en ne se fiant pas uniquement aux signatures.

Nous déployons SentinelOne à grande échelle avec Forefront EndpointNous déployons SentinelOne à l'échelle avec des solutions de gestion de la sécurité, de gestion des privilèges d'administrateur et de filtrage du DNS.

En conclusion

Les événements survenus cette semaine dans le domaine de la cybersécurité nous rappellent que les cybermenaces sont toujours présentes et en constante évolution. Qu'il s'agisse de serveurs qui cèdent sous la pression d'une simple connexion malveillante ou de l'infiltration de logiciels malveillants de pointe, ces incidents nous incitent à renforcer la sensibilisation et la préparation en matière de cybersécurité. Rester informé et prêt à faire face à l'attaque de demain n'est pas seulement une recommandation, c'est une nécessité. En comprenant les mécanismes qui sous-tendent ces menaces et en renforçant de manière proactive les défenses numériques de nos partenaires, nous les aidons à se protéger et à protéger leurs activités commerciales.