Plugin WordPress Cerber Security 8.0 attention

Hello You

Déjà avant de commencer je dis “attention” pas “Danger !!!!! ça va sauter”

Si tu utilises le plugin “Cerber” pour ton blog wordpress , celui-ci ne remplit plus partiellement sa fonction.

La c’est tout simplement avec l’outil “curl” que l’on peut retrouver le nom de l’admin, la page de login cachée, et toute les fonctions principales de defenses qu’ils citent dans leur description.

En attendant la mise à jour, car c’est la version actuelle 8.0 du plugin qui est OUT, peut être vaut-il mieux voir ailleurs et faire de l’infidélité au chien des enfers. Et aussi scruter les requêtes douteuses en s’inspirant des exemples cités.

Je n’ai pas testé ne l’utilisant pas, et pas envie de devenir un pot de miel en l’installant mais ce serait pas étonnant que l’on apprenne une vague d’attaque (again) contre les blogs WP et plus particulièrement via ce plugin.

Bon j’espère que celui que j’utilise va pas péter ou alors quand Cerbère aura retrouvé toute ses têtes 🙂

PS : Cerbère est aussi un village dans les Pyrénées, connaissait pas !


https://www.exploit-db.com/exploits/46497

https://fr.wikipedia.org/wiki/Cerb%C3%A8re

https://en.wikipedia.org/wiki/Cerb%C3%A8re

 

Revoquer les Certificats issus de DarkMatter

Hello,

Si vous n’avez pas vu passé l’info, voici la tite histoire.

Une société du nom de DarkMatter, spécialisé en Cybersécurité et situé en Arabie Saoudite, fait aussi dans la surveillance des citoyens. Cette boite est visiblement connu pour vendre ses services au Moyen Orient. Un palantir oriental en gros.

Ça aurait pu en rester la, seulement cette boite s’est faite enregistré dans le magasin à certificats de Mozilla en ouvrant un simple rapport de BUG. Donc Firefox si il voit un certificat émis par DarkMatter il lui fera confiance. C’est assez dangereux, car en utilisant ces certificats la, cette boite peut faire du ManInTheMiddle et espionner les conversations ou communications. Pour faire du fichage c’est facile après, il suffit de faire un faux site d’opposition ou que sais je, pour faire venir comme des abeilles les citoyens, et plus qu’a récolter le miel. Et voila, les abeilles sont identifiés et mises sous surveillance.

Du coup vaut mieux révoquer ces certificats la, vu qu’ils ne sont pas de confiances ! En tout cas pour nous. Ceux-ci sont émis via une autorité intermédiaire du nom de “QuoVadis” appartenant à DigiCert.

Edit : Les certificats de QuoVadis sont bien de confiances ( les certificats racines ), seulement on ne peut avoir actuellement confiance dans tout les certificats vérifiés par QuoVadis car ils ont validés ceux de DarkMatter.

Si vous voulez ré-acceder à Protonmail ou autre sites qui serait bloqué, on peut toujours les réactiver au même endroit dans Firefox. Ils ne disparaîtront pas de la liste, ils seront juste désactivés.

ProtonMail SSL certificates and DarkMatter

Pour se faire voici la manip en image. On se rend dans “préférence” puis on va dans “Vie privée et sécurité’:

On scrolle tout en bas et on clique sur “Afficher les certificats” puis on “supprime” :

Et voilou, Bon surf.


https://www.zdnet.fr/actualites/une-societe-de-surveillance-veut-se-faire-une-place-dans-les-certificats-de-firefox-39881149.htm

Debian MAJ du systeme

Hello,

Suite à la vulnérabilité découverte sur apt, impactant aussi apt-get, l’équipe de sécu de Debian à mis à jour le système de paquet. Pour faire simple, apt utilise HTTPS et HTTP, HTTP pour vérifier la validité des sources de paquets et définir le lien de téléchargement. Il était donc possible pour un attaquant de définir une URL de téléchargement modifié et d’installer un payload sans que apt ne s’en rende compte tout en croyant installer le bon paquet, à condition bien sur de contrôler un serveur de repo.

Pour faire la MAJ en toute sécurité du coup, il faut désactiver les redirections HTTP du gestionnaire de paquet. La manipulation cité ici est issue du blog de Debian, qui ont eux même repris les indications du gars qui à découvert la Vuln. D’ailleurs une image Docker avec les instructions du PoC et les détails complets de sa découverte sont disponibles sur son blog si on veut essayer soit même. (Lien en fin d’article)

Vous étiez protégé et pas impacté si vous utilisiez déjà :
apt-transport-https

Mettre à jour :
sudo apt update -o Acquire::http::AllowRedirect=false
sudo apt upgrade -o Acquire::http::AllowRedirect=false

Niveau sécu pour Debian ces derniers temps entre systemd et now apt, ça y vas fort !
Ça me donne bien envie de tester “Devuan” en tout cas.

Mais comme d’hab pas de fatalités, gardez simplement vos systèmes à jours et ça devrait aller !


https://justi.cz/security/2019/01/22/apt-rce.html
https://www.debian.org/News/2019/20190123