La sécurité des données est primordiale. En particulier, l’interconnexion des systèmes informatiques via Internet qui recèle des risques considérables tels que des virus, des malwares, l’espionnage industriel, en passant par les actes de sabotages…

Vous êtes victime d’une attaque ? Si c’est le cas, déclarez votre incident sur https://www.cybermalveillance.gouv.fr

La protection et la sécurité des données deviennent pour cette raison non seulement l’un                          des facteurs concurrentiels parmi les plus importants, mais également une impérative                                nécessité en vue de préserver le patrimoine immatériel de l’entreprise ou de la                                            collectivité.

​La norme ISO 27001 est la réponse adaptée à ces enjeux de sécurité des systèmes d’information.

​Cette norme de sécurité informatique est reconnue internationalement, elle permet aux organismes qui ont atteint les exigences de ce référentiel de démontrer qu’un système efficace de protection et de sécurité des informations a été mis en œuvre, elle permet également d’attester qu’une surveillance rigoureuse de tous les processus est régulièrement réalisée.

DATALP est reconnu pour la conception de pare-feu de nouvelle génération, lesquels sont hautement estimés par les professionels du secteur pour leur niveau de protection exceptionnel ainsi que leur capacité de traitement et de stockage qui dépassent très largement les normes standard.

Bulletin d’information de la cybersécurité

Menaces et incidents

  • Secteur de la santé – État de la menace informatique (07 novembre 2024)
    Le secteur de la santé est un secteur hautement critique, qui intègre une typologie d’acteurs variée allant des acteurs liés à la gestion du système de santé, aux prestataires de soins, en passant par les industriels de produits de santé et les fournisseurs et prestataires pour le secteur de la…
  • Exfiltration de données du secteur social – Retour d’expérience du CERT-FR (24 septembre 2024)
    L’année 2023 et le début de l’année 2024 ont été marqués par de nombreux incidents ciblant des entités du secteur social gérant des données à caractère personnel. Compte tenu des impacts qu’ont eu ces exfiltrations de données, le CERT-FR propose un retour d’expérience sur la gestion de ces…
  • Organismes de recherche et think tanks – État de la menace informatique (02 septembre 2024)
    Le secteur de la recherche et des *think tanks* couvre un périmètre large et hétéroclite. Celui-ci comprend des entités publiques et privées de toute nature, dont certaines peuvent être des fondations, des organisations internationales ou des associations. Ces entités sont ciblées par un vaste…
  • Codes malveillants utilisés à des fins destructrices (11 juillet 2024)
    Les attaques à but de déstabilisation constituent des menaces informatiques qui visent de manière récurrente les grands évènements sportifs. Si elles prennent souvent la forme d’attaques par déni de service distribué (DDoS) ou de défigurations de sites Web, elles peuvent aussi passer par des…
  • 🇬🇧 Malicious activities linked to the Nobelium intrusion set (19 juin 2024)
    Several cyberattacks against French diplomatic entities can be linked to the Nobelium intrusion set. Nobelium is an intrusion set active since at least October 2020, used against high-value targets, most likely for espionage purposes. Western diplomatic entities, such as embassies and Ministries…
  • Failles sur les équipements de sécurité – Retour d'expérience du CERT-FR (12 juin 2024)
    L'année 2023 et le début de l'année 2024 ont été marqués par de nombreux incidents concernant des équipements de sécurité présents notamment en bordure de réseau. Ces incidents ont pour origine l'exploitation d'une ou plusieurs vulnérabilités critiques dans des pare-feux, passerelles VPN ou…
  • Opération ENDGAME (30 mai 2024)
    Entre le 27 et le 29 mai 2024, une opération de démantèlement de plusieurs infrastructures liées à des codes cybercriminels a été menée dans le cadre d’une coopération judiciaire internationale impliquant les autorités allemandes, néerlandaises, danoises, françaises, britanniques et américaines….
  • Grands évènements sportifs en France – Évaluation de la menace 2024 (17 avril 2024)
    Depuis plus d’une décennie, les compétitions sportives internationales majeures font régulièrement l’objet d’attaques informatiques. Ces évènements, en raison de l’intérêt qu’ils suscitent chez des centaines de millions de personnes et des flux financiers importants qu’ils génèrent, constituent…
  • Panorama de la cybermenace 2023 (27 février 2024)
    English version : 🇬🇧 Cette troisième édition du Panorama de la cybermenace décrit les principales tendances constatées en 2023 par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Ce document se concentre sur les intentions des attaquants, leurs capacités et les opportunités…
  • 🇬🇧 Cyber Threat Overview 2023 (27 février 2024)
    Version française: 🇫🇷 This third edition of the Cyber Threat Overview describes the main trends observed by the French National Cyber Security Agency (ANSSI) in 2023. This document focuses on the motivations of attackers, their capabilities and the opportunities they exploit to compromise…
  • État de la menace ciblant le secteur des télécommunications (18 décembre 2023)
    Le secteur des télécommunications intègre une typologie d’acteurs variée allant des opérateurs de communication électroniques (OCE) aux équipementiers, en passant par les hébergeurs web ou les points d’interconnexion Internet. Secteur central pour beaucoup d’autres, le secteur des…
  • Campagnes d'attaques du mode opératoire APT28 depuis 2021 (26 octobre 2023)
    Lors de ses investigations, l'ANSSI a analysé plusieurs chaînes de compromission du mode opératoire d'attaque (MOA) APT28 utilisées à des fins d'espionnage. Certaines campagnes ont été dirigées contre des organisations françaises, dont des entités gouvernementales, des entreprises, des…
  • Synthèse de la menace ciblant les collectivités territoriales (23 octobre 2023)
    Les collectivités territoriales gèrent de nombreux services selon leurs compétences, en matière administrative et régalienne, mais également sur de nombreux aspects de la vie sociale, territoriale et économique d’un territoire. Les conséquences d’attaques informatiques peuvent donc être majeures…
  • FIN 12 : Un groupe cybercriminel aux multiples rançongiciels (18 septembre 2023)
    En mars 2023, l'ANSSI a signalé au centre hospitalier universitaire de Brest la compromission de l'un de ses serveurs. La réactivité de l'établissement de santé a permis d'isoler rapidement le système d'information (SI) d'Internet et d'entraver la progression du mode opératoire des attaquants…
  • Démantèlement du botnet Qakbot (15 septembre 2023)
    Contexte Le Bureau fédéral d'enquête américain (FBI) a effectué le 26 août 2023 une opération de démantèlement et de désinfection du réseau de machines zombies ou botnet Qakbot (aussi appelé Qbot), en lien avec les autorités allemandes, néerlandaises, britanniques et françaises. En France,…
  • Grands évènements sportifs – Évaluation de la menace 2023 (30 août 2023)
    Depuis plus d’une décennie, les compétitions sportives internationales majeures font régulièrement l’objet d’attaques informatiques. Ces évènements, en raison de l’intérêt qu’ils suscitent chez des centaines de millions de personnes et des flux financiers importants qu’ils génèrent, constituent…
  • État de la menace informatique contre les cabinets d'avocats (27 juin 2023)
    Les avocats et cabinets d’avocats sont régulièrement la cible d’attaques informatiques conduites par des acteurs aux origines, aux compétences et aux objectifs divers. L’exposition des cabinets d’avocats à la menace informatique s’explique notamment par leur accès à des données sensibles, mais…
  • Le Ransomware-as-a-Service LockBit (14 juin 2023)
    Apparu en septembre 2019, LockBit est un rançongiciel fonctionnant sous le modèle économique du Ransomware-as-a-Service. Les opérateurs du groupe cybercriminel ont développé et mis à disposition de leurs affiliés plusieurs variantes de LockBit. Il s'agit du rançongiciel le plus utilisé dans les…
  • 🇬🇧 Cyber Threat Overview 2022 (10 février 2023)
    Version française: 🇫🇷 In its "Cyber Threat Overview 2022", the French National Cyber Security Agency (ANSSI) reports on the major cyber threat trends that marked the year 2022. Trends observed in 2021 bore out in 2022 despite the intensification of the Russia-Ukraine conflict and its…
  • Panorama de la cybermenace 2022 (24 janvier 2023)
    English version : 🇬🇧 Dans son « Panorama de la cybermenace 2022 », l’Agence nationale de la sécurité des systèmes d’information (ANSSI) fait état des grandes tendances de la menace cyber ayant rythmé 2022. Les tendances observées l’année précédente se sont confirmées et ce malgré…

Situation temps réel des alertes de sécurité (CERT-FR)

  • [MàJ] Multiples vulnérabilités sur l'interface de management des équipements Palo Alto Networks (15 novembre 2024)
    Le 8 novembre 2024, Palo Alto Networks a publié un avis de sécurité relatif à une vulnérabilité critique dans certains pare-feux Palo Alto Networks. Elle permet à un attaquant non authentifié d'exécuter du code arbitraire à distance sur l'interface d'administration des équipements. L'éditeur…
  • [MàJ] Multiples vulnérabilités dans Fortinet FortiManager (23 octobre 2024)
    **[Mise à jour du 15 novembre 2024]** Le CERT-FR a connaissance d'une vulnérabilité de type jour-zéro permettant de contourner partiellement le correctif FG-IR-24-423. Le 14 novembre 2024, le CERT-FR a pris connaissance d'une preuve de concept publique permettant l'exploitation d'une…
  • Exploitations de vulnérabilités dans Ivanti Cloud Services Appliance (CSA) (22 octobre 2024)
    Ivanti a publié plusieurs avis de sécurité sur des vulnérabilités affectant CSA qui sont activement exploitées : * le 10 septembre 2024, Ivanti a publié un avis de sécurité concernant la vulnérabilité CVE-2024-8190 qui permet à un attaquant, authentifié en tant qu'administrateur, d'exécuter du…
  • [MàJ] Vulnérabilités affectant OpenPrinting CUPS (27 septembre 2024)
    **[Mise à jour du 10 octobre 2024]** Le 28 septembre 2024, Elastic Security Labs a publié des règles de détection au format propriétaire de l'éditeur (cf. section Documentation), qui sont confirmées par les analyses du CERT-FR pour la détection des attaques connues. **[Publication initiale]** De…
  • Vulnérabilité dans SonicWall (10 septembre 2024)
    Le 22 août 2024, Sonicwall a publié un correctif concernant la vulnérabilité critique CVE-2024-40766 affectant les pare-feux Sonicwall génération 5, 6 et 7. Cette vulnérabilité, de type contrôle d'accès défaillant, permet à un attaquant de provoquer un déni de service à distance, une atteinte à…
  • Multiples vulnérabilités dans Roundcube (09 août 2024)
    Le 4 août 2024, Roundcube a publié des correctifs concernant les vulnérabilités critiques CVE-2024-42008 et CVE-2024-42009 affectant son serveur de courriel. Ces vulnérabilités permettent des injections de code indirectes à distance (XSS) qui peuvent, par exemple, conduire à la récupération du…
  • Vulnérabilité dans OpenSSH (01 juillet 2024)
    Le 1 juillet 2024, OpenSSH a publié un avis de sécurité concernant la vulnérabilité critique CVE-2024-6387. Cette vulnérabilité permet à un attaquant non authentifié d'exécuter du code arbitraire à distance avec les privilèges *root*. L'éditeur précise que les versions 8.5p1 à 9.7p1 sont…
  • [MàJ] Vulnérabilité dans les produits Check Point (30 mai 2024)
    [Mise à jour du 31 mai 2024] Des preuves de concept sont désormais disponibles publiquement sur Internet. De plus, l'éditeur indique avoir détecté des tentatives de compromission à partir du 7 avril 2024. **[Publication Initiale]** Une vulnérabilité a été découverte dans les produits Check Point….
  • Multiples vulnérabilités dans les produits Cisco (25 avril 2024)
    Le 24 avril 2024, Cisco a publié trois avis de sécurité concernant des vulnérabilités affectant les équipements de sécurité ASA et FTD. Deux d'entre eux concernent les vulnérabilités CVE-2024-20353 et CVE-2024-20359 qui sont activement exploitées dans le cadre d'attaques ciblées. La vulnérabilité…
  • [MàJ] Vulnérabilité dans Palo Alto Networks GlobalProtect (12 avril 2024)
    \[Mise à jour du 10 mai 2024\] Le CERT-FR est intervenu pour le traitement d'une compromission par rançongiciel au sein d'une entité française. Dans le cadre de cette attaque, la vulnérabilité a été exploitée pour ensuite réaliser une latéralisation dans le système d'information de la victime et…
  • [MàJ] Vulnérabilité dans Microsoft Outlook (15 février 2024)
    \[Mise à jour du 15 mars 2024\] Ajout de précision concernant les défi-réponses NTLM \[Mise à jour du 22 février 2024\] Ajout de recommandations et de précisions sur le fonctionnement de la vulnérabilité. La vulnérabilité CVE-2024-21413 permet à un attaquant de contourner les mesures de sécurité…
  • [MàJ] Vulnérabilité dans Fortinet FortiOS (09 février 2024)
    \[Mise à jour du 19 mars 2024\] Le CERT-FR a connaissance de codes d'exploitation publics et de nouvelles tentatives d'exploitation. Le 8 février 2024, Fortinet a publié l'avis de sécurité concernant la vulnérabilité critique CVE-2024-21762 affectant le VPN SSL de FortiOS. Cette vulnérabilité…
  • [MàJ] Incident affectant les solutions AnyDesk (05 février 2024)
    \[Mise à jour du 27 février 2024\] Le 29 janvier 2024 l'ANSSI a été alertée par le BSI que l'éditeur AnyDesk Software GmbH a été victime d'une fuite de données. Le code source des applications développées par l'éditeur ainsi que des certificats et clés privées pourraient avoir été dérobés. De…
  • [MàJ] Multiples Vulnérabilités dans GitLab (12 janvier 2024)
    \[Mise à jour du 29 janvier 2024\] Le 25 janvier 2024, l'éditeur a publié un avis de sécurité concernant plusieurs vulnérabilités affectant GitLab CE et EE. La vulnérabilité CVE-2024-0402 est considérée critique avec un score CVSSv3 de 9,9. Elle permet à un attaquant authentifié d'écrire des…
  • [MàJ] Multiples vulnérabilités dans Ivanti Connect Secure et Policy Secure Gateways (11 janvier 2024)
    [Mise à jour du 4 mars 2024] Ivanti a publié le 29 février des recommandations de résolution pour les Ivanti Connect Secure ou Policy Secure en machine virtuelle [16]. [Mise à jour du 15 février 2024] l'éditeur a publié le 15 février des correctifs pour les versions suivantes, qui n'en…
  • Vulnérabilité dans Apache Struts 2 (13 décembre 2023)
    Le 4 décembre 2023, Apache a publié un avis de sécurité concernant la vulnérabilité critique CVE-2023-50164 concernant le cadriciel Struts 2. Cette vulnérabilité permet à un attaquant non authentifié de téléverser une porte dérobée sur un serveur vulnérable, et ainsi exécuter du code arbitraire à…
  • [MàJ] Vulnérabilité dans Citrix NetScaler ADC et NetScaler Gateway (23 octobre 2023)
    \[Mise à jour du 22 novembre 2023\] L'éditeur a publié un document \[3\] le 20 novembre 2023 listant les différents journaux à analyser ainsi que les éléments à rechercher pour identifier une activité pouvant être liée à une compromission. Par ailleurs, la CISA a publié un avis de sécurité le 21…
  • [MàJ] Multiples vulnérabilités dans Cisco IOS XE (17 octobre 2023)
    \[Mise à jour du 02 novembre 2023\] La version 17.3.8a est disponible. \[Mise à jour du 31 octobre 2023\] Les détails techniques de la vulnérabilité CVE-2023-20198 sont désormais disponibles publiquement. Cette vulnérabilité était déjà massivement exploitée. Tous les équipements exposant…
  • Multiples vulnérabilités dans Exim (02 octobre 2023)
    Le 27 septembre 2023, Zero Day Initiative (ZDI) a publié six avis de sécurité \[1\] concernant des vulnérabilités de type zéro-jour affectant les versions antérieures à 4.96.1 ou 4.97 de l'agent de transfert de courriels (*Mail Transfer Agent* ou *MTA*) Exim. Le 1er octobre 2023, l'éditeur a…
  • [MàJ] Multiples vulnérabilités dans Ivanti Endpoint Manager Mobile (26 juillet 2023)
    \[Mise à jour du 15 septembre 2023\] Correction de la vulnérabilité CVE-2023-35082 Le 21 août 2023, l'éditeur a publié une mise à jour du bulletin complémentaire de sécurité \[3\] pour annoncer la disponibilité d'un correctif concernant la vulnérabilité CVE-2023-35082. Ce correctif est inclus…

Indicateurs de compromission

  • Codes malveillants utilisés à des fins destructrices (11 juillet 2024)
    Les marqueurs techniques suivants sont associés à des codes destructeurs connus à ce jour (voir la publication /cti/CERTFR-2024-CTI-007/ ) Ils peuvent être utilisés à des fins de recherche de compromission dans des journaux historiques ou de détection :
  • 🇬🇧 Malicious activities linked to the Nobelium intrusion set (19 juin 2024)
    🇬🇧 The following indicators of compromise are associated with the phishing campaigns by the Nobelium intrusion set described in the CERTFR-2024-CTI-006 report. These technical elements are provided to help detecting malicious activities in logs or inside live network trafic.
  • FIN 12 : Un groupe cybercriminel aux multiples rançongiciels (18 septembre 2023)
    Les marqueurs techniques suivants sont associés au mode opératoire cybercriminel FIN12 (voir la publication CERTFR-2023-CTI-007). Ils peuvent être utilisés à des fins de recherche de compromission dans des journaux historiques ou de détection.
  • 🇫🇷/🇬🇧 Feed MISP public (12 juillet 2022)
    🇫🇷 Le CERT-FR met à disposition un feed MISP public regroupant des indicateurs de compromission marqués TLP:CLEAR dont la diffusion est libre. Il est accessible à l'adresse https://misp.cert.ssi.gouv.fr/feed-misp. La documentation du projet MISP, plateforme open-source de partage d'indicateurs de…
  • 🇫🇷/🇬🇧 Campagnes d'hameçonnage du mode opératoire d'attaquants Nobelium (06 décembre 2021)
    🇫🇷 Les marqueurs techniques suivants sont associés aux campagnes d'hameçonnage du mode opératoire Nobelium décrites dans la publication CERTFR-2021-CTI-010. Ils peuvent être utilisés à des fins de recherche de compromission dans des journaux historiques ou de détection. 🇬🇧 The following…
  • 🇫🇷/🇬🇧 Identification d'un nouveau groupe cybercriminel : Lockean (03 novembre 2021)
    🇫🇷 Les marqueurs techniques suivants sont associés au groupe cybercriminel Lockean (voir la publication CERTFR-2021-CTI-008). Ils peuvent être utilisés à des fins de recherche de compromission dans des journaux historiques ou de détection. 🇬🇧 The following indicators of compromise are associated…
  • 🇫🇷/🇬🇧 [Maj] Campagne d'attaque du mode opératoire APT31 ciblant la France (21 juillet 2021)
    🇫🇷 L’ANSSI traite actuellement une vaste campagne de compromission touchant de nombreuses entités françaises. Cette dernière, toujours en cours et particulièrement virulente, est conduite par le mode opératoire APT31 (voir CERTFR-2021-CTI-012 pour plus d'informations). Les investigations montrent…
  • 🇫🇷/🇬🇧 Campagne d’attaque du mode opératoire Sandworm ciblant des serveurs Centreon (15 février 2021)
    Les marqueurs techniques, les règles SNORT et YARA suivantes sont issues des analyses de l'ANSSI lors du traitement d’une campagne de compromission par le mode opératoire Sandworm touchant plusieurs entités françaises et ciblant le logiciel de supervision Centreon. Cette campagne d'attaque est…
  • Infrastructure d'attaque du groupe cybercriminel TA505 (10 février 2021)
    Les marqueurs techniques suivants sont associés à l'infrastructure d'attaque utilisée par le groupe cybercriminel TA505 depuis 2019 (voir la publication CERTFR-2021-CTI-002). Ils peuvent être utilisés à des fins de recherche de compromission dans des journaux historiques ou de détection temps…
  • 🇫🇷/🇬🇧 Le rançongiciel Egregor (18 décembre 2020)
    🇬🇧 The following indicators of compromise are associated with the Egregor ransomware described in the CERTFR-2021-CTI-007 report. These technical elements are provided to help detecting malicious activities in logs or inside live network trafic. 🇫🇷 Les marqueurs techniques suivants sont associés…
  • [MaJ]🇫🇷/🇬🇧 Le Rançongiciel Ryuk (30 novembre 2020)
    [Mise à jour du 26 février 2021] 🇬🇧 The following indicators are new network indicators associated with the Ryuk ransomware described in the CERTFR-2021-CTI-006 report. These technical elements are provided to help detecting malicious activities in logs or inside live network trafic. Every…
  • Le groupe cybercriminel TA505 (22 juin 2020)
    Les marqueurs techniques suivants sont associés au groupe cybercriminel TA505 (voir la publication CERTFR-2020-CTI-006). Ils peuvent être utilisés à des fins de recherche de compromission dans des journaux historiques ou de détection. Mise à jour du 10 février 2021 : un nouveau rapport détaillant…
  • Le code malveillant Dridex (25 mai 2020)
    Les marqueurs techniques suivants sont associés en source ouverte au code malveillant Dridex (voir la publication CERTFR-2020-CTI-005). Ils peuvent être utilisés à des fins de recherche de compromission dans des journaux historiques ou de détection. Toute communication depuis ou vers cette…
  • Le groupe cybercriminel SILENCE (07 mai 2020)
    Les marqueurs techniques suivants sont associés en source ouverte au groupe cybercriminel SILENCE (voir la publication CERTFR-2020-CTI-004). Ils peuvent être utilisés à des fins de recherche de compromission dans des journaux historiques. Toute communication depuis ou vers cette infrastructure ne…
  • Rançongiciel Maze et groupe d'attaquants TA2101 (05 février 2020)
    Les marqueurs techniques suivants sont associés en source ouverte au groupe d'attaquants TA2101 utilisant le rançongiciel Maze (voir la publication CERTFR-2020-CTI-001). Ils sont fournis au format d'export MISP et peuvent être utilisés à des fins de détection et de blocage de cette menace. Cette…

Durcissement et recommandations

  • Classe de vulnérabilités en environnement Active Directory (15 octobre 2021)
    Résumé Le protocole d’authentification NTLM souffre de faiblesses permettant, sous conditions, à un attaquant de relayer une authentification qu’il reçoit d’une victime vers un serveur cible. Ceci peut potentiellement permettre à cet attaquant d’élever ses privilèges ou d’envoyer des commandes à…
  • Points de contrôle Active Directory (02 juin 2020)
    L'annuaire Active Directory, centre névralgique de la sécurité des systèmes d'information Microsoft, est un élément critique permettant la gestion centralisée de comptes, de ressources et de permissions. L'obtention de privilèges élevés sur cet annuaire entraîne une prise de contrôle instantanée…

FortiGuard Labs

  • Palo Alto Expedition Missing Authentication Vulnerability (CVE-2024-5910)
    What is the Vulnerability?CISA has added CVE-2024-5910, a missing authentication vulnerability in Palo Alto Networks Expedition to its known exploited vulnerability (KEV) list. Expedition is a migration tool aiding in configuration migration, tuning, and enrichment from one of the supported vendors to Palo Alto Networks. Successful exploitation of CVE-2024-5910 can lead to an admin account takeover. Configuration secrets, credentials, and other data imported into Expedition is at risk due to this issue.What is the recommended Mitigation?Palo Alto Networks has released security updates to address the vulnerability. This issue is fixed in Expedition 1.2.92 and all later versions. https://security.paloaltonetworks.com/CVE-2024-5910 What is […]
  • Microsoft Windows NTLMv2 Hash Disclosure Spoofing Vulnerability
    What is the Vulnerability?Microsoft Windows contains an NTLMv2 hash spoofing vulnerability (CVE-2024-43451) that could result in disclosing a user's NTLMv2 hash to an attacker via a file open operation. The attacker can leverage this hash to impersonate that user with minimal interaction from the victim. This vulnerability (CVE-2024-43451) has been added to CISA's Known Exploited Vulnerabilities Catalog (KEV) list on November 12, 2024.What is the recommended Mitigation?Microsoft has released a security update to fix the vulnerability on November 12, 2024. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-43451 What FortiGuard Coverage is available?FortiGuard recommends users to apply the fix provided by the vendor as soon as possible.FortiGuard […]
  • Cisco URWB Access Point Command Injection Vulnerability (CVE-2024-20418)
    What is the Vulnerability?A maximum severity security (CVS Score 10.0) vulnerability in the web-based management interface of Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Points could allow an unauthenticated, remote attacker to perform command injection attacks with root privileges on the underlying operating system. This vulnerability is due to improper validation of input to the web-based management interface. An attacker could exploit this vulnerability by sending crafted HTTP requests to the web-based management interface of an affected system.The FortiGuard Threat Research Team is actively monitoring the vulnerability and will update this report with any new […]
  • Microsoft Multiple Actively Exploited Vulnerabilities
    What are the Vulnerabilities?Threat actors are exploiting multiple zero-day vulnerabilities that were recently disclosed on the Microsoft Security Updates- August 2024. The six actively exploited zero-day vulnerabilities were also added to CISA's Known Exploited Vulnerabilities catalog (KEV) after the disclosure. [August 2024 Security Updates- Release Notes- Microsoft]CVE-2024-38189: Microsoft Project Remote Code Execution VulnerabilityCVE-2024-38178: Microsoft Windows Scripting Engine Memory Corruption VulnerabilityCVE-2024-38213: Microsoft Windows SmartScreen Security Feature Bypass VulnerabilityCVE-2024-38193: Microsoft Windows Ancillary Function Driver for WinSock Privilege Escalation VulnerabilityCVE-2024-38106: Microsoft Windows Kernel Privilege Escalation VulnerabilityCVE-2024-38107: Microsoft Windows Power Dependency Coordinator Privilege Escalation VulnerabilityWhat is the recommended Mitigation?Microsoft has released security updates for […]
  • Metabase Information Disclosure Vulnerability (CVE-2021-41277)
    What is the attack?FortiGuard Labs observes widespread attack attempts targeting a three-year-old Metabase vulnerability (CVE-2021-41277) detected by more than 30,000 sensors. Successful exploitation could lead to information disclosure including expose server files and environment variables to unauthorized users. The vulnerability occurs due to the use of user-supplied input without proper validation.Metabase is an open-source data analytics platform. According to their website it is used by over 60,000 companies including, Capital One, OpenAI, and more. FortiGuard Recon Threat Intelligence team tracked this vulnerability being targeted by a hacktivist group called GhostSec back in May 2024.What is the recommended Mitigation?This issue is […]
  • Veeam Backup and Replication Deserialization Vulnerability (CVE-2024-40711)
    What is the Vulnerability?CVE-2024-40711 is a critical unauthenticated Remote Code Execution (RCE) vulnerability in Veeam Backup & Replication software. Threat actors could execute arbitrary code on a vulnerable system without authentication, which poses a significant risk to organizations using Veeam for backup and data protection. The vulnerability has been added to Known Exploited Vulnerabilities Catalog (KEV) on October 17, 2024, and is known to be used in Ransomware Campaigns.What is the recommended Mitigation?Veeam has released security patches addressing CVE-2024-40711, along with 5 other lower severity vulnerabilities in Veeam Backup & Replication. https://www.veeam.com/kb4649What FortiGuard Coverage is available?FortiGuard recommends users to apply […]
  • Google Chromium in Visuals Use-After-Free Vulnerability (CVE-2024-4671)
     What is the Vulnerability?A new zero-day vulnerability has recently been discovered in the Visuals component of Chrome, which is responsible for rendering and displaying web content. This Visuals Use-After-Free Vulnerability tagged as CVE-2024-4671 can cause a browser to crash, execute code, and leak data. According to Google, the vulnerability is being actively exploited and CISA has already added this vulnerability to its known exploited catalog. What is the vendor mitigation?Google released security updates on May 9, 2024 for Windows, MacOS, and Linux affecting the Google Chrome browser. The vendor advises users to ensure that they are running the latest version […]
  • VMware ESXi Ransomware Attack (CVE-2024-37085)
    What is the Attack?Threat actors are exploiting an authentication bypass vulnerability in ESXi hypervisors, known as CVE-2024-37085, to gain full administrative permissions on domain-joined ESXi hypervisors. This flaw allows threat actors to encrypt critical ESXi servers in ransomware attacks. On Monday, July 29, Microsoft published a threat intelligence blog on observed exploitation of CVE-2024-37085. According to the blog, Akira and Black Basta ransomware deployments were found on the impacted servers. The vulnerability has also been added to CISA's Known Exploited Catalog (KEV) list on July 31, 2024.What is the recommended Mitigation?Please go through the vendor provided update to address the […]
  • NextGen Healthcare Mirth Connect RCE (CVE-2023-43208, CVE-2023-37679)
     What is the vulnerability?NextGen Healthcare Mirth Connect is vulnerable to unauthenticated remote code execution (CVE-2023-43208) caused due to an incomplete patch of a Command Injection flaw (CVE-2023-37679). Mirth Connect is an open-source data integration platform widely used by healthcare companies. It enables the management of information using bi-directional sending of many types of messages. Attackers could exploit this vulnerability for initial access or to compromise sensitive healthcare data. CISA has recently added CVE-2023-43208 to its Known Exploited Vulnerabilities (KEV) catalog on May 20th, 2024. What is the recommended Mitigation?Users are advised to update to the latest version of NextGen Healthcare […]
  • Oracle WebLogic Server Vulnerabilities (CVE-2023-21839, CVE-2017-3506)
    What is the attack?A threat actor known as Water Sigbin (aka the 8220 Gang) is seen exploiting two vulnerabilities in the Oracle WebLogic server: CVE-2017-3506, which allows remote OS command execution, and CVE-2023-21839 is an insecure deserialization vulnerability. CISA recently added the Oracle WebLogic flaw tracked as CVE-2017-3506 to its known exploited vulnerabilities catalog on 3 June 2023.What is the recommended Mitigation?Apply the most recent patch released by Oracle. In the advisory, Oracle mentioned that they continue to receive reports of exploitation attempts.What FortiGuard Coverage is available?FortiGuard customers remain protected by the IPS signatures available for both vulnerabilities. FortiGuard Outbreak […]

Foriguard EndPoint status

  • 1.776
    Newly Added (15)Security Vulnerabilities fixed in Atlassian Jira Software Server 2024-06-18Security Vulnerabilities fixed in Atlassian Jira Service Management Server and Data Center 2024-06-18Security Vulnerabilities fixed in Atlassian Confluence Server 2024-06-18Security Vulnerabilities fixed in Google Chrome 131.0.6778.85Docker Desktop CVE-2022-38730 Privilege Escalation VulnerabilityDocker Desktop CVE-2024-6222 VulnerabilityDocker Desktop CVE-2021-37841 Permission Bypass VulnerabilityDocker Desktop CVE-2024-8696 VulnerabilityDocker Desktop CVE-2020-10665 Privilege Escalation VulnerabilityDocker Desktop CVE-2023-1802 Information Disclosure VulnerabilityDocker Desktop CVE-2022-37326 VulnerabilityDocker Desktop CVE-2022-34292 Privilege Escalation VulnerabilityDocker Desktop CVE-2024-5652 VulnerabilityDocker Desktop CVE-2024-8695 VulnerabilityDocker Desktop CVE-2022-31647 Privilege Escalation VulnerabilityModified (1)Security Vulnerability fixed in Firefox 131.0.2, Firefox ESR 128.3.1, Firefox ESR 115.16.1
  • 1.775
    Newly Added (8)Security Vulnerabilities fixed in Adobe InDesign 20.0Security Vulnerabilities fixed in Adobe InDesign 18.5.4Security Vulnerabilities fixed in Adobe InDesign 18.5.3Security Vulnerabilities Fixed in Adobe Illustrator APSB24-87Adobe Photoshop CVE-2024-49514 VulnerabilityAdobe Animate CVE-2024-49527 Out of Bounds Read VulnerabilityAdobe Animate CVE-2024-49526 Use After Free VulnerabilityAdobe Animate CVE-2024-49528 Out of Bounds Write VulnerabilityModified (3)Security Vulnerabilities fixed in WinSCP 6.3.2Security Vulnerabilities Fixed in Adobe Illustrator APSB24-45Security Vulnerabilities fixed in Adobe Illustrator APSB24-66
  • 1.774
    Newly Added (10)Security Vulnerabilities fixed in Atlassian Jira Service Management Server and Data Center 2024-07-16Security Vulnerabilities fixed in Atlassian Jira Software Server 2024-07-16Security Vulnerabilities fixed in Atlassian Confluence Server 2024-07-16Security Vulnerabilities fixed in Atlassian Bamboo Data Center 2024-05-21Security Vulnerabilities fixed in Atlassian Bamboo Data Center 2024-07-16Security Vulnerabilities fixed in Atlassian Jira Service Management Server and Data Center 2024-08-20Security Vulnerabilities fixed in Atlassian Jira Software Server 2024-08-20Security Vulnerabilities fixed in Atlassian Confluence Server 2024-08-20Security Vulnerabilities fixed in Atlassian Bamboo Data Center 2024-08-20Security Vulnerabilities fixed in Atlassian Confluence Server 2024-09-17Modified (3)Atlassian Jira Service Management Server CVE-2023-22501 Authentication Bypass VulnerabilitySecurity Vulnerabilities fixed in […]
  • 1.773
    Newly Added (17)Security Vulnerabilities fixed in Atlassian Confluence Server 2024-10-15Security Vulnerabilities fixed in Atlassian Confluence Server 2024-10-15Security Vulnerabilities fixed in Atlassian Jira Service Management Server and Data Center 2024-10-15PostgreSQL CVE-2024-10979 VulnerabilityPostgreSQL CVE-2024-10978 VulnerabilityPostgreSQL CVE-2024-10977 VulnerabilityPostgreSQL CVE-2024-10976 VulnerabilityJetBrains YouTrack CVE-2024-49579 Validation Bypass VulnerabilityAdobe After Effects CVE-2024-47445 Out of Bounds Read VulnerabilityAdobe After Effects CVE-2024-47442 Out of Bounds Write VulnerabilityAdobe After Effects CVE-2024-47443 Out of Bounds Write VulnerabilityAdobe After Effects CVE-2024-47446 Out of Bounds Read VulnerabilityAdobe After Effects CVE-2024-47444 Out of Bounds Read VulnerabilityAdobe After Effects CVE-2024-47441 Out of Bounds Write VulnerabilityAdobe Bridge CVE-2024-45147 Out of Bounds Read VulnerabilityAdobe Bridge CVE-2024-47458 Denial […]
  • 1.772
    Newly Added (6)FortiClient CVE-2024-36513 Privilege Escalation VulnerabilityFortiClient CVE-2024-47574 Arbitrary Code Execution VulnerabilityFortiClient CVE-2024-47574 Privilege Escalation VulnerabilityFortiClient CVE-2024-3661 Access Control Bypass VulnerabilitySecurity Vulnerabilities fixed in Ollama 0.1.46Security Vulnerability fixed in Thunderbird 128.4.3Modified (1)Security Vulnerabilities fixed in Ollama 0.3.14
  • 1.771
    Newly Added (103)Atlassian Confluence Server CVE-2019-20406 Privilege Escalation VulnerabilityAtlassian Confluence Server CVE-2023-22505 Remote Code Execution VulnerabilityAtlassian Confluence Server CVE-2024-21674 Code Injection VulnerabilityAtlassian Confluence Server CVE-2020-29450 Denial of Service VulnerabilityAtlassian Confluence Server CVE-2019-3395 Server Side Request Forgery VulnerabilityAtlassian Confluence Server CVE-2023-22522 Arbitrary Code Execution VulnerabilityAtlassian Confluence Server CVE-2019-3398 Path Traversal VulnerabilityAtlassian Confluence Server CVE-2023-22515 Authentication Bypass VulnerabilityAtlassian Confluence Server CVE-2020-29445 Server Side Reqeust Forgery VulnerabilityAtlassian Confluence Server CVE-2021-26072 Server Side Reqeust Forgery VulnerabilityAtlassian Confluence Server CVE-2022-26137 Denial of Service VulnerabilityAtlassian Confluence Server CVE-2023-22508 Remote Code Execution VulnerabilityAtlassian Confluence Server CVE-2022-26136 Authentication Bypass VulnerabilityAtlassian Confluence Server CVE-2021-26084 Arbitrary Code Execution VulnerabilityAtlassian Confluence […]
  • 1.770
    Newly Added (16)Atlassian Confluence Server CVE-2020-14175 Cross Site Scripting VulnerabilityAtlassian Confluence Server CVE-2021-26085 VulnerabilityAtlassian Confluence Server CVE-2023-22527 Arbitrary Code Execution VulnerabilityApache Tomcat CVE-2018-8037 Race Condition VulnerabilityApache Tomcat CVE-2018-11784 Spoofing VulnerabilityApache Tomcat CVE-2018-8014 Code Injection VulnerabilityApache Tomcat CVE-2023-44487 VulnerabilityApache Tomcat CVE-2022-23181 Privilege Escalation VulnerabilityApache Tomcat CVE-2018-8034 Certificate Validation Bypass VulnerabilityApache Tomcat CVE-2020-11996 VulnerabilityApache Tomcat CVE-2018-1304 VulnerabilityApache Tomcat CVE-2018-1305 VulnerabilityApache Tomcat CVE-2023-28709 Denial of Service VulnerabilityApache Tomcat CVE-2021-24122 VulnerabilityApache Tomcat CVE-2018-1336 Denial of Service VulnerabilityApache Tomcat CVE-2019-2684 VulnerabilityModified (2)Security Vulnerabilities fixed in Google Chrome 119.0.6045.105Security Vulnerabilities fixed in Google Chrome 130.0.6723.91
  • 1.769
    Newly Added (1)Security Vulnerabilities fixed in Google Chrome 130.0.6723.116Modified (73)Security Vulnerabilities fixed in Google Chrome 123.0.6312.105Security Vulnerabilities fixed in Google Chrome 110.0.5481.78Security Vulnerabilities fixed in Google Chrome 110.0.5481.177Security Vulnerabilities fixed in Google Chrome 111.0.5563.64Security Vulnerabilities fixed in Google Chrome 111.0.5563.110Security Vulnerabilities fixed in Google Chrome 112.0.5615.49Google Chrome CVE-2023-2033 Type Confusion VulnerabilitySecurity Vulnerabilities fixed in Google Chrome 112.0.5615.137Security Vulnerabilities fixed in Google Chrome 113.0.5672.63Security Vulnerabilities fixed in Google Chrome 113.0.5672.126Security Vulnerabilities fixed in Google Chrome 114.0.5735.91Google Chrome CVE-2023-3079 Type Confusion VulnerabilitySecurity Vulnerabilities fixed in Google Chrome 114.0.5735.133Security Vulnerabilities fixed in Google Chrome 114.0.5735.198Security Vulnerabilities fixed in Google Chrome 115.0.5790.98Security Vulnerabilities fixed […]
  • 1.768
    Newly Added (3)Ollama CVE-2024-39719 Informatiom Disclosure VulnerabilityqBittorrent CVE-2024-51774 Authentication Bypass VulnerabilitySecurity Vulnerabilities fixed in Rockwell Automation ThinManager SD1708Modified (1)Security Vulnerabilities fixed in Google Chrome 130.0.6723.91
  • 1.767
    Newly Added (6)Security Vulnerabilities fixed in SafeQ 6.0.72Security Vulnerabilities fixed in Autodesk AutoCAD ADSK-SA-2024-0021Security Vulnerabilities fixed in Autodesk AutoCAD ADSK-SA-2024-0019Security Vulnerabilities fixed in Autodesk AutoCAD ADSK-SA-2024-0020Grafana CVE-2024-9264 Code Injection VulnerabilityCisco Secure Client CVE-2024-20474 CRLF Injection Vulnerability