PODCAST · news
RadioCSIRT - Edition Française
by Marc Frédéric GOMEZ
🎙 Marc Frédéric Gomez, expert en cybersécurité, vous livre chaque jour l’essentiel des menaces, attaques et stratégies de défense à connaître.🔎 Au programme :✔️ Décryptage des cyberattaques et vulnérabilités critiques✔️ Veille stratégique pour les CSIRT, CERT et pros de la cybersécurité✔️ Sources et références pour approfondir chaque sujet💡 Pourquoi écouter RadioCSIRT ?🚀 Restez à jour en quelques minutes par jour🛡️ Anticipez les menaces avec des infos fiables et techniques📢 Une veille indispensable pour les pros de l’IT et de la sécurité🔗 Écoutez, partagez et sécurisez votre environnement !<span class="
-
670
Ep.696 - RadioCSIRT Édition Spéciale Patch Tuesday 14 juillet 2026
🪟 Microsoft publie la plus importante livraison de correctifs de son histoire. Le décompte de la Zero Day Initiative retient 621 CVE pour le mois de juillet, dont 63 classées critiques, six modérées et une basse. Deux vulnérabilités sont activement exploitées, CVE-2026-56155 dans Active Directory Federation Services et CVE-2026-56164 dans SharePoint Server, cette dernière étant une authentification manquante atteignable sans compte sur le réseau malgré une sévérité modérée. La troisième, CVE-2026-50661, contourne BitLocker par accès physique et a été divulguée publiquement avant correctif.🐛 Au-delà des Zero-Day, le risque réel du cycle tient aux exécutions de code à distance non authentifiées. La Zero Day Initiative pointe CVE-2026-57092 dans VMSwitch, un use-after-free noté CVSS 9.9, le plus haut score du mois, permettant la compromission complète de l'hôte à travers la frontière de machine virtuelle. La paire SharePoint CVE-2026-50522 et CVE-2026-58644 atteint CVSS 9.8 par désérialisation de données non fiables, sans authentification ni interaction, CVE-2026-50522 ayant été démontrée au Pwn2Own Berlin. S'ajoutent CVE-2026-56190 dans le Remote Desktop Protocol, CVE-2026-56188 dans le Server Network driver, potentiellement wormable, CVE-2026-50518 dans le serveur DHCP et CVE-2026-55944 dans Dynamics NAV, toutes en CVSS 9.8. CVE-2026-55008 est titrée Spoofing par Microsoft mais constitue un XSS stocké dans Outlook Web Access, exécuté à la simple lecture du message.Sources :Patch Tuesday Juillet 2026. Blog de Marc-Frédéric Gomez : https://blog.marcfredericgomez.fr/patch-tuesday-juillet-2026/The July 2026 Security Update Review. Zero Day Initiative : https://www.zerodayinitiative.com/blog/2026/7/14/the-july-2026-security-update-review⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #PatchTuesday #Microsoft #SharePoint #ActiveDirectory #HyperV #VMSwitch #RDP #Exchange #BitLocker #DHCP #ZeroDay #Pwn2Own #CVE-2026-56155 #CVE-2026-56164 #CVE-2026-50661 #CVE-2026-57092 #CVE-2026-50522 #CVE-2026-58644 #CVE-2026-56190 #CVE-2026-56188 #CVE-2026-50518 #CVE-2026-55944 #CVE-2026-55008 #RadioCSIRT
-
669
Ep.695 - RadioCSIRT Flash info cybersécurité du lundi 13 juillet 2026
🐧 FOSS Force rapporte la publication de debvulns-exporter par Vasudeva Kamath, un exportateur Prometheus des vulnérabilités Debian bâti sur debsecan. L'outil expose les données de vulnérabilité en métriques Prometheus visualisables dans Grafana, au sein d'un ensemble debvulns qui inclut une CLI et un composant MCP. Le développeur a fait évoluer un serveur MCP expérimental vers cet exportateur, jugeant l'exécution permanente d'un serveur MCP coûteuse en tokens. Disponible sur PyPI.🇫🇷 Le CERT-FR publie le rapport CERTFR-2026-CTI-004 sur le ciblage et la compromission d'entités françaises via le mode opératoire Turla, attribué au 16ème Centre du FSB russe. Actif depuis au moins 2004, ce mode opératoire vise des ministères et des entités des secteurs diplomatique, de la défense, de la justice et des technologies. La France et l'Union européenne ont publié ce 13 juillet 2026 deux déclarations formelles d'attribution à la Russie.🎣 Selon BleepingComputer, Lidl, filiale du groupe Schwarz, a notifié des clients en Allemagne, en Belgique et aux Pays-Bas d'une fuite de données après la compromission d'un prestataire. Les données volées de la boutique en ligne incluent civilité, nom, téléphone, email, date de naissance et numéro client. Lidl n'exclut pas que mots de passe et informations bancaires soient concernés, et met en garde contre le phishing.🚨 The Register rapporte que Progress Software a ordonné l'arrêt d'urgence des serveurs ShareFile Storage Zone Controllers face à une menace externe crédible, sans correctif ni contournement disponible. L'accès au service cloud a été rétabli le 12 juillet, mais les composants sur site doivent rester hors ligne. Progress avait corrigé quelques mois plus tôt deux failles critiques de ce composant chaînables en RCE non authentifiée, sans lien établi.🔓 Le SANS Internet Storm Center documente des scans internet à la recherche de serveurs Model Context Protocol, de configurations d'assistants IA et de points LLM exposés. Les sondes POST /mcp émettent un appel JSON-RPC initialize valide, et la campagne recherche des fichiers comme /.claude/mcp.json ou /.claude/.credentials.json, ainsi que les points /v1/models et /api/tags, avec des tentatives SSRF sur les métadonnées cloud.Sources : Deb Dev Builds Graphical Debian Vulnerability Exporter for Prometheus. FOSS Force : https://fossforce.com/2026/07/deb-dev-builds-graphical-debian-vulnerability-exporter-for-prometheus/Ciblage et compromission d'entités françaises au moyen du mode opératoire d'attaque Turla. CERT-FR : https://www.cert.ssi.gouv.fr/cti/CERTFR-2026-CTI-004/ Lidl discloses online shop breach after service provider hack. BleepingComputer : https://www.bleepingcomputer.com/news/security/lidl-discloses-online-shop-breach-after-service-provider-hack/Progress orders emergency ShareFile server shutdown over mystery security threat. The Register : https://www.theregister.com/security/2026/07/13/progress-orders-emergency-sharefile-server-shutdown-over-mystery-security-threat/5270281 Someone Is Scanning for Your MCP Servers and AI Assistant Credentials. SANS Internet Storm Center : https://isc.sans.edu/diary/rss/33150⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Debian #Prometheus #Grafana #debsecan #OpenSource #MCP #EPSS #Turla #FSB #Russie #Espionnage #CERTFR #France #UE #Lidl #DataBreach #SchwarzGroup #Phishing #Progress #ShareFile #RCE #Clop #SANS #ISC #AISecurity #Ollama #SSRF #LLM #Cursor #RadioCSIRT
-
668
RadioCSIRT Épisode 693 : Édition Spéciale Project Glasswing du Samedi 11 Juillet 2026
En 2026, un modèle d'intelligence artificielle a poussé son propre créateur à ne pas le publier, puis à bâtir autour de lui un vaste programme de défense, avant de se retrouver deux fois en confrontation directe avec le gouvernement des États-Unis. Ce modèle s'appelle Mythos. Le programme s'appelle Project Glasswing. L'éditeur, c'est Anthropic, la société qui développe Claude.Dans cette édition spéciale, RadioCSIRT prend de la hauteur pour raconter l'une des histoires les plus révélatrices de l'année en cybersécurité. Nous expliquons d'abord, sans jargon et sans emballement, ce que sont Mythos, Fable et Project Glasswing. Nous déroulons ensuite la chronologie du double bras de fer entre Anthropic et l'administration américaine, de la désignation comme risque pour la chaîne d'approvisionnement par le Pentagone jusqu'aux contrôles à l'export qui ont coupé l'accès aux modèles Fable 5 et Mythos 5. Fidèles à notre ligne, nous séparons les faits vérifiables des interprétations, en attribuant chaque position à son auteur : Anthropic, le gouvernement, la justice, les chercheurs.L'épisode se referme sur une question ouverte, que nous laissons à votre jugement : tout cela relève-t-il d'une opération de communication brillamment orchestrée, ou du premier signe d'une arme cyber d'un genre nouveau, celle qui, dans l'imaginaire collectif, annonce Skynet ?Au sommaire :🧩 Mythos, Fable, Glasswing : ce que c'est, et ce que ce n'est pas🛡️ Le programme de défense : partenaires, chiffres revendiqués et critiques⚖️ Le double bras de fer avec le gouvernement américain : supply chain risk et contrôles à l'export🎧 La question de clôture : opération marketing ou arme cyber ?📌 Sources utilisées:Project Glasswing. Anthropic : https://www.anthropic.com/glasswingProject Glasswing, partenaires fondateurs. Anthropic : https://www.anthropic.com/project/glasswingProject Glasswing: An initial update. Anthropic : https://www.anthropic.com/research/glasswing-initial-updateExpanding Project Glasswing. Anthropic : https://www.anthropic.com/news/expanding-project-glasswingStatement on the US government directive to suspend access to Fable 5 and Mythos 5. Anthropic : https://www.anthropic.com/news/fable-mythos-accessAnthropic Project Glasswing: Mythos Preview gets limited release. NBC News : https://www.nbcnews.com/tech/security/anthropic-project-glasswing-mythos-preview-claude-gets-limited-release-rcna267234On Anthropic's Mythos Preview and Project Glasswing. Schneier on Security : https://www.schneier.com/blog/archives/2026/04/on-anthropics-mythos-preview-and-project-glasswing.htmlProject Glasswing: The 10 Consequences Nobody's Writing About Yet. Forrester : https://www.forrester.com/blogs/project-glasswing-the-10-consequences-nobodys-writing-about-yet/Anthropic expands Mythos to 150 additional organizations in more than 15 countries. CNBC : https://www.cnbc.com/2026/06/02/anthropic-mythos-ai-project-glasswing.htmlAnthropic scales Claude Mythos to critical infrastructure in 15+ countries. TechCrunch : https://techcrunch.com/2026/06/02/anthropic-scales-claude-mythos-to-critical-infrastructure-in-15-countries/Judge temporarily blocks Trump administration's Anthropic ban. NPR : https://www.npr.org/2026/03/26/nx-s1-5762971/judge-temporarily-blocks-anthropic-banJudge blocks Trump administration from limiting Anthropic's contracts with federal government. NBC News : https://www.nbcnews.com/news/us-news/anthropic-trump-national-security-rcna265399Judge blocks Pentagon's effort to punish Anthropic by labeling it a supply chain risk. CNN Business : https://edition.cnn.com/2026/03/26/business/anthropic-pentagon-injunction-supply-chain-riskAnthropic loses appeals court bid to temporarily block Pentagon blacklisting. CNBC : https://www.cnbc.com/2026/04/08/anthropic-pentagon-court-ruling-supply-chain-risk.htmlFederal Government and Anthropic: Considerations for AI Innovation and Competition. Congressional Research Service, Congress.gov : https://www.congress.gov/crs-product/IF13217Anthropic Disabled Fable 5 And Mythos 5 After A U.S. Export-Control Order. Forbes : https://www.forbes.com/sites/anishasircar/2026/06/16/anthropic-disabled-fable-5-and-mythos-5-after-a-us-export-control-order-heres-what-happened/Anthropic disables Fable and Mythos AI models after U.S. government bars foreign access. Fortune : https://fortune.com/2026/06/13/anthropic-disables-fable-mythos-export-controls-national-security-threat/US lifts restrictions on Anthropic's powerful AI models Fable and Mythos. Al Jazeera : https://www.aljazeera.com/economy/2026/7/1/us-lifts-restrictions-on-powerful-ai-models-fable-mythos-anthropic-saysAnthropic says Trump admin has lifted export controls on Claude Fable 5 and Mythos 5. CNBC : https://www.cnbc.com/2026/06/30/anthropic-says-trump-admin-has-lifted-export-controls-on-claude-fable-5-and-mythos-5.htmlUS Lifts Export Curbs on Anthropic AI Models. BankInfoSecurity : https://www.bankinfosecurity.com/us-lifts-export-curbs-on-anthropic-ai-models-a-32123On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09✉️ [email protected]🌐 radiocsirt.org📰 radiocsirt.substack.com#RadioCSIRT #ProjectGlasswing #Mythos #Fable5 #Anthropic #Claude #CyberSécurité #CTI #IA #ThreatIntelligence #Cybersecurity
-
667
Primera hora 1H (11/07/2026)
Primera hora 1h
-
666
Ep.692 - RadioCSIRT Flash info cybersécurité du vendredi 10 juillet 2026
🔑 La CISA publie le retour d'expérience d'un incident interne du 15 mai 2026 : un prestataire avait copié un dépôt de build et de déploiement, avec des identifiants d'administration, vers son GitHub personnel, exposant des clés AWS GovCloud. Dépôt retiré, identifiants réinitialisés, accès révoqués. Les journaux confirment aucune utilisation externe des clés ni compromission de données client ou de mission.🐧 FOSS Force rapporte le sabotage de l'infrastructure d'OpenMandriva par le développeur Davide Beatrici, qui conservait des droits d'administration après avoir migré les dépôts vers son instance privée OneDev. À la suite d'un conflit interne, il a supprimé une partie du dépôt GitHub et publié un paquet vide rendant obsolètes tous les paquets Gnome et Cosmic. L'équipe restaure les dépôts et renonce à des poursuites.🐧 Le CERT-FR publie deux avis Linux datés du 10 juillet. CERTFR-2026-AVI-0862 couvre de multiples vulnérabilités du noyau Linux de Debian LTS (bookworm, bullseye, trixie), avec élévation de privilèges, atteinte à la confidentialité et déni de service. CERTFR-2026-AVI-0866 porte sur Microsoft Azure Linux, impact non spécifié, composants azl3 kernel, libarchive, libreswan, libtiff et nginx.🪟 Le chercheur NightmareEclipse détaille une découverte dans Windows Defender sur le blog ProjectNightcrawler. Les mitigations récentes de mpengine.dll peuvent provoquer une fuite de huit octets vers les pilotes. Il décrit surtout un contournement de la limite de taille via les fichiers ADS Zone.Identifier : un serveur SMB malveillant qui bloque ses réponses provoque le blocage de Defender et l'épuisement de l'espace disque, reproduit sur Windows 11 25H2 et Windows Server 2025. Référence au correctif CVE-2026-50656 lié à RoguePlanet.🔓 BleepingComputer rapporte que Zimbra corrige une faille critique stored XSS du Classic Web Client, sans identifiant CVE à ce jour, via la version 10.1.19. L'exploitation repose sur des courriels conçus dont le code s'exécute à l'ouverture, permettant le vol de données de session. Signalée par le Google Threat Analysis Group. Rappel des campagnes russes visant Zimbra, dont CVE-2025-66376 et CVE-2025-48700.📱 Cyber Press relaie une étude des universités du Michigan et du Nouveau-Mexique : sur 281 applications VPN Android gratuites auditées avec le cadre MVPNalyzer, 61 transmettent des données en clair et 5 leur fichier de configuration en clair, ouvrant à une attaque de détournement de tunnel démontrée. 29 applications laissent fuir du trafic hors tunnel, dont 24 des requêtes DNS cumulant 360 millions d'installations.☁️ AWS introduit la prise en charge d'OAuth pour l'AWS MCP Server, réutilisant les identifiants IAM existants via le navigateur. Nouveaux contrôles de gouvernance : clés de condition globales OAuth, introspection et révocation de jetons, Dynamic Client Registration, éléments CloudTrail. Deux modèles d'autorisation, interactif et headless. L'implémentation s'appuie sur les RFC 9728, 8414 et 7591.🐛 Cisco Talos divulgue des vulnérabilités corrigées dans plusieurs produits. WolfSSL : CVE-2026-28739, CVE-2026-25106 et CVE-2026-33091. GeoVision : quatorze avis couvrant trente-sept CVE, dont injections de commandes, dépassements de tampon, élévations de privilèges et XSS. VTK-DICOM : CVE-2026-22879, dépassement de tampon dans le tas. Détection possible via règles Snort.🚨 La CISA ajoute deux vulnérabilités à son catalogue KEV sur preuves d'exploitation active : CVE-2026-48939 dans iCagenda et CVE-2026-56291 dans Balbooa Forms, toutes deux des téléversements sans restriction de fichier de type dangereux. La directive BOD 26-04 impose aux agences fédérales civiles la remédiation prioritaire des failles à haut risque du KEV sur les actifs exposés.Sources : Lessons from CISA's Cyber Incident. CISA : https://www.cisa.gov/news-events/news/lessons-cisas-cyber-incidentIn an Angry Fit, Dev Sabotages OpenMandriva Repository. FOSS Force : https://fossforce.com/2026/07/in-an-angry-fit-dev-sabotages-openmandriva-repository/Multiples vulnérabilités dans le noyau Linux de Debian LTS. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0862/Multiples vulnérabilités dans Microsoft Azure Linux. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0866/July updates. ProjectNightcrawler : https://blog.projectnightcrawler.dev/posts/2026-07-03-july-updates/Ranting Post. ProjectNightcrawler : https://blog.projectnightcrawler.dev/posts/2026-07-07-ranting-post/Some Interesting Findings in Windows Defender. ProjectNightcrawler : https://blog.projectnightcrawler.dev/posts/2026-07-09-some-interesting-findings-in-windows-defender/Zimbra urges customers to patch critical web client XSS flaw. BleepingComputer : https://www.bleepingcomputer.com/news/security/zimbra-urges-customers-to-patch-critical-web-client-xss-flaw/281 Google Play VPN Apps Expose Sensitive Information Through Cleartext Data Transmission. Cyber Press : https://cyberpress.org/281-google-play-vpn-apps-exposed/Introducing OAuth Support for AWS MCP Server. AWS Security Blog : https://aws.amazon.com/fr/blogs/security/introducing-oauth-support-for-aws-mcp-server/WolfSSL, GeoVision, VTK vulnerabilities. Cisco Talos : https://blog.talosintelligence.com/wolfssl-vulnerabilities/CISA Adds Two Known Exploited Vulnerabilities to Catalog. CISA : https://www.cisa.gov/news-events/alerts/2026/07/10/cisa-adds-two-known-exploited-vulnerabilities-catalog⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #OpenMandriva #Linux #Debian #AzureLinux #WindowsDefender #NightmareEclipse #RoguePlanet #Zimbra #XSS #VPN #Android #AWS #OAuth #MCP #Talos #WolfSSL #GeoVision #ZeroDay #KEV #CVE-2026-50656 #CVE-2025-66376 #CVE-2025-48700 #CVE-2026-28739 #CVE-2026-25106 #CVE-2026-33091 #CVE-2026-22879 #CVE-2026-48939 #CVE-2026-56291 #RadioCSIRT
-
665
Ep.691 - RadioCSIRT Édition Française - Flash info cybersécurité du jeudi 9 juillet 2026
🛡️ Red Hat et IBM lancent commercialement Lightwell, défense de la chaîne d'approvisionnement open source assistée par IA, élargie à Palo Alto Networks pour le virtual patching, avec Lightwell Network (dépôts signés, backports) et Lightwell Clearinghouse (correctifs sous embargo).📡 Le CERT-FR publie l'avis CERTFR-2026-AVI-0852 sur de multiples vulnérabilités Juniper Networks (Junos OS, cRPD, CTPView, Junos Space, Network Director), dont CVE-2026-33801, CVE-2026-33799 et CVE-2020-7450, permettant RCE, déni de service et fuite de données.🛡️ Le CERT-FR publie l'avis CERTFR-2026-AVI-0853 sur plusieurs centaines de vulnérabilités Palo Alto Networks (PAN-OS, Prisma Access, Prisma Browser, Cortex XDR Broker VM), avec RCE à distance, élévation de privilèges, SSRF et XSS.🐛 Le CERT-FR publie l'avis CERTFR-2026-AVI-0849 sur de multiples vulnérabilités Wireshark (branches antérieures à 4.6.7 et 4.4.17), référençant CVE-2026-15163 à CVE-2026-15174, permettant déni de service et atteinte à la confidentialité.🪟 Microsoft corrige le zero-day Defender RoguePlanet (CVE-2026-50656), divulgué par Nightmare Eclipse, une race condition donnant les privilèges SYSTEM sur Windows 10 et 11 à jour, corrigée via le Malware Protection Engine 1.1.26060.3008.🇫🇷 Vincent Strubel, DG de l'ANSSI, alerte les sénateurs sur le mur du patch lié aux vulnérabilités découvertes par l'IA, évoque le cas Mythos 5 d'Anthropic et rappelle que cloisonnement, gestion des accès et mises à jour restent la meilleure protection.🕵️ The Register et Proofpoint détaillent la campagne d'espionnage chinoise UNK_MassTraction contre des serveurs Roundcube d'universités, exploitant CVE-2024-42009 et CVE-2025-49113 pour déployer le stealer IceCube, le webshell SquareShell et l'implant VShell.🚨 The Hacker News et Symantec décrivent le ransomware GodDamn, rebranding de Beast, qui utilise le driver noyau signé PoisonX en attaque BYOVD pour désactiver les défenses, avec AnyDesk, NirSoft et PsExec.🎣 KrebsOnSecurity enquête sur IRIS C2 et Calvexa Group, startup de rachat de zero-days offrant jusqu'à 7 millions de dollars, associée à Jack Burkman et Jacob Wohl, aux lourds antécédents judiciaires.Sources :Lightwell: Red Hat's and IBM's AI Defense Against AI-Based Attacks. FOSS Force : https://fossforce.com/2026/07/lightwell-red-hats-and-ibms-ai-defense-against-ai-based-attacks/Multiples vulnérabilités dans les produits Juniper Networks. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0852/Multiples vulnérabilités dans les produits Palo Alto Networks. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0853/Multiples vulnérabilités dans Wireshark. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0849/Microsoft patches RoguePlanet Defender zero-day vulnerability. BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-rogueplanet-defender-zero-day-vulnerability/L'avertissement de Vincent Strubel face au mur du patch. ZDNET : https://www.zdnet.fr/actualites/ca-va-secouer-pendant-les-trois-prochaines-annees-au-moins-lavertissement-de-vincent-strubel-face-au-mur-du-patch-498468.htm Suspected Chinese snoops caught breaking into universities' Roundcube mailservers. The Register : https://www.theregister.com/security/2026/07/08/suspected-chinese-snoops-caught-breaking-into-universities-roundcube-mailservers/GodDamn Ransomware Uses PoisonX Driver to Disable Endpoint Defenses. The Hacker News : https://thehackernews.com/2026/07/goddamn-ransomware-uses-poisonx-driver.htmlFelons, Fraudsters Flog Offensive Cybersecurity Startup. KrebsOnSecurity : https://krebsonsecurity.com/2026/07/felons-fraudsters-flog-offensive-cybersecurity-startup/⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Lightwell #RedHat #IBM #PaloAltoNetworks #SupplyChain #Juniper #JunosOS #Wireshark #Microsoft #Defender #ZeroDay #RoguePlanet #NightmareEclipse #ANSSI #MurDuPatch #Roundcube #Proofpoint #UNKMassTraction #IceCube #VShell #Ransomware #GodDamn #PoisonX #BYOVD #IRISC2 #Krebs #CVE-2026-50656 #CVE-2024-42009 #CVE-2025-49113 #CVE-2026-33801 #CVE-2026-33799 #CVE-2020-7450 #CVE-2026-15163 #RadioCSIRT
-
664
Ep.690 - RadioCSIRT : Flash info cybersécurité du mercredi 8 juillet 2026
🚨 La CISA ajoute au catalogue KEV la vulnérabilité CVE-2026-48282, un Path Traversal dans Adobe ColdFusion activement exploité, dans le cadre de la directive BOD 26-04 de priorisation par le risque.🚨 La CISA ajoute trois vulnérabilités exploitées au catalogue KEV : CVE-2026-48908 dans JoomShaper SP Page Builder (upload de fichier dangereux), CVE-2026-55255 dans Langflow (contournement d'autorisation) et CVE-2026-56290 dans Joomlack Page Builder (contrôle d'accès défaillant).🐧 Canonical fait de l'ARM64 une priorité pour Ubuntu 26.04 LTS : migration des paquets vers archive.ubuntu.com, Livepatch sur ARM64, émulation Steam via FEX, Widevine dans Chrome ARM64 et Secure Boot sur Snapdragon X Elite via stubble.🚔 La police espagnole arrête à Palencia, sur renseignement du FBI, un homme soupçonné de soutenir les groupes hacktivistes pro-russes CARR, Z-Pentest et NoName057(16), et d'avoir aidé un hacker ukrainien à fuir vers la Russie.🐛 Unit 42 analyse une campagne diffusant Vidar Stealer et le mineur XMRig via malvertising et faux cracks : loader Factory-v3 en Go, certificats Authenticode contrefaits (JustWatch, Bleacher Report), inflation de fichiers à 491 Mo, bypass AMSI, notifications Telegram X3D MINER.☁️ Une analyse revient sur la campagne supply chain du groupe TeamPCP (UNC6780) : cascade partie de Trivy vers Checkmarx KICS, LiteLLM et Telnyx à travers PyPI, npm, Docker Hub et OpenVSX, avec CVE-2026-33634 et CVE-2026-45321.🛡️ Le FIRST présente PR3TACK, framework ouvert dévoilé à FIRSTCON26 qui catalogue des TTP plausibles mais non observées et les associe à des contre-mesures préventives, en complément de MITRE ATT&CK et D3FEND.Sources : CISA Adds One Known Exploited Vulnerability to Catalog. CISA : https://www.cisa.gov/news-events/alerts/2026/07/07/cisa-adds-one-known-exploited-vulnerability-catalogCISA Adds Three Known Exploited Vulnerabilities to Catalog. CISA : https://www.cisa.gov/news-events/alerts/2026/07/07/cisa-adds-three-known-exploited-vulnerabilities-catalogLe grand bouleversement d'Ubuntu : ARM64 en priorité. GoodTech : https://goodtech.info/ubuntu-26-04-lts-arm64-canonical-processeur/Spain arrests alleged supporter of pro-Russian hacktivist groups after FBI tip. The Record : https://therecord.media/spain-arrest-alleged-supporter-noname-carr-zpentestVidar Stealer Unmasked: Code Signing Abuse, Go Loaders and File Inflation. Unit 42 : https://unit42.paloaltonetworks.com/vidar-stealer-xmrig-miner-campaign-analysis/TeamPCP : anatomie d'une campagne d'attaques de la chaîne d'approvisionnement logicielle. Blog de Marc-Frédéric Gomez : https://blog.marcfredericgomez.fr/teampcp-anatomie-dune-campagne-dattaques-de-la-chaine-dapprovisionnement-logicielle/PR3TACK: The Preemptive Tactics and Countermeasures Knowledgebase. FIRST : https://www.first.org/blog/20260708-FIRSTCON26-PR3TACK⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #BOD2604 #AdobeColdFusion #Langflow #Joomla #JoomShaper #Ubuntu #ARM64 #Canonical #Hacktivism #NoName05716 #CARR #ZPentest #VidarStealer #XMRig #Malvertising #Factoryv3 #Monero #TeamPCP #UNC6780 #SupplyChain #PR3TACK #FIRSTCON26 #MITRE #CVE-2026-48282 #CVE-2026-48908 #CVE-2026-55255 #CVE-2026-56290 #CVE-2026-33634 #CVE-2026-45321 #RadioCSIRT
-
663
Ep.688 - RadioCSIRT Flash info cybersécurité du lundi 6 juillet 2026
🕵️ Check Point Research documente Cavern, framework C2 modulaire opéré par le groupe iranien Cavern Manticore, avec liens vers MuddyWater et Lyceum, contre fournisseurs IT et entités gouvernementales israéliennes. Chaîne via abus de la mise à jour SysAid, DLL side-loading vers uxtheme.dll trojanisée, cinq modules DLL couvrant fichiers, SQL, Active Directory, réseau et tunneling SOCKS5. Trois formats de compilation .NET dont Native AOT comme couche anti-analyse.🖥️ Vulnérabilité use-after-free CVE-2026-53359, baptisée Januscape, dans le shadow MMU de KVM, permettant une évasion guest-to-host sur Intel et AMD. PoC public provoquant un panic de l'hôte, exploit privé menant à l'exécution de code. Passée inaperçue seize ans, corrigée le 19 juin, versions stables publiées le 4 juillet. Contournement : désactiver la virtualisation imbriquée.🇯🇵 La police de Tokyo arrête un lycéen de 15 ans ayant exploité une faille des serveurs de Bandai Channel pour annuler plus de 46 000 abonnements. Il aurait analysé le trafic réseau puis automatisé l'attaque avec ChatGPT. Données frauduleuses envoyées en novembre 2025, service suspendu plus d'un mois. Persistance par changement d'adresse IP après blocage.🔐 L'ANSSI cessera de certifier les produits de sécurité sans chiffrement résistant au quantique dès 2027, avec un objectif d'achats exclusivement quantum-safe d'ici 2030. Mesure motivée par le risque harvest now, decrypt later. Certification requise pour agences et infrastructures critiques françaises. Plan quantique national de trois milliards d'euros ; menace située au milieu des années 2030.🛠️ Flipper Devices maintiendra le firmware du Flipper Zero avec une équipe réduite et davantage de contributions communautaires, le développement de fonctionnalités à temps plein étant terminé. Recentrage sur Flipper One et Busy Bar. Nouvelle approche : demandes évaluées chaque semaine, communication via GitHub Discussions avec votes, pull requests sous revue stricte, tests obligatoires. Vigilance sur le code généré par IA.📱 Qualcomm publie son bulletin de sécurité de juillet 2026. Faille critique CVE-2026-25268 : stack-based buffer overflow dans WLAN Host, CVSS 8,8, vecteur distant. Trois failles élevées : CVE-2026-21379 (buffer over-read, Windows Compute), CVE-2026-21383 (réutilisation de nonce AES-GCM, HLOS), CVE-2026-25271 (race condition TOCTOU, DSP Service). Correctifs partagés avec les OEM.Sources :Iran-Linked Hackers Use New Cavern C2 Framework to Target Israeli Organizations : The Hacker News : https://thehackernews.com/2026/07/iran-linked-hackers-use-new-cavern-c2.html16-Year-Old Linux KVM Flaw Lets Guest VMs Escape to Host on Intel and AMD x86 Systems : The Hacker News : https://thehackernews.com/2026/07/16-year-old-linux-kvm-flaw-lets-guest.htmlJapanese teen arrested over cyberattack that disrupted anime streaming service : The Record : https://therecord.media/japanese-teen-arrested-over-attack-disrupted-streaming-serviceFrance to stop certifying non-quantum-safe encryption : Schneier on Security : https://www.schneier.com/blog/archives/2026/07/france-to-stop-certifying-non-quantum-safe-encryption.htmlFrance to stop certifying products without quantum-safe encryption : Reuters : https://www.reuters.com/legal/litigation/france-stop-certifying-products-without-quantum-safe-encryption-2026-06-16/Flipper Zero firmware development continues with community help : BleepingComputer : https://www.bleepingcomputer.com/news/security/flipper-zero-firmware-development-continues-with-community-help/July 2026 Security Bulletin : Qualcomm : https://docs.qualcomm.com/securitybulletin/july-2026-bulletin.html⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Iran #CavernManticore #MuddyWater #OilRig #KVM #Linux #Januscape #Hyperviseur #Qualcomm #Snapdragon #ANSSI #QuantumSafe #PQC #FlipperZero #ChatGPT #BandaiChannel #CVE-2026-53359 #CVE-2026-25268 #RadioCSIRT
-
662
Ep.687 - RadioCSIRT Flash info cybersécurité du dimanche 5 juillet 2026
🐧 Seconde vague d'attaques contre le dépôt AUR d'Arch Linux, quelques heures après la clôture d'un incident ayant conduit au retrait de plus de 1 500 paquets malveillants. La nouvelle campagne utilise du code obfusqué exécuté après installation, qui télécharge silencieusement du JavaScript depuis Internet. Plus de 50 paquets infectés recensés, créations de comptes AUR temporairement bloquées.🖥️ Le projet NsCDE, environnement de bureau rétro reproduisant le Common Desktop Environment des UNIX des années 90 sur base FVWM, annonce le retour de son développement actif à l'automne après trois ans de pause. Au programme : reprise des thèmes Firefox et Thunderbird devenus incompatibles et corrections diverses. Dernière version publiée : 2.3, juin 2023.🐛 Vulnérabilité critique CVE-2026-59509 dans cve-search, outil open source utilisé par les CERT et CSIRT. Le point de terminaison POST /fetch_cve_data permet à un attaquant distant non authentifié de lire des collections MongoDB arbitraires, dont la collection mgmt_users contenant identifiants administrateurs et empreintes de mots de passe. Score CVSS 4.0 de 9,2. Correctif proposé via pull request sur GitHub.🔓 The Register publie une tribune sur les banques laissant le MFA optionnel, à travers le récit d'un vol de 30 000 dollars subi par une cliente de 84 ans. Réutilisation de mots de passe, compromission de Gmail avec filtres masquant les alertes bancaires : le FIDO Alliance plaide pour les passkeys résistantes au phishing face aux OTP jugés inadéquats.🎣 Securelist documente Armored Likho, groupe APT inédit ciblant gouvernements et secteur électrique en Russie, au Brésil et au Kazakhstan. Spear-Phishing avec droppers NSIS et fichiers LNK piégés, déploiement de l'infostealer Python BusySnake protégé par PyArmor, persistance par tâches planifiées et loaders de premier étage générés par IA.Sources : AUR to Arch: 'Houston, We've Got a Problem…We're Under Attack Again' : FOSS Force : https://fossforce.com/2026/06/aur-to-arch-houston-weve-got-a-problem-were-under-attack-again/ Not so Common Desktop Environment (NsCDE) : GitHub : https://github.com/NsCDE/NsCDE CVE-2026-59509 : Unauthenticated arbitrary MongoDB collection read in cve-search : CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-59509 MFA-optional banks leave safe doors (and accounts) wide open for thieves to pillage : The Register : https://www.theregister.com/security/2026/07/05/mfa-optional-banks-leave-safe-doors-and-accounts-wide-open-for-thieves-to-pillage/5266161 Armored Likho APT Deploys BusySnake Stealer Against Government and Power Sector Targets : GBHackers : https://gbhackers.com/busysnake-stealer-malware/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #ArchLinux #AUR #NsCDE #FVWM #CVESearch #MongoDB #MFA #Passkeys #FIDO #ArmoredLikho #BusySnake #Infostealer #Phishing #APT #Securelist #CVE-2026-59509 #RadioCSIRT
-
661
Ep.686 - RadioCSIRT : Flash info cybersécurité du samedi 4 juillet 2026
🛡️ Le Centre canadien pour la cybersécurité publie le bulletin AV26-649 relayant les correctifs WatchGuard du 2 juillet. Plusieurs branches de Fireware OS sont concernées, ainsi que le client Mobile VPN with SSL pour Windows. Les avis couvrent une Race Condition avec Use-After-Free dans Mobile VPN with IKEv2 et une élévation de privilèges locale dans le client SSL Windows.🔓 Cisco Talos dissèque ARToken, un panneau d'affiliation Phishing-as-a-Service lié à EvilTokens et ciblant Microsoft 365. Plus de 80 points d'API couvrent le Device Code Phishing, la persistance par Primary Refresh Token résistante aux changements de mot de passe et les opérations BEC. Le kit embarque un système anti-analyse en sept couches et des charges chiffrées en XOR.🎣 Malwarebytes documente une publicité sponsorisée sur X, publiée depuis un compte vérifié, qui imite l'utilitaire macOS DynamicLake pour installer Atomic Stealer via des commandes Terminal. La technique ConsentFix vole en parallèle des jetons de session Microsoft 365 sans malware ni mot de passe, en contournant la MFA par un simple glisser de lien localhost.🤖 Unit 42 décrit le phantom squatting, l'enregistrement préventif de domaines hallucinés par les LLM. Sur 2,1 millions d'URL générées pour 913 marques, 13 229 étaient déjà malveillantes et 250 000 domaines restent enregistrables par des attaquants. Le cas Montana Empire montre un kit de Phishing développé avec un assistant IA sur un domaine prédit 23 jours avant son enregistrement.🕵️ WatchGuard analyse une campagne TimbreStealer visant des entreprises mexicaines par DLL side-loading des binaires EdgeUpdate et GoogleUpdater. Les DLL malveillantes de 45 à 50 Mo utilisent des déchiffreurs RC4, un géorepérage UTC-5 à UTC-8 et exfiltrent les données de navigateurs, messageries et dossiers cloud.💰 Security Affairs relaie le rapport Ransom-ISAC sur une entité gouvernementale américaine ayant versé environ 1 million de dollars en Bitcoin au groupe Kairos, sans qu'aucun Ransomware n'ait jamais été relié au groupe. Extorsion fondée uniquement sur le vol de 2 To de données, preuve de suppression invérifiable et traçage blockchain vers ByBit, OKX et BELQI.🇰🇵 The Hacker News détaille la campagne nord-coréenne PolinRider, liée à Contagious Interview : 108 paquets et extensions malveillants sur npm, Packagist, Go et Chrome, 1 951 dépôts GitHub compromis, tâches VS Code à exécution automatique, réécriture d'historique Git et charges finales DEV#POPPER RAT et OmniStealer via des infrastructures blockchain.Sources : Bulletin de sécurité WatchGuard (AV26-649) : Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-watchguard-av26-649 ARToken: Inside an EvilTokens affiliate panel targeting Microsoft 365 : Cisco Talos : https://blog.talosintelligence.com/artoken-inside-an-eviltokens-affiliate-panel-targeting-microsoft-365/Verified X ad spreads Mac malware, while ConsentFix steals Microsoft accounts : Malwarebytes : https://www.malwarebytes.com/blog/news/2026/07/verified-x-ad-spreads-mac-malware-while-consentfix-steals-microsoft-accountsPhantom Squatting: AI-Hallucinated Domains as a Software Supply Chain Vector : Palo Alto Networks Unit 42 : https://unit42.paloaltonetworks.com/phantom-squatting-hallucinated-web-domains/Hackers Abuse EdgeUpdate and GoogleUpdater to Deploy TimbreStealer Infostealer : Cyber Press : https://cyberpress.org/timbrestealer-infostealer-attack/U.S. Government Agency Paid $1M to Data Extortion Group Kairos : Security Affairs : https://securityaffairs.com/194750/security/u-s-government-agency-paid-1m-to-data-extortion-group-kairos.htmlNorth Korean Hackers Publish 108 Malicious Packages and Extensions in PolinRider Campaign : The Hacker News : https://thehackernews.com/2026/07/north-korean-hackers-publish-108.html⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #WatchGuard #Fireware #PhaaS #EvilTokens #ARToken #Microsoft365 #ClickFix #ConsentFix #macOS #AtomicStealer #PhantomSquatting #LLM #SupplyChain #TimbreStealer #Infostealer #Kairos #Extortion #ContagiousInterview #PolinRider #npm #BeaverTail #RadioCSIRT
-
660
Ep.685 : RadioCSIRT Édition Française : Flash info cybersécurité du vendredi 3 juillet 2026
🇫🇷 Le CERT-FR publie un avis sur une vulnérabilité dans FreeBSD affectant les séries 14.x et 15.0 avec risque d'atteinte à la confidentialité. La CVE-2026-49424 nécessite application des correctifs depuis le bulletin FreeBSD-SA-26:47.💰 Un développeur accuse Google Cloud d'avoir facturé onze mille dollars de frais frauduleux liés à Gemini après compromission de Firebase Admin SDK, malgré suspension de compte et preuves de piratage.🕸️ Google et le FBI ont dégradé le botnet NetNut comptant environ deux millions d'appareils proxies résidentiels utilisés par trois cents clusters menaçants distincts durant une seule semaine en juin 2026.🚨 Citizen Lab révèle qu'un ancien député européen enquêteur sur Pegasus a été hacké avec l'espion NSO Group via zero-click exploit PWNYOURHOME alors qu'il siégeait au comité PEGA entre 2022 et 2023.🤖 Anthropic précise que Claude Fable 5 sera temporairement restreint aux subscriptions au-delà du 7 juillet pour raisons de capacité, mais promet un retour complet sous forme standard quand les capacités le permettront.Sources :Vulnérabilité dans FreeBSD : CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0830/Dev says Google warned him about account hijack then charged him eleven thousand anyway : The Register : https://www.theregister.com/cyber-crime/2026/07/03/dev-says-google-warned-him-about-account-hijack-then-charged-him-11000-anyway/5266234NetNut cracked as Google and FBI target two million device botnet : The Register : https://www.theregister.com/security/2026/07/03/netnut-cracked-as-google-and-fbi-target-2-million-device-botnet/5266414European Parliament Member Investigating Spyware Was Hacked With Pegasus : The Hacker News : https://thehackernews.com/2026/07/european-parliament-member.htmlClaude Fable 5 isn't permanently leaving subscriptions : BleepingComputer : https://www.bleepingcomputer.com/news/artificial-intelligence/claude-fable-5-isnt-permanently-leaving-subscriptions-anthropic-says/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #FreeBSD #CVE-2026-49424 #GoogleCloud #Gemini #NetNut #FBI #Botnet #Pegasus #NSOGroup #CitizenLab #PEGA #Anthropic #Claude #Fable #RadioCSIRT
-
659
Ep.684 - RadioCSIRT - Flash info cybersécurité du jeudi 2 juillet 2026
🐧 Anthropic publie une version bêta officielle de Claude Desktop pour Linux, prenant en charge Ubuntu 22.04 et supérieur et Debian 12 et supérieur, sur x86_64 et arm64. Installation par dépôt apt ou fichier .deb, avec les environnements Chat, Claude Cowork et Claude Code. La fonction Computer Use, la saisie vocale et les raccourcis Wayland restent exclus de cette préversion.📱 Clubic rapporte une faille non corrigée dans la fonction Masquer mon e-mail d'Apple. Selon le chercheur Tyler Murphy, une rétro-ingénierie permet de remonter d'une adresse relais au compte Apple d'origine, avec un taux de réussite de cent pour cent selon 404 Media. Signalée en juin 2025, la faille persiste, tandis qu'Apple migre les alias vers @private.icloud.com.🎣 The Hacker News détaille ChocoPoC, un RAT documenté par YesWeHack et Sekoia. Il se cache dans une dépendance Python (frint puis skytext) de faux dépôts de PoC sur GitHub ciblant les chercheurs. Il vole identifiants, cookies et fichiers, et pilote son C2 via Mapbox, DNS-over-HTTPS et domain fronting. Sept faux dépôts identifiés, liés à une campagne active depuis fin 2025.🚨 Security Affairs signale l'exploitation active de CVE-2026-46817 dans Oracle E-Business Suite. La faille touche Oracle Payments 12.2.3 à 12.2.15 et permet une prise de contrôle non authentifiée via HTTP. Oracle a corrigé lors de son dernier Critical Patch Update. Shadowserver dénombre environ 950 instances encore exposées, majoritairement aux États-Unis.🕵️ Schneier on Security décrit une campagne publicitaire fondée sur la surveillance, menée par Papa John's avec NBCUniversal, Instacart et Carat. En s'appuyant sur les achats de produits de base réalisés sur Instacart, l'opération prédit les jours où les consommateurs sont à court de provisions pour diffuser des publicités ciblées sur le streaming NBCUniversal.🛡️ BleepingComputer relie la campagne FortiBleed aux rançongiciels INC et Lynx. Selon SOCRadar, un outil FortiGate Sniffer interceptait les identifiants VPN sur les pare-feu compromis. La campagne aurait visé plus de 430 000 pare-feu FortiGate et déployé des sniffers sur environ 19 000 équipements. Un Zero-Day Nextcloud non divulgué et des comptes backdoor adminin sont évoqués.🐛 Check Point Research documente une technique de Ransomware exécutée uniquement dans le navigateur, dérivée d'un échantillon attribué à DeepSeek. Elle exploite la File System Access API des navigateurs Chromium, disponible sous Android depuis Chrome 132, sans payload natif ni exploitation de vulnérabilité. Le PoC, déguisé en outil d'amélioration d'images, cible les répertoires de photos.Sources : Anthropic déploie l'application Claude Desktop sur Linux : GoodTech : https://goodtech.info/claude-desktop-linux-beta-anthropic-developpeurs/Masquer mon e-mail : la faille d'Apple qui révèle vos vraies adresses : Clubic : https://www.clubic.com/actualite-619570-masquer-mon-e-mail-la-faille-d-apple-qui-revele-vos-vraies-adresses-depuis-plus-d-un-an.htm l New ChocoPoC RAT Targets Vulnerability Researchers via Fake PoC Exploit Repos : The Hacker News : https://thehackernews.com/2026/07/new-chocopoc-rat-targets-vulnerability.htmlOracle E-Business Suite Flaw Under Active Attack, 950 Systems Exposed : Security Affairs : https://securityaffairs.com/194599/security/oracle-e-business-suite-flaw-under-active-attack-950-systems-exposed.htmlPapa Johns Surveillance-Based Advertising : Schneier on Security : https://www.schneier.com/blog/archives/2026/07/papa-johns-surveillance-based-advertising.htmlFortiBleed credential-theft campaign linked to Lynx ransomware : BleepingComputer : https://www.bleepingcomputer.com/news/security/fortibleed-credential-theft-campaign-linked-to-lynx-ransomware/Browser-Only Ransomware: From LLM Hallucinations to a Practical Attack Technique : Check Point Research : https://research.checkpoint.com/2026/browser-only-ransomware-from-llm-hallucinations-to-a-practical-attack-technique/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Anthropic #Claude #Linux #Ubuntu #Debian #Apple #HideMyEmail #ChocoPoC #RAT #SupplyChain #YesWeHack #Sekoia #GitHub #PyPI #Oracle #EBusinessSuite #Shadowserver #Privacy #Surveillance #Instacart #FortiBleed #Fortinet #FortiGate #INCRansom #Lynx #Ransomware #Nextcloud #ZeroDay #CheckPoint #DeepSeek #Chromium #FileSystemAccessAPI #CVE-2026-46817 #RadioCSIRT
-
658
Ep.683 - RadioCSIRT - Flash info cybersécurité du mercredi 1er juillet 2026
🔐 Proton met en avant Lumo AI, son assistant conversationnel positionné sur la confidentialité. Selon Proton, le service n'entraîne pas ses modèles sur les données des utilisateurs, ne journalise pas les conversations et ne les partage pas. Code open source, hébergement européen, mode Ghost, historique chiffré de bout en bout et intégration Proton Drive figurent parmi les fonctions annoncées.🛠️ Git 2.55.0 est disponible. La version apporte la sous-commande git-history fixup, un daemon fsmonitor sous Linux via inotify, la prise en charge des groupes de remotes par git-push, l'option --graph-lane-limit, un batching des blobs pour git-grep et git-cherry en partial clone, et rend Rust requis pour compiler Git depuis les sources.🐧 Linux Magazine rapporte un gain d'environ 5 pour cent d'IOPS sur ext4 et XFS. Le correctif, signé Fengnan Chang (ByteDance) et intégré par Christian Brauner, déplace un memset de iomap_iter pour l'exécuter après l'itération, supprimant un gaspillage de bande passante mémoire dans les scénarios NVMe io_uring.🔓 CISA a ajouté le 29 juin 2026 CVE-2026-48558 à son catalogue KEV, sur preuve d'exploitation active. Il s'agit d'un Authentication Bypass affectant SimpleHelp. La Binding Operational Directive 26-04 impose aux agences fédérales civiles une remédiation prioritaire des vulnérabilités KEV sur les actifs exposés.🚨 CISA a ajouté le 1er juillet 2026 CVE-2026-45659 à son catalogue KEV, également sur preuve d'exploitation active. La faille, de type Deserialization of Untrusted Data, affecte Microsoft SharePoint Server. Elle relève des exigences de remédiation prioritaire prévues par la directive 26-04.💾 Le CERT-FR publie l'avis CERTFR-2026-AVI-0819 sur de multiples vulnérabilités dans Synology MailPlus Server (CVE-2025-15660, CVE-2026-13135, CVE-2026-13136). Elles permettent déni de service à distance, atteinte à la confidentialité et à l'intégrité des données. Versions antérieures à 4.0.1-21663 (DSM 7.2.1/7.2.2) et 4.0.1-31663 (DSM 7.3) affectées.🐛 CVEFeed documente CVE-2026-50521, une faille de type Remote Code Execution dans Microsoft Edge basé sur Chromium, publiée le 1er juillet 2026. Score CVSS 3.1 de 8,3 (sévérité élevée), exploitable à distance, sans interaction utilisateur. Le vecteur mentionne un exploit non prouvé et un correctif officiel disponible.Sources :Get 23% off Lumo AI : Proton : https://proton.me/l/lumo/partner-discount What's new in Git 2.55.0? : GitLab : https://about.gitlab.com/blog/whats-new-in-git-2-55-0/Three Lines of Code Improve Linux Storage Performance : Linux Magazine : https://www.linux-magazine.com/Online/News/Three-Lines-of-Code-Improve-Linux-Storage-PerformanceCISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-48558) : CISA : https://www.cisa.gov/news-events/alerts/2026/06/29/cisa-adds-one-known-exploited-vulnerability-catalogCISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-45659) : CISA : https://www.cisa.gov/news-events/alerts/2026/07/01/cisa-adds-one-known-exploited-vulnerability-catalogMultiples vulnérabilités dans Synology MailPlus Server : CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0819/CVE-2026-50521 Microsoft Edge Remote Code Execution : CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-50521⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Proton #Lumo #Git #GitLab #Rust #Linux #ext4 #XFS #NVMe #CISA #KEV #BOD2604 #SimpleHelp #Microsoft #SharePoint #Edge #Chromium #CERTFR #Synology #MailPlus #RCE #AuthenticationBypass #CVE-2026-48558 #CVE-2026-45659 #CVE-2025-15660 #CVE-2026-13135 #CVE-2026-13136 #CVE-2026-50521 #RadioCSIRT
-
657
Ep.681 - RadioCSIRT - Flash info cybersécurité du lundi 29 juin 2026
🚨 La CISA ajoute deux vulnérabilités activement exploitées à son catalogue KEV : la CVE-2026-12569 dans PTC Windchill et FlexPLM, et la CVE-2026-20230, une faille SSRF dans Cisco Unified Communications Manager. Les agences fédérales doivent prioriser la remédiation selon la BOD 26-04.🛡️ Le CERT-FR publie l'avis CERTFR-2026-AVI-0814 sur la CVE-2026-55204, une vulnérabilité Null Pointer Dereference dans le traitement HPACK de HAProxy, permettant un déni de service à distance. Correctifs disponibles pour les branches ALOHA et Enterprise.🔐 Le CERT-FR signale cinq vulnérabilités dans Stormshield Management Center (CERTFR-2026-AVI-0816), dont une exécution de code arbitraire. La mise à jour vers la version 3.9.2 corrige les CVE-2026-6473, CVE-2026-6475, CVE-2026-6477, CVE-2026-6637 et CVE-2026-6638.🔥 Les vagues de chaleur menacent les data centers : 40 % de leur consommation est dédiée au refroidissement, et 79 % des installations mondiales sont exposées à des aléas climatiques graves. L'IA amplifie le défi thermique avec des GPU à haute densité.🪟 Le chercheur NightmareEclipse annonce pour juillet 2026 la publication de failles dans des composants Microsoft. Il évoque également un contournement facilité de Windows Defender après des modifications récentes du moteur mpengine.dll.🪟 Microsoft prolonge le hotpatching de Windows Server 2022 Datacenter Azure Edition jusqu'en octobre 2027. Les mises à jour de sécurité continueront à être appliquées sans redémarrage pour les systèmes inscrits.🐛 La CVE-2026-55200, une faille critique (CVSS v4 : 9.2) dans libssh2, permet une exécution de code à distance via un out-of-bounds write dans ssh2_transport_read(). Toutes les versions jusqu'à 1.11.1 sont affectées. Correctif disponible.🇨🇳 Mustang Panda cible le gouvernement indien et le secteur hydroélectrique avec trois nouveaux outils : SHARDLOADER, MINIRECON et ZOHOMURK. Ce dernier exploite Zoho WorkDrive comme canal C2 via des identifiants OAuth codés en dur. Activité observée du 12 au 22 juin 2026.Sources :CISA Adds Two Known Exploited Vulnerabilities to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/06/25/cisa-adds-two-known-exploited-vulnerabilities-catalogVulnérabilité dans HAProxy — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0814/Multiples vulnérabilités dans Stormshield Management Center — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0816/Canicule : les vagues de chaleur menacent aussi les data centers — Clubic : https://www.clubic.com/actualite-619033-canicule-les-data-centers-ia-sous-pression-face-au-risque-climatique.htmlMicrosoft is an interesting company — Project Nightcrawler : https://blog.projectnightcrawler.dev/posts/2026-06-22-microsoft-is-an-interesting-company/Microsoft extends Windows Server 2022 hotpatching until October 2027 — BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-extends-windows-server-2022-hotpatching-until-october-2027/CVE-2026-55200: Critical libssh2 Flaw Opens Remote Code Execution Path — TheCyberThrone : https://thecyberthrone.in/2026/06/29/cve-2026-55200-critical-libssh2-flaw-opens-remote-code-execution-path/Mustang Panda Uses Zoho WorkDrive as Command Channel in Indian Government Attacks — The Hacker News : https://thehackernews.com/2026/06/mustang-panda-uses-zoho-workdrive-as.html⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #CVE-2026-12569 #CVE-2026-20230 #PTC #Windchill #Cisco #CERTFR #HAProxy #CVE-2026-55204 #Stormshield #CVE-2026-6473 #CVE-2026-6475 #CVE-2026-6477 #CVE-2026-6637 #CVE-2026-6638 #DataCenter #Canicule #IA #Microsoft #WindowsDefender #WindowsServer #Hotpatch #libssh2 #CVE-2026-55200 #RCE #MustangPanda #Zoho #APT #ThreatIntelligence #Inde #Espionnage #RadioCSIRT
-
656
Ep. 680- RadioCSIRT Édition Spéciale - Réponse à un auditeur : peut-on encore faire confiance à Trivy ?
🔍 Cet épisode spécial répond à la question d'un auditeur de RadioCSIRT sur la confiance à accorder à Trivy après les deux compromissions de mars 2026. Rappel factuel des incidents TeamPCP : exploitation d'une misconfiguration GitHub Actions, vol de credentials, tag poisoning de 76 tags trivy-action, publication de binaires malveillants (v0.69.4 à v0.69.6) et déploiement du ver auto-propagatif CanisterWorm sur plus de 60 paquets npm.🛡️ Analyse de la confiance : la faille ne portait pas sur le moteur de scan mais sur l'infrastructure de distribution. Aqua Security a depuis activé les releases immuables, renforcé la signature Cosign/Sigstore et restauré les pipelines de bases de données. La version actuelle 0.71.2 est publiée sous régime immutable.🔧 Alternatives et diversification : le combo Syft/Grype (Anchore) offre une approche SBOM-first complémentaire à Trivy. Autres options : Clair (Red Hat), Docker Scout, Snyk, Dependency-Track. La diversification des moteurs de scan reste la meilleure stratégie.🎓 Questions philo/cyber : la transparence post-incident est une nécessité opérationnelle pour les outils open source massivement déployés, mais doit être séquencée (contenir, puis divulguer). L'absence de vulnérabilité connue dans un produit fermé ne signifie pas l'absence de vulnérabilité : un outil attaqué puis durci inspire davantage confiance qu'un produit non veillé.Sources :Aqua Security, Trivy Supply Chain Attack: What You Need to Know : https://www.aquasec.com/blog/trivy-supply-chain-attack-what-you-need-to-know/CrowdStrike, From Scanner to Stealer: Inside the trivy-action Supply Chain Compromise : https://www.crowdstrike.com/en-us/blog/from-scanner-to-stealer-inside-the-trivy-action-supply-chain-compromise/Microsoft, Guidance for detecting, investigating, and defending against the Trivy supply chain compromise : https://www.microsoft.com/en-us/security/blog/2026/03/24/detecting-investigating-defending-against-trivy-supply-chain-compromise/Aikido Security, TeamPCP deploys CanisterWorm on NPM following Trivy compromise : https://www.aikido.dev/blog/teampcp-deploys-worm-npm-trivy-compromiseThe Hacker News, Trivy Supply Chain Attack Triggers Self-Spreading CanisterWorm Across 47 npm Packages : https://thehackernews.com/2026/03/trivy-supply-chain-attack-triggers-self.htmlPalo Alto Networks, When Security Scanners Become the Weapon : https://www.paloaltonetworks.com/blog/cloud-security/trivy-supply-chain-attack/StepSecurity, Trivy Compromised a Second Time : https://www.stepsecurity.io/blog/trivy-compromised-a-second-time---malicious-v0-69-4-releaseGitHub Security Advisory, GHSA-69fq-xp46-6x23 : https://github.com/aquasecurity/trivy/security/advisories/GHSA-69fq-xp46-6x23DPO Partage, Trivy empoisonné : quand l'outil de sécurité devient lui-même la menace : https://www.dpo-partage.fr/trivy-empoisonne-quand-loutil-de-securite-devient-lui-meme-la-menace/Stéphane Robert, Trivy Aqua : réponse supply chain : https://blog.stephane-robert.info/post/trivy-aqua-reponse-supply-chain/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Trivy #AquaSecurity #SupplyChain #TeamPCP #CanisterWorm #CVE-2026-33634 #GitHubActions #CICD #Syft #Grype #Anchore #SBOM #CycloneDX #SPDX #Cosign #Sigstore #npm #OpenSource #RadioCSIRT
-
655
Ep.679 - Podcast RadioCSIRT - Flash info cybersécurité du dimanche 28 juin 2026
🤖 Cisco Talos explore l'apport des modèles de langage pour indexer et exploiter le renseignement sur les menaces au-delà des IOC tactiques. La newsletter met également en lumière l'abus du Component Object Model par des malwares comme Qakbot et WarmCookie pour la persistance et l'évasion sous Windows.📦 Malwarebytes analyse une campagne d'arnaque au « Parcel Expert » diffusée via WhatsApp. Les victimes sont recrutées comme mules logistiques pour réexpédier des colis achetés avec des moyens de paiement volés, avec des risques de poursuites judiciaires et de vol d'identité.🦈 Kaspersky documente StrikeShark, une campagne utilisant le loader SharkLoader pour déployer Cobalt Strike Beacon via l'exploitation d'applications exposées (Exchange, Openfire, GeoServer, Fortinet). L'acteur, attribué avec faible confiance à un groupe sinophone, cible des entités gouvernementales et des développeurs logiciels dans plus de dix pays.🔬 VirusTotal publie YARA-X v1.18.0 et v1.19.0, apportant des optimisations de performance de scan, des avertissements pour les patterns problématiques, de nouveaux types d'architecture PE, et des corrections de bugs incluant un comportement indéfini lors de la désérialisation de données non fiables.🔓 Le FBI et la CISA alertent sur l'évolution d'une campagne de phishing des services de renseignement russes (UNC5792/UNC4221) ciblant les utilisateurs Signal. Les attaquants se font passer pour le support Signal afin de collecter les clés de récupération de sauvegarde et accéder à l'historique complet des conversations.🐧 La vulnérabilité CVE-2026-46331, baptisée Pedit COW, affecte le sous-système traffic-control du noyau Linux (v5.18 à v7.1-rc7). Un exploit public corrompt l'image ELF de /bin/su dans le page cache sans toucher au disque, contournant les contrôles d'intégrité. RHEL, Debian et Ubuntu sont concernés.Sources :Beyond IOCs: AI-enabled threat intelligence — Cisco Talos : https://blog.talosintelligence.com/beyond-iocs-ai-enabled-threat-intelligence/Beware of "Parcel Expert" job offers: They're parcel mule scams — Malwarebytes : https://www.malwarebytes.com/blog/scams/2026/06/beware-of-parcel-expert-job-offers-theyre-parcel-mule-scamsStrikeShark: investigating a new campaign delivering Cobalt Strike through SharkLoader — Kaspersky Securelist : https://securelist.com/strikeshark-campaign/120326/YARA-X v1.18.0 Release — VirusTotal GitHub : https://github.com/VirusTotal/yara-x/releases/tag/v1.18.0YARA-X v1.19.0 Release — VirusTotal GitHub : https://github.com/VirusTotal/yara-x/releases/tag/v1.19.0FBI: Russian hackers now target Signal backup recovery keys — BleepingComputer : https://www.bleepingcomputer.com/news/security/fbi-russian-hackers-now-target-signal-backup-recovery-keys/New Pedit COW Linux Kernel Flaw Lets Local Users Gain Root Access — Cyber Press : https://cyberpress.org/packet_edit_meme-linux-kernel-flaw/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CiscoTalos #COM #ThreatIntelligence #LLM #Malwarebytes #ParcelMule #Scam #Kaspersky #StrikeShark #SharkLoader #CobaltStrike #APT #YARA #YARAx #VirusTotal #FBI #CISA #Signal #Phishing #UNC5792 #UNC4221 #Linux #Kernel #CVE-2026-46331 #PeditCOW #PrivilegeEscalation #RadioCSIRT
-
654
Ep.678 - RadioCSIRT - Flash info cybersécurité du jeudi 25 juin 2026
🇺🇸 Le secrétaire à la Sécurité intérieure Markwayne Mullin révèle devant le Congrès que le président a rencontré un candidat au poste de directeur de la CISA. L'agence, qui a perdu un tiers de ses effectifs, prévoit le recrutement de six cents personnes. La reconstruction est estimée à un an.🪟 Microsoft prolonge discrètement d'un an le programme gratuit de mises à jour de sécurité étendues pour Windows 10. L'échéance passe du 12 octobre 2026 au 12 octobre 2027. Une licence couvre jusqu'à dix appareils personnels associés au même compte Microsoft.🌐 Google publie Chrome 149 avec la correction de dix-huit vulnérabilités, dont quatre critiques. Deux Use-after-Free dans WebGL permettent une évasion du Sandbox. Un Use-after-Free dans Autofill touche les données de paiement. Aucune exploitation active confirmée.🛡️ Cisco Talos publie une recherche approfondie sur l'utilisation de COM par les malwares Windows. Les études de cas couvrent Qakbot, Gh0stRAT, Attor et WarmCookie, montrant comment COM sert au mouvement latéral, à la persistance et à l'évasion de la détection EDR.Sources :DHS chief says president has met with potential CISA nominee; agency plans to hire 600. Recorded Future News : https://therecord.media/cisa-director-nominee-workforce-hires-mullin-house-hearingMicrosoft quietly extends free Windows 10 ESU support to October 2027. BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-quietly-extends-free-windows-10-esu-support-to-october-2027/Google Chrome 149 Security Update: 18 Vulnerabilities Patched. TheCyberThrone : https://thecyberthrone.in/2026/06/25/google-chrome-149-security-update-18-vulnerabilities-patched/Introduction to COM usage by Windows threats. Cisco Talos : https://blog.talosintelligence.com/introduction-to-com-usage-by-windows-threats/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #DHS #Palantir #Windows10 #ESU #Microsoft #Chrome #Google #Chrome149 #WebGL #UseAfterFree #Autofill #CVE-2026-13028 #CVE-2026-13032 #CVE-2026-13033 #CVE-2026-13038 #COM #DCOM #CiscoTalos #Qakbot #Gh0stRAT #Attor #WarmCookie #BITS #TaskScheduler #MalwareAnalysis #ReverseEngineering #RadioCSIRT
-
653
Ep.677 - RadioCSIRT - Flash info cybersécurité du mercredi 24 juin 2026
🛡️ Opération Endgame : Eurojust et Europol coordonnent le démantèlement de SocGholish, StealC et Amadey. 326 serveurs et 142 domaines neutralisés, 27 millions de jeux de données compromis récupérés.🔗 Cordyceps : Novee Security identifie une classe de failles CI/CD exposant plus de 300 dépôts GitHub de Microsoft, Google, Apache, Cloudflare et Python à des attaques Supply Chain.🤖 Technique anti-analyse : des développeurs de spyware insèrent du texte interdit dans les commentaires JavaScript pour bloquer les scanners basés sur des LLM, selon Bruce Schneier.🕸️ Scattered Spider : Thalha Jubair et Owen Flowers plaident coupable à Londres pour des attaques contre Transport for London, des prestataires de santé américains et des enseignes britanniques. Condamnation prévue le 15 juillet 2026.💾 Tata Electronics confirme une cyberattaque revendiquée par World Leaks, avec fuite de données de fabrication liées à Apple, incluant schémas de composants et designs de PCB.🎣 La CNIL alerte sur de faux organismes de protection des données qui contactent des victimes de violations pour leur soutirer des informations personnelles supplémentaires.🚨 La CISA ajoute quatre vulnérabilités activement exploitées au catalogue KEV : CVE-2025-67038 (Lantronix EDS5000), CVE-2026-34908, CVE-2026-34909 et CVE-2026-34910 (Ubiquiti UniFi OS).🔧 Le CERT-FR publie l'avis CERTFR-2026-AVI-0797 couvrant 18 CVE dans cURL et libcurl, corrigées dans la version 8.21.0. Risques de déni de service, atteinte à la confidentialité et contournement de politique de sécurité.🔐 La CISA publie un guide Zero Trust / SASE pour accompagner les agences fédérales dans leur transition depuis les architectures périmètriques TIC 2.0 vers TIC 3.0.🐛 CVE-2026-56351 : injection SQL dans n8n (MySQL, PostgreSQL, Microsoft SQL) permettant l'exécution de commandes non autorisées. Score CVSS 8,2. Correctif en version 2.4.0.Sources :Operation Endgame continues — Eurojust : https://www.eurojust.europa.eu/news/operation-endgame-continues-international-coalition-takes-malware-offlineCordyceps CI/CD Flaws Expose 300+ GitHub Repositories — The Hacker News : https://thehackernews.com/2026/06/cordyceps-cicd-flaws-expose-300-github.htmlEmbedding Forbidden Text in Spyware to Discourage AI Analysis — Schneier on Security : https://www.schneier.com/blog/archives/2026/06/embedding-forbidden-text-in-spyware-to-discourage-ai-analysis-2.htmlScattered Spider Hackers Plead Guilty on Day 1 of Trial — Krebs on Security : https://krebsonsecurity.com/2026/06/scattered-spider-hackers-plead-guilty-on-day-1-of-trial/Tata Electronics confirms cyberattack as hackers leak data — BleepingComputer : https://www.bleepingcomputer.com/news/security/tata-electronics-confirms-cyberattack-as-hackers-leak-data/Des escrocs arnaquent des victimes de violations de données — Clubic : https://www.clubic.com/actualite-618493-des-escrocs-essaient-d-arnaquer-des-victimes-de-violations-de-donnees-et-se-faisant-passer-pour-des-protecteurs-des-donnees.htmlCISA Adds Four Known Exploited Vulnerabilities to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/06/23/cisa-adds-four-known-exploited-vulnerabilities-catalogMultiples vulnérabilités dans cURL et libcurl — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0797/New CISA Guide Zero Trust / SASE — CISA : https://www.cisa.gov/news-events/news/new-cisa-guide-assists-federal-agencies-transitioning-modernized-zero-trust-architecturesCVE-2026-56351 n8n SQL Injection — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-56351⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #OperationEndgame #SocGholish #StealC #Amadey #Cordyceps #SupplyChain #CICD #GitHub #ScatteredSpider #Ransomware #WorldLeaks #TataElectronics #Apple #CNIL #Phishing #DataBreach #CISA #KEV #Ubiquiti #UniFi #CVE-2025-67038 #CVE-2026-34908 #CVE-2026-34909 #CVE-2026-34910 #cURL #libcurl #CERTFR #ZeroTrust #SASE #TIC3 #n8n #SQLInjection #CVE-2026-56351 #RadioCSIRT
-
652
Ep.676 - RadioCSIRT Édition Française - Flash info cybersécurité du Mardi 23 juin 2026
🔐 Au sommaire de cette édition : une vulnérabilité de validation cryptographique dans GnuPG, la sortie officielle du noyau Linux 7.1, une déclaration stratégique commune des agences Five Eyes sur le risque cyber lié à l'intelligence artificielle, une faille de contrôle d'accès dans MISP Core et une analyse du SANS ISC sur les configurations SonicWall qui restent exploitables après correctif. Tour d'horizon factuel des vulnérabilités, des évolutions logicielles et des postures de défense du jour.🔐 GnuPG corrige la CVE-2026-57062 dans gpgsm : l'analyse du format CMS accepte une longueur ICV de quatre octets au lieu des douze attendus pour AES-GCM, affaiblissant le contrôle d'intégrité. GnuPG jusqu'à 2.5.20 est concerné, en lien avec la CVE-2026-34182. CVSS 3.1 à 2.9. (CVEFeed / MITRE)🐧 Le noyau Linux 7.1 est publié par Linus Torvalds le 14 juin 2026 : nouveau pilote NTFS en espace noyau (iomap, folios), Intel FRED activé par défaut, contrôles Landlock étendus aux sockets UNIX et suppression de plus de 140 000 lignes de code hérité. (Linux Journal)🚨 Les agences Five Eyes publient une déclaration commune le 22 juin 2026 sur la transformation du risque cyber par l'intelligence artificielle : réduction de la fenêtre entre découverte et exploitation, appel à traiter le risque comme un enjeu métier, priorité aux fondamentaux et intégration de l'IA dans la défense. (CISA)🔓 MISP Core corrige la CVE-2026-56423 : un défaut de contrôle d'accès dans les suppressions en masse permettait à un utilisateur contributeur de supprimer définitivement des Event Reports et Sharing Groups d'autres organisations à l'échelle de l'instance. Exploitable à distance. CVSS 3.1 HIGH à 9.4, CVSS 4.0 CRITICAL. (CVEFeed / CIRCL)🛡️ Le SANS ISC détaille les configurations SonicWall vulnérables après correctif de la CVE-2024-40766 (CVSS 9.3, exploitée par Akira et Fog depuis septembre 2024) : comptes locaux obsolètes, mots de passe non renouvelés, groupe LDAP par défaut trop permissif, portail Virtual Office exposé permettant un contournement MFA. La CVE-2024-12802 vise le contournement MFA sur les équipements Gen 6 en fin de vie. (SANS Internet Storm Center)Sources :CVE-2026-57062 — GnuPG gpgsm AES-GCM ICV Length Validation Bypass — CVEFeed.io : https://cvefeed.io/vuln/detail/CVE-2026-57062Linux Kernel 7.1 Officially Released with New NTFS Driver, Intel FRED, and Major Code Cleanup — Linux Journal : https://www.linuxjournal.com/content/linux-kernel-71-officially-released-new-ntfs-driver-intel-fred-and-major-code-cleanupFive Eyes Cyber Security Agencies Statement: The AI shift in cyber risk — CISA : https://www.cisa.gov/news-events/news/five-eyes-cyber-security-agencies-statementCVE-2026-56423 — MISP Core: Broken access control via bulk deletion endpoints — CVEFeed.io : https://cvefeed.io/vuln/detail/CVE-2026-56423CVE-2024-40766: The Patch Fixed the Bug. Nobody Fixed the Configuration. — SANS Internet Storm Center : https://isc.sans.edu/diary/rss/33094⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #GnuPG #gpgsm #Cryptography #Linux #Kernel #IntelFRED #NTFS #FiveEyes #CISA #AI #MISP #ThreatIntelSharing #SonicWall #SSLVPN #Akira #Fog #Ransomware #MFA #CVE-2026-57062 #CVE-2026-56423 #CVE-2024-40766 #CVE-2024-12802 #RadioCSIRT
-
651
Ep.675 - RadioCSIRT Édition Française - Flash info cybersécurité du dimanche 21 juin 2026
🪟 Un youtubeur australien détourne une machine à glaçons et un thermostat de réfrigérateur à bière pour refroidir une RTX 3060 à 22 °C sous Cyberpunk 2077, soit une baisse de 62 % par rapport au refroidissement standard. La condensation sur les composants après dix minutes marque la limite physique de l'expérience. (Clubic)🛡️ Le botnet AryStinger a compromis plus de quatre mille routeurs D-Link DIR-850L et DIR-818LW en exploitant des vulnérabilités anciennes. Les appareils infectés servent de proxys, scanners et tunnels d'attaque distribués. Deux variantes existent, dont une en Go ciblant les systèmes NAS avec des capacités de reconnaissance réseau interne. (BleepingComputer / Qianxin XLab)🔓 L'infostealer Vidar contourne le chiffrement Application-Bound Encryption de Google Chrome en créant un fork silencieux du processus navigateur et en extrayant la clé maîtresse v20 directement en mémoire via injection APC. La technique adapte sa méthode selon l'antivirus présent et rechiffre la clé après extraction pour effacer ses traces. (CyberPress / Gen Threat Labs)🚨 Le CERT-FR publie l'avis CERTFR-2026-AVI-0786 sur treize vulnérabilités dans Node.js affectant les branches 22.x, 24.x et 26.x. Les risques couvrent le déni de service à distance, l'atteinte à la confidentialité et à l'intégrité des données, et le contournement de la politique de sécurité. (CERT-FR)🤖 Linux Journal analyse la montée en puissance du pentest par IA agentique. Ces plateformes autonomes valident en continu l'exploitabilité réelle des vulnérabilités, réduisant le bruit des scanners classiques et remplaçant progressivement les évaluations ponctuelles dans les pipelines DevSecOps. (Linux Journal)Sources : Il détourne une machine à glaçons pour refroidir sa RTX 3060 — Clubic : https://www.clubic.com/actualite-617935-il-detourne-une-machine-a-glacons-pour-refroidir-sa-rtx-3060-thermostat-de-frigo-a-biere-inclusAryStinger botnet infected thousands of D-Link routers worldwide — BleepingComputer : https://www.bleepingcomputer.com/news/security/arystinger-botnet-infected-thousands-of-d-link-routers-worldwide/Vidar Malware Bypasses Chrome Encryption Using CryptUnprotectMemory — CyberPress : https://cyberpress.org/vidar-malware-bypasses-chrome-encryption/Multiples vulnérabilités dans Node.js — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0786/The Growth of Vulnerability Management: The Rise of Agentic AI Pentesting — Linux Journal : https://www.linuxjournal.com/content/growth-vulnerability-management-rise-agentic-ai-pentesting⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #RTX3060 #Modding #Cooling #AryStinger #DLink #Botnet #Vidar #Chrome #Infostealer #NodeJS #CERTFR #CVE-2013-3307 #CVE-2016-5681 #CVE-2025-11837 #CVE-2026-21636 #CVE-2026-48615 #CVE-2026-48617 #CVE-2026-48618 #CVE-2026-48619 #CVE-2026-48928 #CVE-2026-48930 #CVE-2026-48931 #CVE-2026-48933 #CVE-2026-48934 #CVE-2026-48935 #CVE-2026-48936 #CVE-2026-48937 #Pentest #AgenticAI #DevSecOps #RadioCSIRT
-
650
Ep.673 - RadioCSIRT Édition Française - Flash info cybersécurité du jeudi 19 juin 2026
📱 Les chercheurs de Paradigm Shift publient usbliter8, un exploit non corrigeable ciblant le SecureROM des puces Apple A12 et A13. La faille, liée au contrôleur USB Synopsys DWC2, permet une exécution de code en mode privilégié EL1 via un accès physique en mode DFU. Les appareils concernés incluent les iPhone XS, XR, 11, SE deuxième génération et plusieurs iPad et Apple Watch. Aucun CVE attribué. (The Hacker News)🐛 VulnCheck référence la CVE-2019-25748, une injection SQL non authentifiée dans JHotelReservation 6.0.7 pour Joomla. Le paramètre rooms du endpoint search-hotels permet d'extraire des données sensibles de la base via une requête POST. Score CVSS 3.1 HIGH. (CVEFeed)☁️ AWS publie un guide d'utilisation de Kiro CLI pour l'investigation d'incidents de sécurité. L'assistant en ligne de commande automatise le triage de findings GuardDuty, le confinement d'instances EC2, l'analyse CloudTrail et la mise en place d'alertes via SNS et EventBridge. (AWS Security Blog)🛡️ Le CERT Santé signale la CVE-2026-55203, un débordement d'entier dans le module FastCGI d'HAProxy. L'exploitation par un backend malveillant peut provoquer du request smuggling ou des problèmes de sécurité mémoire. Toutes versions jusqu'à 3.4.0 affectées, correctif dans le commit 5985276. (CERT Santé)🚨 La CISA confirme l'exploitation active de la CVE-2026-20253 dans Splunk Enterprise et ordonne aux agences fédérales de corriger avant dimanche. La faille dans le service sidecar PostgreSQL permet la création de fichiers arbitraires sans authentification. Plus de 1 400 instances exposées recensées par Shadowserver. (BleepingComputer)Sources : Unpatchable 'usbliter8' Exploit Breaks Apple A12 and A13 SecureROM Boot Chain — The Hacker News : https://thehackernews.com/2026/06/unpatchable-usbliter8-exploit-breaks.htmlCVE-2019-25748 Joomla JHotelReservation SQL Injection — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2019-25748Accelerate security investigations with Kiro CLI — AWS Security Blog : https://aws.amazon.com/fr/blogs/security/accelerate-security-investigations-with-kiro-cli/HAProxy - CVE-2026-55203 — CERT Santé : https://cyberveille.esante.gouv.fr/alertes/haproxy-cve-2026-55203-2026-06-19CISA: Splunk Enterprise flaw actively exploited, patch by Sunday — BleepingComputer : https://www.bleepingcomputer.com/news/security/cisa-splunk-enterprise-flaw-actively-exploited-patch-by-sunday/ ⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Apple #SecureROM #usbliter8 #Joomla #JHotelReservation #CVE-2019-25748 #AWS #KiroCLI #GuardDuty #HAProxy #CVE-2026-55203 #Splunk #CISA #CVE-2026-20253 #RadioCSIRT
-
649
Ep.672 - RadioCSIRT Édition Française - Flash info cybersécurité du jeudi 18 juin 2026
🚔 L'opération Endgame franchit une nouvelle étape avec le nettoyage de près de 15 000 sites WordPress infectés par SocGholish et la mise hors ligne de 106 serveurs liés à Evil Corp. F5 publie des correctifs hors cycle pour des failles critiques dans NGINX, notamment une use-after-free dans le module HTTP/3. Proofpoint détaille l'expansion mondiale de TA4922, groupe cybercriminel sinophone déployant Atlas RAT, RomulusLoader et des malware développés par LLM. La CISA ajoute la faille Joomla JCE CVE-2026-48907 au catalogue KEV. Le SANS ISC analyse trois mois d'attaques SSH coordonnées par botnet à partir de données honeypot.🚔 Opération Endgame : nettoyage de 14 971 sites WordPress infectés par SocGholish et démantèlement de 106 serveurs liés à Evil Corp (BleepingComputer)🛡️ F5 corrige CVE-2026-42530 et CVE-2026-42055 dans NGINX, failles use-after-free HTTP/3 et HTTP/2 avec scores CVSS v4.0 de 9.2 (GBHackers)🎣 TA4922 : groupe sinophone en expansion mondiale, déploie Atlas RAT, RomulusLoader et SilentRunLoader via DLL sideloading et services cloud (Proofpoint)🚨 CISA ajoute CVE-2026-48907, faille Joomla Content Editor exploitée activement, au catalogue KEV sous BOD 26-04 (CISA)🐧 Analyse honeypot DShield : 20 millions de tentatives SSH brute force en 100 jours, corrélation avec événements géopolitiques et cybersécurité (SANS ISC)Sources :Police cleans nearly 15,000 SocGholish-infected sites tied to Evil Corp : https://www.bleepingcomputer.com/news/security/law-enforcement-nukes-socgholish-malware-from-nearly-15-000-sites/F5 Patches NGINX Vulnerability Enabling Code Execution and DoS Attacks : https://gbhackers.com/f5-patches-nginx-vulnerability/TA4922: The Suspected Chinese Crime Group is Going Global : https://www.proofpoint.com/us/blog/threat-insight/ta4922-suspected-chinese-crime-group-going-globalCISA Adds One Known Exploited Vulnerability to Catalog : https://www.cisa.gov/news-events/alerts/2026/06/16/cisa-adds-one-known-exploited-vulnerability-catalogThe Behavior of Coordinated SSH Brute Force Attacks over the last three months — SANS ISC : https://isc.sans.edu/diary/rss/33086⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #SocGholish #EvilCorp #OperationEndgame #Europol #NGINX #F5 #CVE-2026-42530 #CVE-2026-42055 #CVE-2026-11311 #CVE-2026-50107 #HTTP3 #QUIC #TA4922 #AtlasRAT #RomulusLoader #SilentRunLoader #ValleyRAT #Winos4 #DLLSideloading #Proofpoint #Joomla #CVE-2026-48907 #CISA #KEV #BOD2604 #SSH #BruteForce #DShield #Honeypot #Botnet #HASSH #SANS #RadioCSIRT
-
648
Ep.671 - RadioCSIRT Édition Française - Flash info cybersécurité du mercredi 17 juin 2026
🔓 La fuite FortiBleed expose les identifiants VPN de près de 75 000 équipements Fortinet dans 194 pays. La base contient des noms d'utilisateur et des mots de passe en clair d'organisations majeures. Un groupe russophone multi-opérateurs aurait mené plus d'un milliard de tentatives d'authentification. Kevin Beaumont confirme l'authenticité d'une partie des données et estime que la moitié des pare-feu Fortinet exposés sur Internet sont concernés.☁️ Le Centre canadien pour la cybersécurité publie le bulletin AV26-605 relatif au correctif cumulatif trimestriel d'Oracle pour juin 2026. Des correctifs critiques couvrent MySQL, WebLogic, Solaris, VirtualBox, E-Business Suite, PeopleSoft et de nombreux autres produits.💾 Le CERT-FR émet l'avis CERTFR-2026-AVI-0762 sur de multiples vulnérabilités dans les produits Qnap (QTS, QuTS hero, QuTS cloud, License Center, QuMagie, QVP). Les risques incluent l'exécution de code à distance, l'élévation de privilèges et le déni de service. Dix-huit CVE sont référencées, dont CVE-2026-44083 et CVE-2026-26236.🎣 La police néerlandaise interpelle six suspects âgés de 15 à 30 ans opérant un centre d'appels frauduleux à Amsterdam. Les fraudeurs pratiquaient le vishing bancaire et se rendaient au domicile de leurs victimes, principalement des personnes âgées, pour voler leurs fonds.Sources : FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices — BleepingComputer : https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/Bulletin de sécurité Oracle – Correctif cumulatif trimestriel juin 2026 (AV26-605) — Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-oracle-correctif-cumulatif-trimestriel-juin-2026-av26-605Multiples vulnérabilités dans les produits Qnap (CERTFR-2026-AVI-0762) — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0762/Helpdesk scammers are making house calls to make their lies feel more real — The Register : https://www.theregister.com/cyber-crime/2026/06/17/helpdesk-scammers-are-making-house-calls-to-make-their-lies-feel-more-real/5257454⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #FortiBleed #Fortinet #FortiGate #VPN #SSL #Oracle #PatchTuesday #MySQL #WebLogic #Solaris #Qnap #QTS #CERTFR #Vishing #BankFraud #Netherlands #CVE-2026-44083 #CVE-2026-26236 #CVE-2026-26237 #CVE-2026-22893 #CVE-2025-59382 #RadioCSIRT
-
647
Ep.670 - RadioCSIRT Édition Française - Flash info cybersécurité du Mardi 16 Juin 2026
🚨 La CISA ajoute deux vulnérabilités à son catalogue KEV sur preuve d'exploitation active : CVE-2026-20262, une faille de Path Traversal dans Cisco Catalyst SD-WAN Manager, et CVE-2026-54420, un Symlink Following dans le plugin LiteSpeed pour cPanel. L'agence cite la Binding Operational Directive 26-04, qui impose aux agences fédérales civiles de prioriser la remédiation des vulnérabilités KEV à haut risque sur les actifs exposés.🐛 Le chercheur Nightmare Eclipse annonce, dans un message signé PGP, la migration de son blog de Blogger vers blog.projectnightcrawler.dev. Il invoque le signalement automatique par Google des blogs de recherche personnels comme contenu malveillant. Ses travaux antérieurs incluent BlueHammer, la faille YellowKey et le correctif silencieux de RedSun.🛡️ CVE-2026-7273 affecte les switches Zyxel de la série GS1900, dont le GS1900-48HPv2. Ce stack-based buffer overflow dans le programme CGI du firmware permet à un attaquant non authentifié, sur le réseau local, d'exécuter des commandes OS via une requête HTTP conçue. Score CVSS 8.8, CWE-121. Zyxel recommande la mise à jour du firmware.🪟 La vulnérabilité CVE-2026-42824 dans Microsoft 365 Copilot, désignée SearchLeak, permettait en un seul clic de voler e-mails et fichiers depuis la mailbox, SharePoint et OneDrive et d'accéder au calendrier. Découverte par Varonis, elle visait Copilot Enterprise Search via un paramètre de lien interprété comme instruction et une exfiltration par balise img via Bing. Microsoft a corrigé le 4 juin.🎣 Selon SOCRadar via Cyberpress, la plateforme de Phishing-as-a-Service The Quarry usurpe l'IRS et la SSA américaine. Active depuis avril 2025 et gérée par le développeur RockyBelling sur Telegram, elle équipe près de deux cents cybercriminels. Les packages, de 500 à 2000 dollars, incluent phishing kits, traffic cloaking via Adspect, bulk emailers et abus de logiciels RMM.🔐 IBM X-Force, via GBHackers, relie les groupes de ransomware Rhysida et Interlock à un écosystème criminel commun d'initial access brokers, crypters, downloaders et backdoors. Interlock utilise NodeSnake, InterlockRAT et le crypter JunkFiction ; Rhysida s'appuie sur Endico, Broomstick et le crypter Tomb. Le broker TAG-124 diffuse via des leurres ClickFix. IBM appelle à une chasse fondée sur le comportement.Sources : CISA Adds Two Known Exploited Vulnerabilities to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/06/15/cisa-adds-two-known-exploited-vulnerabilities-catalogMoving to new blog, avoiding google censorship — Nightmare Eclipse : https://deadeclipse666.blogspot.com/2026/06/moving-to-new-blog-avoiding-google.htmlCVE-2026-7273 Zyxel GS1900-48HPv2 Stack-Based Buffer Overflow RCE — CVEFeed.io : https://cvefeed.io/vuln/detail/CVE-2026-7273Microsoft 365 Copilot-lek maakte via één click diefstal e-mails mogelijk — Security.NL : https://www.security.nl/posting/940691/Microsoft+365+Copilot-lek+maakte+via+één+click+diefstal+e-mails+mogelijkCybercriminals Use The Quarry Toolkit to Launch IRS and SSA Phishing Attacks — Cyberpress : https://cyberpress.org/quarry-toolkit-fuels-phishing/Rhysida and Interlock Ransomware Groups Linked to Initial Access Brokers and Crypter Ecosystem — GBHackers : https://gbhackers.com/rhysida-and-interlock-ransomware/⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #Cisco #LiteSpeed #cPanel #Zyxel #MicrosoftCopilot #Microsoft365 #Varonis #SearchLeak #Phishing #PhaaS #SOCRadar #IRS #SSA #Ransomware #Rhysida #Interlock #IBMXForce #CVE-2026-20262 #CVE-2026-54420 #CVE-2026-7273 #CVE-2026-42824 #RadioCSIRT
-
646
Ep.669 - Podcast RadioCSIRT Édition Française - Flash info cybersécurité du lundi 15 juin 2026
🇷🇺 Le russe Kaluga Astral confirme une cyberattaque ayant interrompu ses services environ une semaine, touchant déclaration fiscale, GED et messagerie de clients dont des entreprises d'État ; aucune fuite de données clients constatée, aucune attribution (Recorded Future News).🇫🇷 Le CERT-FR publie l'avis CERTFR-2026-AVI-0752 sur de multiples vulnérabilités Mattermost Server (10.11.x < 10.11.20, 11.6.x < 11.6.5, 11.7.x < 11.7.3), risque non spécifié par l'éditeur, neuf bulletins MMSA du 12 juin.🐛 L'acteur chinois UNC6508 a compromis des serveurs REDCap exposés pour déployer InfiniteRed et voler des données d'un établissement médical nord-américain ; persistance > 1 an, exfiltration par courriel via une règle de conformité de contenu détournée (BleepingComputer / GTIG).🚨 La faille critique de désérialisation Jenkins CVE-2026-53435 (CVSS 9.0) est activement exploitée depuis le 15 juin ; correctifs Weekly 2.568 et LTS 2.555.3, deux open-redirect associées corrigées (Cyberpress / DefusedCyber).🎣 La campagne Payroll Pirate utilise du phishing AiTM pour contourner le MFA, détourner les sessions et rerouter les virements de paie via de faux bénéficiaires et paiements hors cycle (GBHackers / BushidoToken).📊 Le FIRST relève sa projection à ~66 000 CVE pour 2026 (+46,3 %), porté par la découverte assistée par IA, mais juge la charge de correctifs stable une fois filtrée par KEV et EPSS > 10 % (FIRST.org).🇵🇱 Le groupe biélorusse GhostWriter (UNC1151 / Storm-0257) étend son phishing aux comptes Gmail personnels de responsables publics polonais et de leurs proches pour voler identifiants et codes 2FA (Recorded Future News / CERT Polska).Sources : Cyberattack on Russian tech firm Astral disrupts business, government services for week — Recorded Future News : https://therecord.media/cyberattack-on-russian-tech-firm-astral-disrupts-business-government-servicesMultiples vulnérabilités dans les produits Mattermost — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0752/Chinese hackers breach REDCap servers, steal medical research — BleepingComputer : https://www.bleepingcomputer.com/news/security/chinese-hackers-breach-redcap-servers-steal-medical-research/Critical Jenkins RCE Vulnerability Under Active Exploitation in the Wild — Cyberpress : https://cyberpress.org/jenkins-rce-vulnerability/Payroll Pirate Campaign Uses AiTM Session Hijacking to Bypass MFA and Redirect Salaries — GBHackers : https://gbhackers.com/payroll-pirate-campaign-uses-aitm/The 2026 Vulnerability Forecast Update: Navigating the AI Epoch — FIRST.org : https://www.first.org/blog/20260615-vulnerability-forecast-updateBelarus-linked hackers target Gmail accounts of Polish public figures and their families — Recorded Future News : https://therecord.media/ghostwriter-targets-personal-gmail-accounts-in-poland⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Astral #Russia #Mattermost #CERTFR #REDCap #InfiniteRed #UNC6508 #GTIG #China #Jenkins #RCE #Deserialization #PayrollPirate #AiTM #MFA #Phishing #FIRST #VulnerabilityForecast #EPSS #KEV #GhostWriter #UNC1151 #Storm0257 #Belarus #Poland #CERTPolska #CVE-2026-53435 #CVE-2026-53436 #CVE-2026-53437 #RadioCSIRT
-
645
Podcast RadioCSIRT - Edition Française - Edition Spéciale - Épisode 668 du Samedi 13 juin 2026
🇺🇸 Le gouvernement américain coupe l'accès à MythosÉdition spéciale. Le 12 juin 2026, le gouvernement des États-Unis a ordonné à Anthropic de suspendre immédiatement l'accès à ses modèles Fable 5 et Mythos 5, pour l'ensemble de ses clients dans le monde, sur le fondement d'un dispositif de contrôle à l'exportation et de ses autorités de sécurité nationale.Dans cet épisode, nous établissons les faits, puis nous développons deux enjeux de fond : la capacité d'une autorité nationale à couper, de façon unilatérale et immédiate, l'accès à une ressource d'intelligence artificielle ; et la question de la découverte de vulnérabilités logicielles assistée par l'IA. Nous terminons sur la localisation et la souveraineté des modèles.📌 Sources :Statement on the US government directive to suspend access to Fable 5 and Mythos 5 — Source : https://www.anthropic.com/news/fable-mythos-access 📞 Répondeur : 07 68 72 20 09 ✉️ [email protected] 🌐 radiocsirt.org 📰 radiocsirt.substack.comOn ne réfléchit pas, on patch !#RadioCSIRT #Cybersecurite #IA #AI #Anthropic #Fable5 #Mythos5 #ExportControl #SouveraineteNumerique #SecuriteIA #CTI #Cybersecurity
-
644
Ep.667 - RadioCSIRT Édition Française - Flash info cybersécurité du vendredi 12 juin 2026
🐛 GreatXML, code de démonstration publié le 10 juin par le chercheur Nightmare Eclipse, revendique un contournement de BitLocker via l'environnement de récupération WinRE, l'analyse hors ligne de Defender et le traitement des fichiers unattend.xml. Le résultat revendiqué est un shell avec accès au volume chiffré, alors que BitLocker l'affiche comme protégé. Le modèle de menace repose sur un accès physique et vise les configurations TPM seul. La fiabilité est débattue et aucun CVE ni correctif n'existe à ce jour.🚨 La CISA ajoute CVE-2026-35273, faille d'absence d'authentification pour une fonction critique dans Oracle PeopleSoft Enterprise PeopleTools, à son catalogue des vulnérabilités activement exploitées, sous la nouvelle directive BOD 26-04.🔓 La CISA inscrit également CVE-2026-10520, injection de commandes système dans Ivanti Sentry permettant une exécution de code à distance non authentifiée en root, première vulnérabilité traitée sous la BOD 26-04 avec remédiation sous trois jours.🔐 Brian Krebs identifie l'administrateur du ransomware The Gentlemen, deuxième groupe le plus actif par nombre de victimes, qui attire ses affiliés avec un partage de rançon de 90/10. L'enquête OSINT remonte des pseudonymes Zeta88 et Hastalamuerte jusqu'à un homme de 36 ans d'Ijevsk, en Russie.Sources :GreatXML : analyse technique et défensive d'un contournement BitLocker via WinRE — Blog de Marc-Frédéric Gomez : https://blog.marcfredericgomez.fr/greatxml-analyse-technique-et-defensive-dun-contournement-bitlocker-via-winre/CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-35273) — CISA : https://www.cisa.gov/news-events/alerts/2026/06/12/cisa-adds-one-known-exploited-vulnerability-catalogCISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-10520) — CISA : https://www.cisa.gov/news-events/alerts/2026/06/11/cisa-adds-one-known-exploited-vulnerability-catalogWho Runs the Ransomware Group 'The Gentlemen?' — KrebsOnSecurity : https://krebsonsecurity.com/2026/06/who-runs-the-ransomware-group-the-gentlemen/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #GreatXML #BitLocker #WinRE #Microsoft #Windows #ZeroDay #CISA #KEV #BOD2604 #Oracle #PeopleSoft #Ivanti #Sentry #RCE #Ransomware #TheGentlemen #RaaS #CheckPoint #PRODAFT #OSINT #CVE-2026-35273 #CVE-2026-10520 #CVE-2026-45585 #RadioCSIRT
-
643
Ep.665 - RadioCSIRT Édition Française - Flash info cybersécurité du mercredi 10 juin 2026
📡 Selon Recorded Future News, le Royaume-Uni allège les mesures de sécurité prévues pour ses réseaux télécoms face à la campagne chinoise Salt Typhoon, après le lobbying des opérateurs sur les coûts. Sont abandonnés ou repoussés la détection d'intrusion indépendante sur la signalisation, le traitement de la signalisation entrante comme non fiable, et le redémarrage mensuel des équipements. La sécurisation des comptes de service glisse de fin 2028 à fin 2029. Le code allégé entre en vigueur mi-juillet sauf opposition du Parlement.🪟 Selon BleepingComputer, Microsoft corrige à son Patch Tuesday de juin trois zero-days divulgués par le chercheur Nightmare Eclipse. GreenPlasma et MiniPlasma, référencés CVE-2026-45586 et CVE-2020-17103, offrent un shell SYSTEM sur Windows pourtant à jour, via CTFMON et le Cloud Files Mini Filter Driver. YellowKey, référencé CVE-2026-45585, agit comme une backdoor dans WinRE et permet, avec accès physique, de contourner BitLocker sur Windows 11 et Server 2022/2025 non corrigés.🐛 Quelques heures après les correctifs, Nightmare Eclipse divulgue un nouveau zero-day Defender, RoguePlanet, ouvrant une invite SYSTEM. D'abord une exécution de code à distance via un fichier .vhd(x) sur partage SMB, la faille a été partiellement neutralisée par un correctif Defender de mi-mai. Le chercheur, déjà à l'origine de BlueHammer, CVE-2026-33825, et de RedSun désormais exploités, indique renoncer à la divulgation massive évoquée pour le 14 juillet.🚨 La CISA ajoute le 8 juin deux vulnérabilités activement exploitées à son catalogue KEV : CVE-2026-42271, une injection de commande dans BerriAI LiteLLM, et CVE-2026-50751, un défaut d'authentification dans Check Point Security Gateway. La directive BOD 22-01 impose leur remédiation aux agences fédérales américaines.📌 La CISA ajoute le 9 juin trois autres failles exploitées : CVE-2026-7473 dans Arista EOS, CVE-2026-11645 dans le moteur V8 de Google Chromium, et CVE-2026-20245 dans Cisco Catalyst SD-WAN Manager. Toutes relèvent de la BOD 22-01 pour les agences fédérales civiles.🛡️ Le CERT-FR publie l'avis CERTFR-2026-AVI-0725 sur de multiples vulnérabilités Fortinet permettant une exécution de code à distance et une atteinte à la confidentialité. Sont visés FortiOS, FortiProxy, FortiPortal et FortiSandbox, via les CVE-2025-67862, CVE-2026-25089 et CVE-2026-49938.🖥️ Le CERT-FR publie l'avis CERTFR-2026-AVI-0716 sur une élévation de privilèges dans FreeBSD, référencée CVE-2026-49413. Les branches 14, 14.3, 14.4, 15, 15.0 et 15.1 sont concernées, en deçà des révisions correctives du projet.🔐 Le CERT-FR publie l'avis CERTFR-2026-AVI-0717 sur de multiples vulnérabilités OpenSSL, dont des exécutions de code à distance et des dénis de service. Dix-sept CVE sont recensées, de CVE-2026-34180 à CVE-2026-34183 et CVE-2026-42764 à CVE-2026-42771, touchant les branches 1.0.x à 4.x.Sources :UK weakens proposed telecoms defenses against Chinese hackers after industry pushback — The Record (Recorded Future News) : https://therecord.media/uk-weakens-telecoms-defenses-after-industry-lobbyingMicrosoft patches YellowKey, GreenPlasma, MiniPlasma zero-days — BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-yellowkey-greenplasma-miniplasma-zero-days/RoguePlanet, nouveau zero-day Defender divulgué par Nightmare Eclipse — couverture BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-yellowkey-greenplasma-miniplasma-zero-days/CISA Adds Two Known Exploited Vulnerabilities to Catalog (08/06/2026) — CISA : https://www.cisa.gov/news-events/alerts/2026/06/08/cisa-adds-two-known-exploited-vulnerabilities-catalogCISA Adds Three Known Exploited Vulnerabilities to Catalog (09/06/2026) — CISA : https://www.cisa.gov/news-events/alerts/2026/06/09/cisa-adds-three-known-exploited-vulnerabilities-catalogCERTFR-2026-AVI-0725 Multiples vulnérabilités dans les produits Fortinet — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0725/CERTFR-2026-AVI-0716 Vulnérabilité dans FreeBSD — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0716/CERTFR-2026-AVI-0717 Multiples vulnérabilités dans OpenSSL — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0717/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #PatchTuesday #Microsoft #Windows #ZeroDay #YellowKey #GreenPlasma #MiniPlasma #CVE202645585 #CVE202645586 #CVE202017103 #BitLocker #WinRE #NightmareEclipse #RoguePlanet #Defender #CVE202633825 #CISA #KEV #BOD2201 #LiteLLM #CVE202642271 #CheckPoint #CVE202650751 #Arista #CVE20267473 #Chromium #V8 #CVE202611645 #Cisco #SDWAN #CVE202620245 #CERTFR #Fortinet #FortiOS #CVE202567862 #CVE202625089 #CVE202649938 #FreeBSD #CVE202649413 #OpenSSL #SaltTyphoon #Telecoms #NCSC #RadioCSIRT
-
642
Ep.664 - RadioCSIRT Édition Française - Édition spéciale Patch Tuesday de juin 2026
🪟 Microsoft publie un Patch Tuesday massif pour juin 2026 : 200 vulnérabilités corrigées sur son seul périmètre, dont 33 critiques. La ventilation fait ressortir 65 élévations de privilèges, 55 exécutions de code à distance, 30 divulgations d'information, 27 Spoofing, 19 contournements de sécurité et 7 dénis de service. Le décompte exclut les 360 failles Edge et Chromium traitées par Google ce mois-ci.🔓 Première Zero-Day divulguée, la CVE-2026-45586 vise le Windows Collaborative Translation Framework, alias CTFMON. Un défaut de résolution de lien, le link following, permet à un attaquant authentifié d'élever localement ses privilèges jusqu'au niveau SYSTEM. Microsoft attribue la découverte à un chercheur anonyme et n'a relevé aucune exploitation active.💥 Deuxième Zero-Day, la CVE-2026-49160, baptisée HTTP/2 Bomb par les chercheurs de Calif, est un déni de service dans HTTP.sys. En détournant la compression des en-têtes HTTP/2, un attaquant non authentifié force le serveur à allouer une mémoire disproportionnée, puis la maintient mobilisée via le contrôle de flux. Microsoft introduit le paramètre de registre MaxHeadersCount pour limiter le nombre d'en-têtes acceptés.🔑 Troisième Zero-Day, la CVE-2026-50507 contourne BitLocker par attaque physique. Il s'agit du correctif de la faille YellowKey, divulguée par le chercheur Nightmare Eclipse : des fichiers déposés sur une clé USB ou la partition EFI, puis un démarrage en environnement WinRE avec la touche CTRL maintenue, ouvraient un shell donnant accès aux disques chiffrés. Sont visés les systèmes en protection TPM seul sous Windows 11 et Server 2022/2025.🖥️ Le Remote Desktop Client concentre une douzaine d'exécutions de code à distance, dont sept critiques, parmi lesquelles les CVE-2026-42985, 2026-47289 et 2026-44801. Le scénario type vise le poste client lors d'une connexion vers un serveur RDP malveillant ou compromis.📄 La suite Office aligne une longue série de RCE critiques, notamment sur le couple Outlook et Word, avec les CVE-2026-45458, 2026-47635 et 2026-45456. Le vecteur reste le document piégé, le risque du volet de prévisualisation d'Outlook en ligne de mire.🧩 L'infrastructure critique n'est pas épargnée : Hyper-V écope de RCE critiques pouvant mener à une évasion de machine virtuelle, le KDC Kerberos est touché par la CVE-2026-47288, et les Active Directory Domain Services par la CVE-2026-45648, deux failles au cœur des contrôleurs de domaine. Secure Boot et UEFI cumulent par ailleurs une dizaine de contournements de la chaîne de confiance au démarrage.Sources :Blog Marc Frédéric GOMEZ : https://blog.marcfredericgomez.fr/patch-tuesday-juin-2026/Microsoft June 2026 Patch Tuesday fixes 3 zero-day, 200 flaws — BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2026-patch-tuesday-fixes-3-zero-day-200-flaws/ CVE-2026-45586 (Windows CTFMON Elevation of Privilege) — MSRC : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45586 CVE-2026-49160 (HTTP.sys Denial of Service) — MSRC : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-49160 CVE-2026-50507 (Windows BitLocker Security Feature Bypass) — MSRC : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50507 CVE-2026-41108 (Windows DNS Client Elevation of Privilege) — MSRC : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41108 ⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #PatchTuesday #Microsoft #ZeroDay #CVE202645586 #CTFMON #ElevationOfPrivilege #CVE202649160 #HTTP2Bomb #DenialOfService #HTTPsys #CVE202650507 #BitLocker #YellowKey #NightmareEclipse #SecureBoot #UEFI #RemoteDesktop #RDP #RCE #Office #Outlook #HyperV #Kerberos #KDC #ActiveDirectory #CVE202641108 #WindowsDNS #PatchManagement #RadioCSIRT
-
641
Ep.663 - RadioCSIRT Édition Française - Flash info cybersécurité du mardi 9 juin 2026
🪟 Dans le cadre de son Patch Tuesday, Microsoft corrige la CVE-2026-41108, une élévation de privilèges dans le client DNS de Windows reposant sur un Heap-based Buffer Overflow. L'exploitation suppose de remporter une condition de concurrence, d'où une complexité jugée élevée, mais un succès donnerait des droits SYSTÈME. Le parc concerné s'étend de Windows 10 à Windows Server 2025.🎣 Selon la Lloyds Bank, les plateformes de Meta concentrent 68 % des signalements de fraude de ses clients britanniques. Le préjudice atteint 66 millions de livres par an, contre 27 millions en 2023. Fait notable, ce sont les utilisateurs de la fin de la vingtaine et du début de la trentaine qui déclarent le plus de cas, malgré leur aisance numérique supposée.🔓 Le CERT Santé alerte sur la CVE-2026-50751, déjà activement exploitée, dans les passerelles Check Point Security Gateway et Spark. Une faiblesse dans la validation des certificats IKEv1 laisse un attaquant distant non authentifié monter un tunnel VPN sans mot de passe valide. L'exploitation reste conditionnée à l'activation des clients legacy et d'IKEv1, sans certificat machine obligatoire.🇫🇷 La DINUM confirme une compromission de Tchap, la messagerie chiffrée de l'État bâtie sur Matrix. L'ANSSI a détecté l'intrusion via un compte utilisateur compromis, depuis bloqué, et la CNIL a été alertée. Un attaquant revendique l'accès au serveur du ministère de l'Éducation par ingénierie sociale et affirme avoir exfiltré 13,5 Go de documents et près de 650 000 messages.💾 Veeam corrige la CVE-2026-44963, notée 9.4, une exécution de code à distance dans Backup & Replication 12.x. Un simple utilisateur de domaine faiblement privilégié peut exécuter du code sur les serveurs de sauvegarde rattachés à un domaine Active Directory. La branche 13.x n'est pas concernée. Ce type d'infrastructure reste une cible prioritaire des groupes de Ransomware.🛡️ Ivanti publie un avis couvrant deux failles critiques dans Sentry. La CVE-2026-10520, notée au score maximal de 10, est une injection de commande système offrant une exécution de code root non authentifiée. Elle se double de la CVE-2026-10523, un contournement d'authentification permettant de créer des comptes administrateurs arbitraires. Les versions antérieures à R10.5.2, R10.6.2 et R10.7.1 sont concernées.📱 Apple dévoile iOS 27 à la WWDC et reconduit la liste des modèles compatibles avec iOS 26. Le suivi de l'iPhone 11, lancé en 2019, atteint ainsi sept ans, une longévité record pour la marque. Avec seulement 4 Go de RAM, l'appareil peine toutefois déjà sous iOS 26, et la majorité des fonctions d'Apple Intelligence reste réservée aux iPhone 15 Pro et ultérieurs.Sources :CVE-2026-41108 — MSRC : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41108Scammers love Meta, according to Lloyds Bank — Malwarebytes : https://www.malwarebytes.com/blog/scams/2026/06/scammers-love-meta-according-to-lloyds-bankCheck Point - CVE-2026-50751 — CERT Santé : https://cyberveille.esante.gouv.fr/alertes/check-point-cve-2026-50751-2026-06-09French govt messaging service breached in account hijacking attack — BleepingComputer : https://www.bleepingcomputer.com/news/security/french-govt-messaging-service-breached-in-account-hijacking-attack/Critical Veeam RCE Flaw Lets Low-Privilege Users Take Over Backup Servers — Security Affairs : https://securityaffairs.com/193385/uncategorized/critical-veeam-rce-flaw-lets-low-privilege-users-take-over-backup-servers.htmlCVE-2026-10520 (Ivanti Sentry OS Command Injection) — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-10520CVE-2026-10523 (Ivanti Sentry Authentication Bypass) — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-10523Pourquoi Apple donne une leçon de support logiciel étendu avec iOS 27 — Clubic : https://www.clubic.com/actualite-616093-pourquoi-apple-donne-une-lecon-de-support-logiciel-etendu-avec-ios-27.html⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #PatchTuesday #Microsoft #WindowsDNS #CVE202641108 #ElevationOfPrivilege #Meta #Phishing #Fraud #LloydsBank #CheckPoint #CVE202650751 #VPN #IKEv1 #Tchap #DINUM #ANSSI #Matrix #DataBreach #Veeam #BackupReplication #CVE202644963 #RCE #Ransomware #Ivanti #Sentry #CVE202610520 #CVE202610523 #CommandInjection #AuthBypass #iOS27 #Apple #PatchManagement #RadioCSIRT
-
640
Ep.662 - RadioCSIRT Édition Française - Flash info cybersécurité du lundi 8 juin 2026
🌐 Le CERT-FR recense près de cinq cents CVE corrigées d'un seul coup dans Microsoft Edge, dans ses versions antérieures à la 149.0.4022.52. L'éditeur classe ces failles comme un problème de sécurité non spécifié, sans détailler ni le vecteur ni le niveau de risque. L'élément distinctif reste l'ampleur exceptionnelle de ce lot corrigé en une seule vague, sur la base de code partagée avec Chromium.🐘 Une vulnérabilité dans le framework PHP Laravel, suivie sous CVE-2026-48041, ouvre la voie à un contournement de la politique de sécurité. Elle touche les versions 13.x antérieures à la 13.12.0 et toutes les versions antérieures à la 12.61.1. L'enjeu tient à la surface d'exposition : Laravel sert de socle à un très grand nombre d'applications web, ce qui élargit mécaniquement le périmètre concerné.🖥️ VMware dévoile trois vulnérabilités de type stored XSS dans Cloud Foundation Operations, regroupées dans l'avis VMSA-2026-0004 et notées 8,0. Faute de validation correcte des entrées, un attaquant peut y stocker des charges JavaScript qui s'exécutent dans le navigateur d'un administrateur. Sans solution de contournement, seul le correctif protège, avec un risque de pivot vers vCenter.📦 Le SANS ISC fait le point sur la campagne supply chain attribuée à TeamPCP. La CISA a inscrit deux CVE à son catalogue des vulnérabilités exploitées, avec une échéance au 10 juin. Le framework Mini Shai-Hulud, rendu public, a produit sa première vague npm d'ampleur : le Worm « Miasma » a compromis au moins 32 paquets sous le scope @redhat-cloud-services, avec des attestations de provenance SLSA valides.🕵️ WhatsApp accuse NSO Group de nouvelles attaques de Spearphishing contre ses utilisateurs, en violation d'une injonction judiciaire d'octobre. D'après Meta, l'éditeur de logiciels espions a employé des techniques d'ingénierie sociale pour pousser les victimes vers des liens malveillants hébergés hors de la plateforme. WhatsApp saisit la justice fédérale pour faire reconnaître NSO en outrage à l'injonction.Sources :Multiples vulnérabilités dans Microsoft Edge — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0700/Vulnérabilité dans Laravel — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0703/Multiple VMware Stored XSS Flaw Enable Attackers to Inject Malicious Scripts — GBHackers : https://gbhackers.com/multiple-vmware-stored-xss-flaw/TeamPCP Supply Chain Campaign: Activity Through 2026-06-07 — SANS ISC : https://isc.sans.edu/diary/rss/33060WhatsApp says NSO targeted users with attacks against court order — The Record : https://therecord.media/whatsapp-says-nso-targeted-users-with-attacks-against-court-order⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #MicrosoftEdge #Chromium #CVE #Laravel #PHP #CVE202648041 #VMware #CloudFoundation #StoredXSS #VMSA20260004 #vCenter #SupplyChain #TeamPCP #MiniShaiHulud #npm #Miasma #Worm #SLSA #CISA #KEV #RedHat #NSOGroup #WhatsApp #Spearphishing #Spyware #SocialEngineering #PatchManagement #RadioCSIRT
-
639
Ep.661 - RadioCSIRT Édition Française - Flash info cybersécurité du dimanche 7 juin 2026
🤖 Une nouvelle variante du botnet Gafgyt, baptisée C0XMO, cible le Firmware des routeurs DD-WRT et se propage vers d'autres architectures. Selon Fortinet, l'infection repose sur la CVE-2021-27137, un buffer overflow exploitable sans authentification. Un script Python scanne Internet, brute-force les identifiants faibles et déploie le binaire adapté, avant de traquer et supprimer les botnets concurrents. C0XMO reste un outil de DDoS, supportant dix-neuf méthodes de flood.🔒 OpenAI déploie un Lockdown Mode dans ChatGPT pour réduire le risque d'exfiltration de données lié aux attaques de prompt injection. Selon The Hacker News, le mode ne bloque pas les injections elles-mêmes mais coupe les chemins de fuite, en limitant les requêtes réseau sortantes. Il désactive pour cela la navigation web en direct, le support des images, la recherche approfondie, le mode agent, l'accès réseau du Canvas et le téléchargement de fichiers.🛡️ Une faille de déni de service à distance touche le pare-feu de Comodo Internet Security. La CVE-2026-49494, notée 8,7, se loge dans le pilote Inspect.sys, dont l'analyseur IPv6 souffre d'un integer underflow. Comme le détaille VulnCheck, l'analyse intervenant avant le filtrage, un attaquant non authentifié peut provoquer un écran bleu sous Windows avec un seul paquet IPv6 forgé, même contre une machine tous ports fermés.Sources :C0XMO botnet spreads via DD-WRT router flaw, kills rival malware — BleepingComputer : https://www.bleepingcomputer.com/news/security/c0xmo-botnet-spreads-via-dd-wrt-router-flaw-kills-rival-malware/New ChatGPT Lockdown Mode Limits Tools That Could Enable Data Exfiltration — The Hacker News : https://thehackernews.com/2026/06/new-chatgpt-lockdown-mode-limits-tools.htmlCVE-2026-49494 - Comodo Internet Security Inspect.sys IPv6 Integer Underflow Remote Denial of Service — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-49494⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Botnet #Gafgyt #C0XMO #DDWRT #DDoS #CVE202127137 #Fortinet #OpenAI #ChatGPT #LockdownMode #PromptInjection #LLM #AI #Comodo #CVE202649494 #IPv6 #IntegerUnderflow #VulnCheck #Windows #BSOD #PatchManagement #RadioCSIRT
-
638
Ep.660 - RadioCSIRT Édition Française - Flash info cybersécurité du samedi 6 juin 2026
🎯 Une faille critique du plugin Everest Forms Pro est activement exploitée pour prendre le contrôle total de sites WordPress. La CVE-2026-3300 touche les versions 1.9.12 et antérieures, et s'exploite sans authentification via la fonction Complex Calculation, qui passe les entrées dans un eval() PHP. Selon Wordfence, les attaquants créent des comptes administrateurs pirates, le pare-feu ayant bloqué plus de 29 300 tentatives.🕵️ Le groupe UNC3753, alias Luna Moth, cible des cabinets juridiques et financiers américains. D'après Mandiant, la chaîne combine Vishing, abus d'outils RMM comme AnyDesk ou SuperOps, et exfiltration depuis les dépôts iManage et OneDrive. Fait rare, corroboré par un FBI Cyber FLASH : des individus se font physiquement passer pour des techniciens afin d'exfiltrer sur clé USB.🐉 Un cluster d'espionnage lié à la Chine, suivi sous le nom OP-512, déploie un framework de web shells sur mesure sur des serveurs IIS. Selon ReliaQuest, les handlers .ashx imposent un pipeline Base64, RC4 puis vérification RSA, les shells pratiquent le Timestomping, et le redémarrage automatique d'IIS recharge l'outillage en mémoire après chaque neutralisation par l'EDR.🤖 Selon le Financial Times, Anthropic aurait déployé environ six ingénieurs au sein de la NSA pour l'épauler dans l'usage offensif de Mythos, son modèle le plus avancé. Jugé trop dangereux pour une diffusion large, capable d'exploiter des Zero-Day en moins d'une journée, l'outil n'échappe au bannissement du DoD que par dérogation explicite.Sources :Critical Everest Forms Pro flaw exploited to take over WordPress sites — BleepingComputer : https://www.bleepingcomputer.com/news/security/critical-everest-forms-pro-flaw-exploited-to-take-over-wordpress-sites/UNC3753 Targets US Law Firms with Vishing and RMM Tools — Cyber Press : https://cyberpress.org/unc3753-targets-us-law-firms/China-Linked Espionage Cluster Deploys Custom ASPX/ASHX Shells on IIS — GBHackers : https://gbhackers.com/china-linked-espionage-aspx-ashx-shells/Report: Anthropic Deploys Engineers to Support NSA Use of Mythos — Security Affairs : https://securityaffairs.com/193234/ai/report-anthropic-deploys-engineers-to-support-nsa-use-of-mythos.html⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #WordPress #EverestForms #CVE20263300 #Wordfence #UNC3753 #LunaMoth #Mandiant #Vishing #RMM #iManage #FBI #OP512 #China #IIS #WebShell #Timestomping #RC4 #RSA #ReliaQuest #Anthropic #Mythos #NSA #ZeroDay #ProjectGlasswing #PatchManagement #RadioCSIRT
-
637
Ep.659 - RadioCSIRT Édition Française - Flash info cybersécurité du vendredi 5 juin 2026
🎯 La CISA ajoute une nouvelle vulnérabilité activement exploitée à son catalogue KEV. La CVE-2026-28318 touche SolarWinds Serv-U et repose sur une faille d'Uncontrolled Resource Consumption, un vecteur régulièrement exploité pour épuiser les ressources des systèmes exposés.🌐 Le CERT-FR publie un correctif massif pour Google Chrome. Plusieurs centaines de CVE sont comblées d'un coup, de la CVE-2026-10881 à la CVE-2026-11309, sur l'un des plus gros bulletins jamais publiés sur le navigateur. Sont concernées les versions antérieures à 149.0.7827.53 sous Linux et Windows, et 149.0.7827.54 sous macOS.☎️ Nouvelle alerte du CERT-FR côté Cisco. La CVE-2026-20245 affecte Catalyst SD-WAN Manager dans toutes ses versions et permet une élévation de privilèges. Cisco confirme une exploitation active, exposant l'orchestrateur qui pilote l'ensemble du réseau SD-WAN.🔊 Un chercheur transforme une enceinte Sound Blaster Katana V2X en relais d'exécution de code à distance. Via le protocole propriétaire CTP, sans appairage ni signature de Firmware, il pousse un Firmware maison par Bluetooth et fait passer l'enceinte pour un clavier. Creative Technologies refuse de qualifier ce comportement de vulnérabilité.🔑 Faille critique notée en CVSS 10 dans UDS Identity Config. La CVE-2026-46389 vise l'authenticator client-kubernetes-secret de Keycloak : le client_secret soumis est écrasé par le secret monté avant comparaison, permettant de s'authentifier avec n'importe quelle valeur et de récupérer des tokens OAuth2. Le client uds-operator ouvre la voie à la compromission d'autres clients.Sources : CISA Adds One Known Exploited Vulnerability to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/06/05/cisa-adds-one-known-exploited-vulnerability-catalogMultiples vulnérabilités dans Google Chrome — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0692/Vulnérabilité dans Cisco Catalyst SD-WAN — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0699/How a USB-connected speaker can infect a PC without ever being touched — Ars Technica : https://arstechnica.com/security/2026/06/highly-reviewed-speaker-can-be-hacked-over-the-air-to-infect-connected-devices/CVE-2026-46389 - UDS Identity Config Client Authentication Bypass — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-46389⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #SolarWinds #ServU #CVE202628318 #GoogleChrome #CERTFR #Cisco #SDWAN #CVE202620245 #PrivilegeEscalation #SoundBlaster #Creative #Bluetooth #Firmware #HID #UDS #Keycloak #CVE202646389 #AuthenticationBypass #OAuth2 #Kubernetes #PatchManagement #RadioCSIRT
-
636
Ep.658 - RadioCSIRT Édition Française - Flash info cybersécurité du jeudi 4 juin 2026
🎯 La CISA ajoute une nouvelle vulnérabilité activement exploitée à son catalogue KEV. La CVE-2026-45247 touche Mirasvit Full Page Cache Warmer et repose sur une faille de désérialisation de données non fiables, un vecteur régulièrement utilisé pour obtenir une exécution de code ou compromettre des systèmes exposés.⚽️ Le Centre canadien pour la cybersécurité publie son évaluation des menaces visant la Coupe du monde FIFA 2026. Au programme : Phishing thématique, Ransomware, DDoS, SMS Blaster, Deepfakes et campagnes d’influence alimentées par l’IA. Les secteurs du transport, de l’hôtellerie, des télécommunications et des infrastructures critiques sont particulièrement exposés.📡 Le CERT-FR alerte sur plusieurs vulnérabilités dans FreeRadius. Les versions antérieures à 3.2.9 et 3.0.28 sont concernées. Risques annoncés : déni de service à distance, atteinte à la confidentialité des données et problème de sécurité non détaillé par l’éditeur.☎️ Nouvelle alerte CERT-FR côté Cisco. La CVE-2026-20230 affecte Unified Communications Manager et Unified Communications Manager Session Management Edition. Cette faille SSRF pourrait permettre à un attaquant d’exploiter des ressources internes accessibles depuis l’équipement compromis.🧠 MISP corrige une vulnérabilité critique référencée CVE-2026-10868. Un défaut de contrôle dans la fonction d’édition des utilisateurs permettait de manipuler le champ User.id et de modifier les attributs d’un autre compte. Une faiblesse classée dans la catégorie Improper Privilege Management.🐧 Selon CloudLinux, l’ère des changelogs de sécurité explicites touche à sa fin. Face à la multiplication des vulnérabilités critiques découvertes grâce aux LLM, certains éditeurs intègrent désormais discrètement les correctifs dans des mises à jour ordinaires afin de limiter les opérations de reverse engineering menées par les attaquants.🌍 Le Programme alimentaire mondial des Nations Unies confirme une compromission de sa plateforme d’enregistrement à Gaza. Les données de près de 600 000 foyers palestiniens ont été exposées, incluant identités, numéros de téléphone et informations de localisation.🕵️♂️ Des chercheurs de Check Point identifient une campagne ciblant les analystes cyber via de faux sites Ghidra, dnSpy et SpiderFoot. Derrière ces clones se cachent des chaînes de redirection pilotées par un Traffic Distribution System distribuant SessionGate Loader puis RemusStealer, spécialisé dans le vol de mots de passe, wallets crypto et jetons MFA.🇷🇺 La Russie cherche à faire classer Belarusian Cyber Partisans et Silent Crow comme organisations extrémistes. Les deux groupes pro-Ukraine avaient notamment revendiqué l’attaque contre Aeroflot en 2025, ayant provoqué l’annulation de plus de cent vols et l’exfiltration de données internes.Sources :CISA Adds One Known Exploited Vulnerability to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/06/03/cisa-adds-one-known-exploited-vulnerability-catalogBulletin sur les cybermenaces : Coupe du monde de la FIFA 2026MC — Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/orientation/bulletin-cybermenaces-coupe-monde-fifa-2026mcMultiples vulnérabilités dans FreeRadius — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0688/Vulnérabilité dans les produits Cisco — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0689/CVE-2026-10868 - MISP User Edit Mass Assignment Vulnerability — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-10868The Death of the Change Log: Why "Silent" Security Updates Are the New Normal in 2026 — CloudLinux : https://blog.cloudlinux.com/the-death-of-the-change-log-why-silent-security-updates-are-the-new-normal-in-2026UN World Food Programme breach affects 600,000 Gaza households — BleepingComputer : https://www.bleepingcomputer.com/news/security/un-world-food-programme-breach-affects-600-000-gaza-households/Hackers Impersonate Ghidra, dnSpy, and SpiderFoot to Spread Malware — Cyber Press / Check Point : https://cyberpress.org/fake-security-tools-spread-malware/Russia seeks to label two anti-Kremlin hacker groups as ‘extremist’ — The Record : https://therecord.media/russia-seeks-extremist-label-for-hacker-groups⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #Mirasvit #CVE202645247 #FIFA2026 #CyberThreats #FreeRadius #CERTFR #Cisco #SSRF #CVE202620230 #MISP #CVE202610868 #PrivilegeEscalation #CloudLinux #Linux #PatchManagement #DataBreach #WFP #UnitedNations #Gaza #CheckPoint #Ghidra #dnSpy #SpiderFoot #SessionGate #RemusStealer #Malware #Infostealer #Russia #SilentCrow #CyberPartisans #Aeroflot #RadioCSIRT
-
635
Ep.657 - RadioCSIRT Édition Française - Flash info cybersécurité du mercredi 3 juin 2026
🐧 La CISA ajoute deux vulnérabilités activement exploitées à son catalogue KEV. La CVE-2022-0492 vise le noyau Linux via les cgroups : authentification incorrecte, élévation de privilèges et évasion de conteneurs à la clé. La CVE-2025-48595, elle, frappe l'Android Framework avec un Integer Overflow.🐬 La fondation OurSQL voit le jour pour porter l'écosystème MySQL. Structure 501(c)(6), indépendante et vendor-neutral, présidée par Vadim Tkachenko de Percona. Au menu : base de bugs publique, transparency log des correctifs et formations. Oracle n'en est pas membre.🦊 Le CERT-FR signale de multiples vulnérabilités dans Mozilla Firefox (avis AVI-0684). Toutes les versions antérieures à 151.0.3 sont concernées. Risque non spécifié par l'éditeur, deux CVE au compteur. On met à jour le navigateur.🩺 Un acteur sous le pseudo « Lagui » revendique le vol des données de 34 millions d'assurés via le DMP. Méthode annoncée : usurpation d'une e-CPS de médecin, puis énumération en modifiant un paramètre d'URL. Les chercheurs flairent un agrégat de fuites recyclées ; l'Assurance Maladie dément toute intrusion.🗂️ Stored XSS dans GLPI, référencée CVE-2026-5385. Un payload persistant se loge dans la base de connaissances, score CVSS 8,4. Correctif en version 11.0.7. D'après l'advisory Fluid Attacks.🤖 Des attaquants pro-iraniens détournent des comptes Instagram, dont ceux de l'Obama White House et de l'U.S. Space Force. L'astuce : pousser l'assistant IA de support de Meta à relier le compte à une nouvelle adresse, puis déclencher un reset. Les comptes protégés par MFA ont tenu.🎮 WeedHack, un Malware-as-a-Service ciblant Minecraft, infecte plus de 116 000 systèmes depuis janvier. Distribution par YouTube et SEO poisoning, infostealer gratuit, accès distant en premium dès 5 dollars. McAfee a tracé 3 820 fichiers JAR malveillants.📶 Acer corrige deux zero-day de sévérité maximale sur ses routeurs Wave 7. La CVE-2026-49200 expose des identifiants en clair sans authentification ; la CVE-2026-49201 repose sur une clé AES codée en dur ouvrant un backdoor persistant. Patch visé fin juin.🇬🇭 Le FIRST détaille le modèle ghanéen de CERT sectoriels, hébergés au sein des régulateurs pour s'appuyer sur leurs pouvoirs. Le secteur bancaire affiche 100 % de couverture via le FICSOC. Seuls les logs sont collectés, pas les données métier.🏴☠️ Opération KRATOS 2 : Europol et la Bulgarie frappent le streaming illégal. Bilan : 29 arrestations, neuf groupes criminels démantelés, plus de 27 000 URL retirées. Infrastructure éclatée sur plusieurs pays pour échapper à la détection.🪖 Aux États-Unis, une commission chiffre à 11 milliards de dollars la création d'une Cyber Force militaire dédiée, forte de 30 000 personnels. Première nouvelle branche depuis la Space Force de 2019. Travaux portés par le CSIS et la FDD.Sources :CISA Adds Two Known Exploited Vulnerabilities to Catalog — CISA : https://mail.google.com/mail/u/0/?ogbl#inbox/FMfcgzQgMChRndDxBfJTkBkrWvHzVjGbOurSQL Foundation Launches to Support MySQL Users, Developers, and Companies — OurSQL / GlobeNewswire : https://www.globenewswire.com/news-release/2026/05/27/3302305/0/en/oursql-foundation-launches-to-support-mysql-users-developers-and-companies.htmlMultiples vulnérabilités dans Mozilla Firefox — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0684/Fuite massive ou coup de bluff ? Un pirate revendique le vol des données médicales de 34 millions de Français — 01net : https://www.01net.com/actualites/fuite-massive-coup-bluff-pirate-revendique-vol-donnees-medicales-34-millions-francais-assurance-maladie-dement.htmlCVE-2026-5385 : GLPI Stored XSS in Knowledge Base — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-5385Hackers Used Meta's AI Support Bot to Seize Instagram Accounts — Krebs on Security : https://krebsonsecurity.com/2026/06/hackers-used-metas-ai-support-bot-to-seize-instagram-accounts/Malware Campaign Targeting Minecraft Users Infects Over 116,000 Systems — Help Net Security : https://www.helpnetsecurity.com/2026/06/03/weedhack-minecraft-malware-campaign/Acer Working to Patch Max Severity Zero-Days in Wave 7 Routers — BleepingComputer : https://www.bleepingcomputer.com/news/security/acer-warns-of-max-severity-zero-days-affecting-wave-7-routers/Sector CERTs and How To Build Them — FIRST : https://www.first.org/blog/20260525-Sector-CERTs-and-how-to-build-them29 Arrested as Law Enforcement Strikes Criminal Networks Behind Illegal Streaming — Europol : https://www.europol.europa.eu/media-press/newsroom/news/29-arrested-law-enforcement-strikes-criminal-networks-behind-illegal-streamingNew Cyber Force Would Cost Up to $11 Billion to Start, Commission Says — The Record : https://therecord.media/new-cyber-force-would-cost-11-billion-commission⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #LinuxKernel #CVE20220492 #Android #CVE202548595 #MySQL #OurSQL #OpenSource #CERTFR #Firefox #Mozilla #DMP #AssuranceMaladie #DataBreach #eCPS #GLPI #StoredXSS #CVE20265385 #Meta #Instagram #AISecurity #SocialEngineering #Minecraft #WeedHack #MaaS #Infostealer #Acer #Wave7 #ZeroDay #Router #FIRST #SectorCERT #Ghana #Europol #Kratos2 #IPTV #CyberForce #Pentagon #RadioCSIRT
-
634
Ep.656 - RadioCSIRT Édition Française - Flash info cybersécurité du lundi 1er juin 2026
⚠️ La CISA ajoute la CVE-2024-21182 à son catalogue KEV : une vulnérabilité non spécifiée dans Oracle WebLogic Server, sur preuve d'exploitation active. Peu de détails techniques publiés, mais l'inscription au KEV impose aux agences fédérales de corriger sans délai.📬 Le CERT-FR alerte sur une vulnérabilité dans Laravel (avis AVI-0670). Contournement de la politique de sécurité référencé CVE-2026-48019. Versions 12.x antérieures à 12.60.0 et 13.x antérieures à 13.10.0 du framework PHP. On patche.🎮 Près de 2 000 sites WordPress compromis dans une campagne qui planque son command and control dans des commentaires de profils Steam Community. Six caractères Unicode invisibles encodent la charge, parfois maquillée en ASCII art, et reconstruisent une URL vers hello-mywordl[.]info. Une backdoor PHP attend ensuite un cookie tEcaKKXEsb. C2 hébergé chez Valve, détection compliquée.🚓 Aux Pays-Bas, le FIOD frappe fort. Deux arrestations le 18 mai et plus de 800 serveurs saisis. L'infrastructure visée hébergeait les actifs de Stark Industries Solutions, sanctionné par l'UE, via the[.]hosting et WorkTitans BV. Cyberattaques et désinformation pro-russes au cœur de l'enquête.Sources :CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2024-21182) — CISA : https://www.cisa.gov/news-events/alerts/2026/06/01/cisa-adds-one-known-exploited-vulnerability-catalogVulnérabilité dans Laravel — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0670/WordPress malware campaign hides payloads in Steam profiles — BleepingComputer : https://www.bleepingcomputer.com/news/security/wordpress-malware-campaign-hides-payloads-in-steam-profiles/Netherlands Seizes 800 Servers, Arrests 2 for Aiding Cyberattacks — Krebs on Security : https://krebsonsecurity.com/2026/05/netherlands-seizes-800-servers-arrests-2-for-aiding-cyberattacks/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #Oracle #WebLogic #CVE202421182 #CERTFR #Laravel #PHP #CVE202648019 #WordPress #Steam #Malware #Backdoor #C2 #GoDaddy #FIOD #StarkIndustries #MIRhosting #WorkTitans #Sanctions #Russia #PatchManagement #RadioCSIRT
-
633
Ep.655 - RadioCSIRT Édition Française - Flash info cybersécurité du samedi 30 mai 2026
🐝 Perplexity ouvre le code de Bumblebee, un scanner en lecture seule écrit en Go et sans dépendance. Sur les postes de développeurs macOS et Linux, il traque paquets, extensions et configs d'outils d'IA compromis, là où ni les scanners SBOM ni les EDR ne regardent. Windows non couvert au lancement.⚠️ La CISA ajoute la CVE-2026-48172 à son catalogue KEV : une élévation de privilèges dans le plugin LiteSpeed pour cPanel. N'importe quel compte cPanel peut exécuter des scripts arbitraires avec les droits root. Déjà activement exploitée.🔓 Rebelote le 29 mai : la CVE-2026-0257 entre au KEV. Contournement d'authentification dans PAN-OS de Palo Alto, permettant d'établir une connexion VPN non autorisée. Échéance de patch fédérale : 1er juin.📬 Le CERT-FR alerte sur de multiples vulnérabilités dans Roundcube (avis AVI-0644). Exécution de code à distance, injection SQL et SSRF au menu. Versions 1.6.x antérieures à 1.6.16 et 1.7.x antérieures à 1.7.1. On patche le webmail.🏗️ Le NCSC publie un guide de conception pour le ZTNA. Le constat qui pique : la plupart des déploiements échouent non par manque de fonctionnalités, mais parce qu'ils reconduisent la vieille hypothèse « position réseau = confiance ». Outils neufs, réflexes anciens.👻 Nightmare Eclipse remet une pièce contre Microsoft. Après le retrait de son dépôt public, le chercheur annonce « Bitskrieg » : une faille qui briserait les garanties de Secure Boot et contournerait entièrement BitLocker. Divulgation annoncée pour juin. Revendications non confirmées par l'éditeur.⚽ À l'approche de la Coupe du monde 2026, Group-IB démasque GHOST STADIUM : plus de 4 300 domaines clonant la FIFA au pixel près, avec le SSO PingIdentity détourné via de vrais identifiants clients. Fraude aux billets premium estimée entre 71 et 474 millions de dollars.📡 ShinyHunters publie les données de Charter Communications après un refus de rançon. L'acteur revendique plus de 42 millions d'enregistrements ; Have I Been Pwned en retient 4,9 millions d'adresses e-mail. Charter confirme l'incident mais dément toute exfiltration de données sensibles ou de CPNI.Sources : Perplexity Is Open-Sourcing Bumblebee — Perplexity : https://www.perplexity.ai/fr/hub/blog/perplexity-is-open-sourcing-bumblebee CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-48172) — CISA : https://www.cisa.gov/news-events/alerts/2026/05/26/cisa-adds-one-known-exploited-vulnerability-catalog CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-0257) — CISA : https://www.cisa.gov/news-events/alerts/2026/05/29/cisa-adds-one-known-exploited-vulnerability-catalog Multiples vulnérabilités dans Roundcube — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0644/ Designing secure access with ZTNA — NCSC : https://www.ncsc.gov.uk/blogs/designing-secure-access-with-ztna Announcing Bitskrieg / July 14th — Nightmare Eclipse : https://deadeclipse666.blogspot.com/2026/05/announcing-bitskrieg.html 300+ Fake Domains Used in GHOST STADIUM Campaign Targeting World Cup Fans — CyberPress : https://cyberpress.org/ghost-stadium-targets-fans/ ShinyHunters Leaks Charter Communications Data, Potentially Impacting 5 Million Customers — Security Affairs : https://securityaffairs.com/192907/uncategorized/shinyhunters-leaks-charter-communications-data-potentially-impacting-5-million-customers.html⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09 📩 Email : [email protected] 🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com
-
632
Ep.654 - RadioCSIRT Édition Française - Flash info cybersécurité du samedi 23 mai 2026
🕹️ 570 systèmes d'exploitation, de 1948 à aujourd'hui, réunis dans une seule VM Linux. Le Virtual OS Museum vous fait passer du Manchester Baby à UNIX System V en un clic. Un voyage temporel dans le silicium, jouable directement depuis votre navigateur.⚠️ La CISA ajoute la CVE-2026-9082 à son catalogue KEV : une SQL Injection dans le cœur de Drupal, déjà activement exploitée. Le compte à rebours du patch est lancé.🛠️ Sept bulletins d'un coup pour Mattermost. Le CERT-FR alerte : Desktop App et Server sont touchés. On vérifie sa version, on patche.💥 CVSS 10. Microsoft publie la CVE-2026-42901 sur Entra ID : Elevation of Privilege, exploitable à distance, sans authentification, et un scope Changed qui déborde du périmètre vulnérable.🔓 Dans la foulée, la CVE-2026-33843 frappe Azure AD B2C : Elevation of Privilege critique en CVSS 9,1, exploitable à distance et confirmée par Microsoft comme par MITRE.🤖 Un russophone, un Gemini jailbreaké et 73 clés d'API volées : voilà toute la « stack » d'une campagne qui a vidé le wallet d'au moins une victime MAGA. Faux wallet StellarMonster, RAT GoToResolve, brute-force WordPress assisté par IA. Le cybercrime à acteur unique, dopé au LLM.🏛️ Comble de l'ironie : l'agence chargée de protéger les États-Unis laisse fuiter ses propres clés AWS GovCloud sur un GitHub public. Le Congrès exige des réponses, la CISA peine encore à révoquer les credentials.Sources : Hackers Compromise Laravel-Lang Packages via 700 GitHub Repos — GBHackers : https://gbhackers.com/compromise-laravel-lang-packages/L'arche de Noé du code : 570 systèmes d'exploitation dans une seule machine — GoodTech : https://goodtech.info/interim-computer-museum-sdf-570-systemes-exploitation-retro/CISA Adds One Known Exploited Vulnerability to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/05/22/cisa-adds-one-known-exploited-vulnerability-catalogMultiples vulnérabilités dans les produits Mattermost — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0632/CVE-2026-42901 Microsoft Entra ID Elevation of Privilege Vulnerability — CVEFeed.io : https://cvefeed.io/vuln/detail/CVE-2026-42901CVE-2026-33843 Microsoft Azure Active Directory B2C Elevation of Privilege Vulnerability — CVEFeed.io : https://cvefeed.io/vuln/detail/CVE-2026-33843Jailbroken Gemini helped Russian-speaking fraudster target MAGA crypto users — The Register : https://www.theregister.com/cyber-crime/2026/05/22/jailbroken-gemini-helped-russian-speaking-fraudster-target-maga-crypto-users/ Lawmakers Demand Answers as CISA Tries to Contain Data Leak — KrebsOnSecurity : https://krebsonsecurity.com/2026/05/lawmakers-demand-answers-as-cisa-tries-to-contain-data-leak/⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #SupplyChain #LaravelLang #RCE #CredentialStealer #VirtualOSMuseum #RetroComputing #CISA #KEV #Drupal #SQLInjection #CVE20269082 #CERTFR #Mattermost #Microsoft #EntraID #CVE202642901 #CVSS10 #AzureADB2C #CVE202633843 #PrivilegeEscalation #Gemini #LLM #Jailbreak #CryptoFraud #RAT #WordPress #GitHub #GovCloud #DataLeak #PatchManagement #RadioCSIRT
-
631
Ep.653 - RadioCSIRT Édition Française - Flash info cybersécurité du vendredi 22 mai 2026
Cisco a publié un correctif pour une vulnérabilité de sévérité maximale affectant Secure Workload, permettant à un attaquant distant non authentifié d'accéder à des données sensibles. Référencée CVE-2026-20223 et scorée 10.0 en CVSS, la faille provient d'une validation et d'une authentification insuffisantes lors de l'accès aux endpoints de l'API REST. En envoyant une requête API spécialement conçue à un endpoint vulnérable, un attaquant peut lire des informations sensibles et modifier des configurations au-delà des frontières entre tenants, avec les privilèges du compte Site Admin. La faille touche Cisco Secure Workload Cluster Software, en déploiement SaaS comme on-prem, indépendamment de la configuration, et aucun workaround n'est disponible. Les versions corrigées sont la 3.10.8.3 et la 4.0.3.17, les branches 3.9 et antérieures devant migrer vers une release corrigée. Cisco indique avoir découvert la faille lors de tests internes, sans exploitation observée à ce jour. La divulgation intervient une semaine après l'exploitation active de la CVE-2026-20182, un contournement d'authentification dans Catalyst SD-WAN Controller, attribuée au threat actor UAT-8616.Flipper Devices a officiellement dévoilé le Flipper One, un cyberdeck modulaire basé sur Linux, distinct du Flipper Zero et destiné aux opérations IP de niveau Layer 1 : networking, transfert de données et tâches de calcul intensives. Le matériel repose sur le SoC Rockchip RK3576, doté d'un CPU ARM 8 cœurs, d'un GPU Mali-G52, d'un NPU pour les charges IA locales et de 8 Go de RAM. Une architecture à co-processeur associe ce CPU à un microcontrôleur RP2350, qui maintient le contrôle bas niveau de l'affichage, des entrées et du boot même lorsque l'environnement Linux est hors ligne. La connectivité inclut deux ports Gigabit Ethernet, du Wi-Fi 6E supportant monitor mode et packet injection, et un slot M.2 acceptant modems 5G/LTE, modules SDR ou stockage NVMe. L'appareil fonctionne en toolkit réseau multi-interfaces avec jusqu'à cinq uplinks simultanés, autorisant le sniffing inline, l'analyse man-in-the-middle, le déploiement de VPN gateway et le multi-WAN. Il embarque Flipper OS, système Debian à profils, et l'interface FlipCTL. Flipper Devices collabore avec Collabora pour intégrer le support du RK3576 au kernel Linux mainline.On apprend que la CISA, l'agence américiane a mis en ligne le 21 mai 2026 un nouveau Nomination Form permettant aux chercheurs, éditeurs et partenaires industriels de signaler des Known Exploited Vulnerabilities. Ce dispositif vise à renforcer la capacité de la CISA à identifier, valider et diffuser rapidement les KEV. Le formulaire s'inscrit dans le prolongement de la Vulnerability Disclosure Policy Platform et du programme de Coordinated Vulnerability Disclosure de l'agence, qui encadrent la recherche de sécurité de bonne foi et la remédiation coordonnée. Chris Butera, Acting Executive Assistant Director for Cybersecurity, souligne que la détection précoce et la divulgation coordonnée figurent parmi les leviers les plus efficaces pour réduire le risque à grande échelle. Le catalogue KEV demeure la source de référence des vulnérabilités confirmées comme activement exploitées, assorties de consignes de remédiation. La soumission reste possible par e-mail à l'adresse [email protected], en complément du formulaire en ligne accessible depuis le portail KEV de la CISA.D'après une recherche du rnbo, organisme ukrainien de cybersécurité, des groupes russes étatiques et criminels exploitent de manière croissante les services RDP exposés et les VPN gateways vulnérables pour pénétrer discrètement les réseaux cibles, avant de revendre ou d'instrumentaliser cet accès à des fins d'espionnage et de Ransomware. Ces erreurs de configuration d'accès distant deviennent des points d'entrée à forte valeur, négociés par des Initial Access Brokers sur les forums underground russophones. Les chercheurs ont observé des botnets mobilisant plus de 100 000 adresses IP uniques pour mener timing attacks et énumération de logins contre les services RDP, rendant le blocage par IP inopérant. Les opérations combinent credential stuffing, brute-force et exploitation de vulnérabilités connues d'appliances VPN. Une fois l'endpoint compromis, les courtiers taguent les identifiants valides selon la taille, la géographie et les privilèges de la cible, puis les vendent aux affiliés Ransomware et APT. Contre les réseaux gouvernementaux et d'infrastructures critiques européens et ukrainiens, les groupes pro-russes chaînent Phishing, exploitation VPN et abus RDP post-compromission, déployant des familles comme X2 et LockBit 3.0 après plusieurs jours de Lateral Movement silencieux.Sources : Cisco Patches CVSS 10.0 Secure Workload REST API Flaw Enabling Data Access — The Hacker News : https://thehackernews.com/2026/05/cisco-patches-cvss-100-secure-workload.htmlFlipper Introduces Flipper One as a Modular Linux-Based Cyberdeck — GBHackers : https://gbhackers.com/flipper-introduces-flipper-one-as-a-modular-linux-based-cyberdeck/Flipper One: We Need Your Help — Flipper Devices : https://blog.flipper.net/flipper-one-we-need-your-help/CISA to allow researchers to report vulnerabilities for KEV — The Record : https://therecord.media/cisa-to-allow-researchers-to-report-vulnerabilities-kevCISA Enhances Known Exploited Vulnerabilities Catalog to Include New Nomination Form — CISA : https://www.cisa.gov/news-events/news/cisa-enhances-known-exploited-vulnerabilities-catalog-include-new-nomination-formRussian Hackers Exploit RDP and VPNs to Breach Target Networks — Cyber Press : https://cyberpress.org/russian-hackers-exploit-access/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Cisco #SecureWorkload #CVE202620223 #CVSS10 #RESTAPI #UAT8616 #CatalystSDWAN #FlipperOne #FlipperDevices #Cyberdeck #Linux #RK3576 #SDR #WiFi6E #PacketInjection #FlipperOS #Collabora #CISA #KEV #NominationForm #CVD #VDP #RDP #VPN #InitialAccessBroker #Ransomware #LockBit #CredentialStuffing #BruteForce #LateralMovement #PatchManagement #RadioCSIRT
-
630
Ep.652 - RadioCSIRT Édition Française - Flash info cybersécurité du jeudi 21 mai 2026
Selon le CERT-UA, le cluster UAC-0057, également suivi sous le nom UNC1151, mène depuis le printemps 2026 une campagne de Phishing visant des organisations gouvernementales ukrainiennes. Les courriels, envoyés depuis des comptes compromis, exploitent la thématique de l'obtention de certificats via la plateforme Prometheus. Le vecteur d'Initial Access repose sur un PDF en pièce jointe contenant un lien menant au téléchargement d'une archive ZIP, laquelle embarque un fichier JS identifié comme OYSTERFRESH. Ce Loader affiche un document leurre, inscrit dans le registre une version obfusquée du Payload OYSTERBLUES, puis télécharge OYSTERSHUCK, son décodeur. Le décodage combine un reverse de chaîne, une transformation ROT13 et un URL-decoding. OYSTERBLUES collecte ensuite le nom de la machine, le compte utilisateur, la version de l'OS et la liste des processus, données transmises au serveur C2 par requête HTTP POST. En retour, le serveur renvoie du code JS exécuté via la fonction eval. À l'étape suivante, un composant Cobalt Strike peut être déployé. L'infrastructure reste masquée derrière Cloudflare, avec une forte proportion de domaines en TLD .icu.Selon le blog du chercheur opérant sous le pseudonyme Nightmare Eclipse, un conflit ouvert oppose ce dernier au MSRC autour de la divulgation de vulnérabilités Windows. Le chercheur a publié plusieurs Proof of Concept en Full Disclosure sur GitHub, dont les exploits baptisés BlueHammer et RedSun, ce dernier répondant au correctif de la CVE-2026-33825. Le différend cristallise autour de la CVE-2026-45585, surnommée YellowKey, un security feature bypass affectant Windows. Microsoft affirme que la publication du Proof of Concept enfreint les bonnes pratiques de Coordinated Vulnerability Disclosure. Le chercheur conteste cette qualification, qu'il juge diffamatoire, et accuse l'éditeur d'avoir révoqué puis intégralement supprimé son compte MSRC, sans réponse de la direction à ses demandes d'explication. Il évoque par ailleurs un silent patch appliqué par Microsoft sur la vulnérabilité YellowKey, sans attribution de CVE initiale. Les publications, signées en PGP avec un hash SHA512, s'inscrivent dans une série d'au moins sept billets diffusés en mai 2026, marquant une escalade revendiquée du mode de divulgation.Selon BleepingComputer, Google a accidentellement exposé les détails d'une faille Chromium non corrigée permettant à du JavaScript de continuer à s'exécuter en arrière-plan après la fermeture du navigateur, ouvrant la voie à une exécution de code à distance. Rapportée par la chercheuse Lyra Rebane et reconnue dès décembre 2022, la vulnérabilité repose sur l'abus d'un Service Worker qui ne se termine jamais, transformant le navigateur en membre permanent d'un botnet relié à un C2. Tous les navigateurs basés sur Chromium sont concernés : Chrome, Edge, Brave, Opera, Vivaldi et Arc. Le 20 mai, les restrictions d'accès sur le Chromium Issue Tracker ont été levées automatiquement, le bug ayant été marqué comme corrigé, alors qu'aucun patch n'avait été livré. En testant, Rebane a constaté que l'exploit fonctionne toujours sur Chrome Dev 150 et Edge 148. Sur Edge, l'exécution est désormais totalement silencieuse, la fenêtre de téléchargement ayant disparu. Les scénarios incluent attaques DDoS distribuées, proxy de trafic malveillant et redirection arbitraire. La faille ne franchit pas les barrières de sécurité du navigateur.Selon Cyber Security News, une vulnérabilité zero-day d'exécution de code à distance, baptisée nginx-poolslip, affecterait NGINX 1.31.0, dernière version stable du serveur web. La découverte est attribuée à un chercheur opérant sous le nom Vega, au sein de l'équipe NebSec, et a été divulguée publiquement via X le 21 mai 2026. La faille viserait le mécanisme interne de gestion du memory pool de NGINX et permettrait une exécution de code à distance sans authentification préalable, via un contournement de l'ASLR. NebSec indique que le correctif d'une vulnérabilité antérieure, nginx-rift, n'a pas traité la surface d'attaque désormais exploitée. NGINX équipant 30 à 40 % des serveurs web mondiaux, reverse proxies, load balancers et API gateways inclus, les organisations ayant migré vers 1.31.0 resteraient exposées. À la publication, aucun CVE n'est attribué et aucun patch F5/NGINX n'est disponible. NebSec applique une responsible disclosure de 30 jours et retient les détails techniques du contournement ASLR jusqu'à correctif officiel. Cette information demeure non confirmée par F5 et appelle vérification.Selon le SANS Internet Storm Center, dans une note signée Johannes Ullrich, il n'existe pas encore d'équivalent générique sous Linux à Proxifier, l'outil capable d'intercepter le trafic de processus spécifiques sous Windows, macOS et Android, utile pour le debugging et le reverse engineering en limitant le bruit d'analyse. Trois méthodes permettent toutefois de cibler le proxying par processus sous Linux. La première s'appuie sur les variables d'environnement http_proxy et https_proxy, définies dans un shell avant de lancer le logiciel à inspecter. La deuxième repose sur iptables, qui peut rediriger le trafic d'un utilisateur donné via l'option owner et le ciblage par UID, plutôt que par PID, ces derniers étant trop instables et multiples pour les processus multithreadés. La troisième utilise les network namespaces, qui créent des tables de routage distinctes par processus, en assignant explicitement les interfaces réseau au namespace. Ullrich qualifie cette dernière approche de plus polyvalente, notamment lorsque les variables d'environnement échouent, la solution iptables restant plus simple mais susceptible de générer du trafic résiduel non désiré.Sources : Оновлений інструментарій UAC-0057 : OYSTERFRESH, OYSTERSHUCK та OYSTERBLUES — CERT-UA : https://cert.gov.ua/article/6315762I have been profusely crying — Nightmare Eclipse : https://deadeclipse666.blogspot.com/2026/05/i-have-been-profusely-crying-i-will.htmlDear Microsoft — Nightmare Eclipse : https://deadeclipse666.blogspot.com/2026/05/dear-microsoft.htmlGoogle accidentally exposed details of unfixed Chromium flaw — BleepingComputer : https://www.bleepingcomputer.com/news/security/google-accidentally-exposed-details-of-unfixed-chromium-flaw/Selective HTTP Proxying in Linux — SANS Internet Storm Center : https://isc.sans.edu/diary/rss/33002New NGINX 0-Day RCE nginx-poolslip Affects Millions of NGINX Servers — Cyber Security News : https://cybersecuritynews.com/nginx-0-day-rce-nginx-poolslip/⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CERTUA #UAC0057 #UNC1151 #OYSTERFRESH #OYSTERSHUCK #OYSTERBLUES #CobaltStrike #Phishing #Cloudflare #NightmareEclipse #ChaoticEclipse #Microsoft #MSRC #YellowKey #CVE202645585 #BlueHammer #RedSun #FullDisclosure #CVD #Google #Chromium #Chrome #Edge #ServiceWorker #Botnet #DDoS #JavaScript #SANS #ISC #Linux #Proxy #NetworkNamespaces #iptables #NGINX #nginxpoolslip #ZeroDay #RCE #ASLR #F5 #PatchManagement #RadioCSIRT
-
629
Ep.651 - RadioCSIRT Édition Française - Flash info cybersécurité du mercredi 20 mai 2026
Selon la CISA, sept vulnérabilités ont été ajoutées au catalogue Known Exploited Vulnerabilities ce 20 mai 2026. Le lot mêle cinq failles Windows datant de 2008 à 2010 et deux vulnérabilités très récentes touchant Microsoft Defender : CVE-2026-41091, élévation de privilèges, et CVE-2026-45498, déni de service. D'après Barracuda Networks, ces deux failles s'inscrivent dans la campagne ouverte depuis avril 2026 par le chercheur Chaotic Eclipse, alias Nightmare-Eclipse, auteur de six zero-days successifs visant Microsoft en représailles d'un différend avec le MSRC. Les premiers exploits du même auteur, BlueHammer, RedSun et UnDefend, ont déjà été observés en exploitation hands-on-keyboard par Huntress, après initial access via SSL-VPN compromis. L'infrastructure observée est géolocalisée en Russie.D'après le Drupal Security Team, l'avis SA-CORE-2026-004 corrige CVE-2026-9082, une injection SQL critique scorée 20 sur 25 dans l'API d'abstraction de base de données du core. La faille permet à un utilisateur anonyme de déclencher une injection SQL arbitraire conduisant à divulgation d'information, escalade de privilèges ou exécution de code à distance. Seuls les sites utilisant PostgreSQL sont exposés au vecteur SQL. Les releases intègrent toutefois des correctifs upstream coordonnés Symfony et Twig qui concernent l'ensemble du parc, indépendamment du moteur de base de données. Les versions corrigées sont 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 et 10.4.10.L'Internet Systems Consortium publie un lot de quatre vulnérabilités affectant BIND 9, relayé par le Centre canadien pour la cybersécurité sous la référence AV26-490. La plus notable est CVE-2026-3593, une heap use-after-free dans l'implémentation DNS-over-HTTPS, exploitable à distance via du trafic HTTP/2 spécialement conçu, et scorée 7.4. La corruption mémoire touche serveurs autoritaires et résolveurs, sans authentification. Les versions concernées sont BIND 9.20.0 à 9.20.22 et 9.21.0 à 9.21.21. La branche 9.18 n'est pas affectée. Le bulletin couvre également CVE-2026-3039, CVE-2026-5947 et CVE-2026-5946 portant respectivement sur GSS-API TKEY, SIG(0) sous query flood et la gestion des classes DNS.Le projet OpenBSD publie le 19 mai 2026 la version 7.9, soixantième release du système. Côté OpenSSH, dont OpenBSD est l'amont, sshd_config introduit une pénalité configurable applicable aux tentatives de connexion avec utilisateur invalide, mécanisme natif de mitigation du brute force SSH. Le packet filter pf intègre un limiteur de création d'états par source pour contenir les floods. Le mécanisme pledge, qui restreint les appels système d'un processus, bénéficie de plusieurs améliorations renforçant la mitigation des vulnérabilités exploitables. La version embarque également le support des VLAN dans les ponts Ethernet virtuels veb, le support des certificats par IP dans acme-client et le passage à 255 processeurs amd64.Sources :CISA Adds Seven Known Exploited Vulnerabilities to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/05/20/cisa-adds-seven-known-exploited-vulnerabilities-catalogDrupal core - Highly critical - SQL injection - SA-CORE-2026-004 — Drupal.org : https://www.drupal.org/sa-core-2026-004Bulletin de sécurité ISC BIND (AV26-490) — Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-isc-bind-av26-490Sortie de la 60ᵉ version d'OpenBSD — LinuxFR : https://linuxfr.org/news/sortie-de-la-60-version-d-openbsd⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #ChaoticEclipse #NightmareEclipse #MicrosoftDefender #BlueHammer #RedSun #UnDefend #Huntress #Barracuda #ZeroDay #Drupal #SACORE2026004 #CVE20269082 #SQLInjection #PostgreSQL #Symfony #Twig #ISC #BIND #DNS #DoH #DNSOverHTTPS #UseAfterFree #OpenBSD #OpenSSH #pf #pledge #LibreSSL #PatchManagement #RadioCSIRT
-
628
Ep.650 - RadioCSIRT Édition Française - Flash info cybersécurité du mardi 19 mai 2026
Linus Torvalds publie Linux 7.1-rc4 et durcit la politique du noyau face à l'afflux massif de rapports de bugs générés par IA. La security list étant submergée par des doublons issus des mêmes outils d'analyse automatisée, Torvalds tranche : les bugs détectés par IA ne sont pas secrets par définition et leur traitement sur une liste privée constitue une perte de temps. Trois patches de Willy Tarreau et Jonathan Corbet clarifient les exigences applicables aux rapports assistés par IA.Canonical publie un avis sur CVE-2026-46333, alias ssh-keysign-pwn, une race condition exploitable via ptrace permettant à un utilisateur local non privilégié de lire les fichiers ouverts par un exécutable suid ou sgid. Le PoC démontre la lecture de /etc/shadow via /usr/bin/chage et des clés privées hôtes OpenSSH via /usr/lib/openssh/ssh-keysign. Score CVSS 5.5, priorité Ubuntu High. Toutes les LTS sont affectées, mitigation par sysctl kernel.yama.ptrace_scope=2.Selon Socket, une nouvelle vague Shai-Hulud a compromis 639 versions malveillantes sur 323 packages npm en une heure le 19 mai 2026. L'attaque exploite le compte mainteneur atool de l'écosystème @antv et touche notamment echarts-for-react et jest-canvas-mock. Exfiltration via le réseau P2P Session, génération d'attestations Sigstore valides via abus de tokens OIDC, persistance inédite via backdoors implantés dans les configurations VS Code et Claude Code.INTERPOL annonce les résultats d'Operation Ramz dans la région MENA : plus de 200 arrestations, 382 suspects supplémentaires identifiés sur 13 pays, 53 serveurs phishing et malware saisis, 3 867 victimes confirmées. Collaboration avec Kaspersky, Group-IB, The Shadowserver Foundation, Team Cymru et TrendAI. Démantèlement notable d'une plateforme phishing-as-a-service en Algérie et d'une opération d'investment scam en Jordanie.Selon Recorded Future News, la panne nationale des télécoms luxembourgeois du 23 juillet 2025 résulte d'une attaque zero-day visant les routeurs entreprise Huawei. Un trafic réseau spécialement forgé plaçait les équipements en boucle de redémarrage continue, coupant fixe, 4G et 5G pendant trois heures. Dix mois après les faits, aucun CVE n'a été publié, aucune alerte publique n'a été émise par Huawei.Microsoft démantèle Fox Tempest, une plateforme de malware-signing-as-a-service active depuis mai 2025 qui abusait Microsoft Artifact Signing. Plus de 1 000 certificats révoqués, des centaines de tenants Azure mis hors ligne. Les affiliés Rhysida, INC, Qilin et Akira utilisaient le service pour signer Oyster, Lumma Stealer et Vidar, maquillés en AnyDesk, Teams, PuTTY ou Webex.Cisco Talos divulgue onze vulnérabilités. Huit ciblent le routeur TP-Link Archer AX53, dont CVE-2026-30814, un stack-based buffer overflow conduisant à de l'arbitrary code execution, et plusieurs OS command injection dans les fonctions OpenVPN configuration restore. CVE-2026-34632 vise le processus d'installation d'Adobe Photoshop via Microsoft Store, CVE-2026-35058 frappe OpenVPN via une reachable assertion, et CVE-2025-58074 affecte Norton VPN.Sources :Linus Torvalds, Linux 7.1-rc4, LKML : https://lkml.org/lkml/2026/5/17/896Luci Stanescu, CVE-2026-46333 ssh-keysign-pwn Linux kernel vulnerability mitigations, Canonical : https://ubuntu.com//blog/ssh-keysign-pwn-linux-vulnerability-fixes-availableBill Toulas, New Shai-Hulud malware wave compromises 600 npm packages, BleepingComputer : https://www.bleepingcomputer.com/news/security/new-shai-hulud-malware-wave-compromises-600-npm-packages/Bill Toulas, INTERPOL Operation Ramz seizes 53 malware phishing servers, BleepingComputer : https://www.bleepingcomputer.com/news/security/interpol-operation-ramz-seizes-53-malware-phishing-servers/Huawei zero-day attack behind last year's crash of Luxembourg's entire telecoms network, The Record : https://therecord.media/huawei-zero-day-behind-last-year-luxembourg-telecom-outageMicrosoft disrupts Fox Tempest malware-signing-as-a-service platform tied to ransomware gangs, The Record : https://therecord.media/microsoft-disrupts-fox-tempest-malware-signing-serviceKri Dontje, TP-Link, Photoshop, OpenVPN, Norton VPN vulnerabilities, Cisco Talos : https://blog.talosintelligence.com/tp-link-photoshop-openvpn-norton-vpn-vulnerabilities/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09 📩 Email : [email protected] 🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #LinuxKernel #LinusTorvalds #AI #CVE #ssh-keysign-pwn #ptrace #Ubuntu #Canonical #Qualys #ShaiHulud #npm #SupplyChain #Session #Sigstore #OIDC #VSCode #ClaudeCode #INTERPOL #OperationRamz #MENA #Huawei #ZeroDay #Luxembourg #POST #Microsoft #FoxTempest #MSaaS #ArtifactSigning #Rhysida #Qilin #Akira #LummaStealer #Vidar #CiscoTalos #TPLink #ArcherAX53 #Photoshop #OpenVPN #NortonVPN #PatchManagement #RadioCSIRT
-
627
Ep.649 - RadioCSIRT Édition Française - Flash info cybersécurité du lundi 18 mai 2026
Le CERT-FR a publié le 18 mai 2026 l'avis CERTFR-2026-AVI-0608 sur de multiples vulnérabilités dans Microsoft Azure Linux. L'avis consolide dix-huit bulletins de sécurité Microsoft datés des 3, 7 et 10 mai 2026, couvrant les composants binutils, coredns, fio, gdb, httpd, python-mistune et telegraf dans la distribution AZL3. Le risque est non spécifié par l'éditeur. Exemples de saut de version : httpd 2.4.66-1 vers 2.4.67-1, coredns 1.11.4-15 vers 1.11.4-16, telegraf 1.31.0-19 vers 1.31.0-20. Dix-sept CVE référencées au total. Les opérateurs Azure Linux sont invités à appliquer les correctifs via les canaux Microsoft habituels selon leur cycle de patch.Le CERT-FR a également publié l'avis CERTFR-2026-AVI-0607 concernant Microsoft Edge, consolidant plus de soixante-quinze bulletins de sécurité Microsoft Edge publiés le 15 mai 2026. Les risques identifiés sont l'exécution de code arbitraire à distance, le contournement de la politique de sécurité et un risque non spécifié par l'éditeur. La version corrective est Microsoft Edge 148.0.3967.70, toutes versions antérieures concernées. L'avis ne distingue pas la criticité par CVE, ce qui invite à traiter l'ensemble comme prioritaire. Les administrateurs Intune et Configuration Manager sont incités à pousser la mise à jour sans délai et à vérifier le déploiement effectif via leurs canaux de reporting habituels.Selon le National Cyber Security Centre britannique, dans un article du 11 mai 2026 signé Ruth C, responsable du Vulnerability Management Group, l'usage de l'intelligence artificielle pour rechercher des vulnérabilités appelle dix questions préalables. Le NCSC rappelle que sur les quarante mille CVE attribués en 2025, seuls quatre cents environ ont été activement exploités selon la CISA KEV, dont une quarantaine en zero-day initial. Trouver des vulnérabilités ne suffit pas à améliorer la sécurité, et sans processus de gestion en aval, la posture défensive peut se dégrader. Le NCSC recommande de combiner capacités IA et expertise humaine, et de prioriser l'asset management, le dependency management et la surface d'attaque externe.D'après un guest diary du SANS Internet Storm Center publié le 15 mai 2026 par Gokul Prema Thangavel, étudiant SANS.edu, le botnet Outlaw connu sous le marqueur mdrfckr est entré dans sa troisième génération de client SSH. Entre le 14 et le 21 avril 2026, un capteur DShield a logué 24 IPs uniques écrivant le SHA-256 a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2 dans des fichiers authorized_keys, hash inchangé depuis 2018. Nouveauté : le hassh 03a80b21afa810682a776a7d42e5e6fb correspondant à libssh 0.11.1, après libssh 0.6 documentée en 2022 et libssh 0.9 documentée en 2023. Les règles de détection adossées aux hassh précédents manqueront cette génération. L'auteur recommande d'épingler la détection sur le SHA-256 du fichier, le blob de clé publique, la chaîne mdrfckr et la séquence de commandes de reconnaissance, plutôt que sur une valeur hassh donnée.Sources :Multiples vulnérabilités dans Microsoft Azure Linux — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0608/Multiples vulnérabilités dans Microsoft Edge — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0607/10 questions to ask when using AI models to find vulnerabilities — NCSC UK : https://www.ncsc.gov.uk/blogs/10-questions-ask-using-ai-models-find-vulnerabilitiesNew Malware Libraries means New Signatures — SANS Internet Storm Center : https://isc.sans.edu/diary/rss/32986⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #CERTFR #ANSSI #Microsoft #AzureLinux #MicrosoftEdge #PatchTuesday #PatchManagement #CVE #NCSC #UK #AI #LLM #VulnerabilityManagement #CISAKEV #ZeroDay #SANS #InternetStormCenter #DShield #Outlaw #mdrfckr #Botnet #SSH #libssh #hassh #DetectionEngineering #ThreatHunting #RadioCSIRT
-
626
Ep.647 - RadioCSIRT Édition Française - Veille cybersécurité du samedi 16 mai 2026
Le chercheur Chaotic Eclipse, alias Nightmare-Eclipse sur GitHub, publie le vendredi 15 mai 2026 une cinquième divulgation publique non coordonnée en six semaines. Baptisée MiniPlasma, la vulnérabilité cible le driver Windows Cloud Files Mini Filter, cldflt.sys, chargé par défaut sur l'ensemble des installations Windows depuis Windows 10 1809. Le PoC public sur GitHub revendique l'obtention d'un shell SYSTEM sur Windows 11 et Windows Server 2025 entièrement patchés. Aucune CVE n'a été attribuée à ce jour, aucun correctif n'est en cours de publication par le Microsoft Security Response Center.L'allégation centrale du chercheur est extraordinaire et requiert vérification : le patch de CVE-2020-17103, publié par Microsoft en décembre 2020 dans le cadre d'une série de quatre vulnérabilités découvertes par James Forshaw de Project Zero, ne serait, selon le message PGP signé, simplement pas présent sur les versions actuelles du driver. Trois hypothèses techniques sont actuellement sur la table sans qu'aucune ne soit définitivement écartée. Première hypothèse, la plus probable a priori, une variante du défaut d'origine non couverte par le patch initial, sur le modèle du bypass CVE-2025-55680 identifié par Exodus Intelligence sur le même driver. Deuxième hypothèse, une régression silencieuse du correctif au fil des refactorings successifs du driver. Troisième hypothèse intermédiaire, un correctif appliqué sur certaines branches du code mais non propagé après divergence vers Windows 11 et Windows Server 2025.L'historique récent de cldflt.sys soutient l'analyse. Quatre CVE majeures en 18 mois sur le même driver. CVE-2025-55680 patchée en octobre 2025, dérivée d'une race TOCTOU découverte dès mars 2024. CVE-2025-62221 patchée en décembre 2025 alors qu'elle était déjà exploitée in-the-wild, sans publication d'indicateurs de compromission détaillés. Et désormais MiniPlasma. Le composant est manifestement structurellement fragile et continue d'attirer les chercheurs.En l'absence de correctif éditeur, les équipes CERT et CSIRT disposent de plusieurs leviers de mitigation. Pour les serveurs sans usage cloud et les hôtes administrateurs, la désactivation conditionnelle du service CldFlt via la commande sc.exe config cldflt start= disabled supprime la surface d'attaque, sous réserve de validation fonctionnelle (impact sur OneDrive, SharePoint, certains workflows tiers). Pour les flottes utilisant intensivement OneDrive Files On-Demand, cette option n'est pas applicable. La détection EDR doit cibler les DeviceIoControl avec code 0x903BC vers le device \\.\HsmFlt\Hsm provenant de processus non privilégiés, et la création de DLL dans System32 ou SysWOW64 par des processus non SYSTEM. Le correctif officiel est à anticiper pour le Patch Tuesday de juin 2026, qui correspond également à la prochaine divulgation annoncée par Chaotic Eclipse.Sources :Chaotic Eclipse, blog deadeclipse666, MiniPlasma a powerful LPE : https://deadeclipse666.blogspot.com/GitHub Nightmare-Eclipse/MiniPlasma : https://github.com/Nightmare-Eclipse/MiniPlasmaMicrosoft Security Response Center, CVE-2020-17103 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-17103James Forshaw, Project Zero, Hunting for Bugs in Windows Mini-Filter Drivers : https://googleprojectzero.blogspot.com/2021/01/hunting-for-bugs-in-windows-mini-filter.htmlExodus Intelligence, Microsoft Windows Cloud Files Minifilter TOCTOU Privilege Escalation, CVE-2025-55680 : https://blog.exodusintel.com/2025/10/20/microsoft-windows-cloud-files-minifilter-toctou-privilege-escalation/Microsoft Security Response Center, CVE-2025-62221 : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-62221Analyse complète sur le blog : https://blog.marcfredericgomez.fr/miniplasma-chaotic-eclipse-rouvre-cldflt-sys-et-relance-la-question-de-la-durabilite-des-patches-microsoft/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #Windows #cldflt #CloudFiles #PrivilegeEscalation #LPE #ChaoticEclipse #NightmareEclipse #MiniPlasma #YellowKey #Microsoft #MSRC #SilentPatching #PatchTuesday #VulnerabilityManagement #RadioCSIRT
-
625
Ep.646 - RadioCSIRT Édition Française - Flash info cybersécurité du vendredi 15 mai 2026
Le 12 mai 2026, AMD publie l'avis AMD-SB-7052 décrivant la vulnérabilité CVE-2025-54518 dans le cache d'opcodes des processeurs Zen 2. CVSS 4.0 de 7.3, CWE-1189, élévation locale et évasion guest vers host confirmée par Xen XSA-490 et Qubes QSB-113. Le périmètre couvre EPYC 7002, Ryzen 3000/4000 Desktop, Ryzen 5000 Mobile, Threadripper PRO 3000 WX et Ryzen Embedded V2000. Mitigation via microcode AGESA diffusé aux OEM entre octobre 2025 et décembre 2025, divulgation publique coordonnée après sept mois d'embargo.Simon Kelley, mainteneur unique de dnsmasq, fait face à un afflux massif de bug reports générés par IA. Six CVE remontent à des rapports automatisés, posant la question de la soutenabilité de la maintenance open source face à la submersion par découvertes IA convergentes. Le cas illustre une érosion du modèle CVD classique sur les composants à mainteneur unique.Microsoft confirme l'exploitation active de CVE-2026-40361, vulnérabilité zero-click use-after-free dans le moteur de rendu Outlook wwlib.dll. L'exploitation se déclenche au simple chargement du panneau de prévisualisation, sans interaction utilisateur. Le correctif est intégré au Patch Tuesday de mai 2026.D'après BleepingComputer, la deuxième journée du concours Pwn2Own Berlin 2026 a livré 15 zero-days uniques pour 385 750 dollars de récompenses. Orange Tsai (DEVCORE) a chaîné trois bugs pour obtenir un Remote Code Execution SYSTEM sur Microsoft Exchange, empochant 200 000 dollars. Siyeon Wi a exploité un integer overflow sur Windows 11, et Ben Koo (Team DDOS) a élevé ses privilèges en root sur Red Hat Enterprise Linux for Workstations via un use-after-free.Le 14 mai 2026, CISA ajoute CVE-2026-20182 à son catalogue Known Exploited Vulnerabilities. La faille, CVSS 10.0, est un authentication bypass dans le mécanisme de peering de Cisco Catalyst SD-WAN Controller et SD-WAN Manager. L'exploitation active est attribuée par Cisco Talos au cluster UAT-8616, déjà responsable de l'exploitation de CVE-2026-20127. Les agences fédérales américaines ont jusqu'au 17 mai 2026 pour appliquer les correctifs.Le 15 mai 2026, CISA ajoute CVE-2026-42897 au catalogue KEV. La vulnérabilité, CVSS 8.1, est un cross-site scripting dans Microsoft Exchange Server affectant Outlook Web Access. L'exploitation se fait via l'envoi d'un email spécialement conçu permettant l'exécution de JavaScript arbitraire dans le contexte du navigateur. Les versions concernées sont Exchange Server 2016, 2019 et Subscription Edition. Microsoft fournit une mitigation temporaire via l'Exchange Emergency Mitigation Service en attendant un correctif définitif.Sources : Une vulnérabilité dans le cache d'opcodes des processeurs AMD Zen 2 — blog.marcfredericgomez.fr : https://blog.marcfredericgomez.fr/une-vulnerabilite-dans-le-cache-dopcodes-des-processeurs-amd-zen-2/Six CVE dnsmasq, un mainteneur épuisé par le tsunami de bug reports générés par IA — blog.marcfredericgomez.fr : https://blog.marcfredericgomez.fr/six-cve-dnsmasq-un-mainteneur-epuise-par-le-tsunami-de-bug-reports-generes-par-ia/CVE-2026-40361 : vulnérabilité zero-click use-after-free dans le moteur de rendu Outlook (wwlib.dll) — blog.marcfredericgomez.fr : https://blog.marcfredericgomez.fr/cve-2026-40361-vulnerabilite-zero-click-use-after-free-dans-le-moteur-de-rendu-outlook-wwlib-dll/Pwn2Own Day Two: hackers demo Microsoft Exchange, Windows 11, Red Hat Enterprise Linux zero-days — BleepingComputer : https://www.bleepingcomputer.com/news/security/pwn2own-day-two-hackers-demo-microsoft-exchange-windows-11-red-had-enterprise-linux-zero-days/ CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-20182) — CISA : https://www.cisa.gov/news-events/alerts/2026/05/14/cisa-adds-one-known-exploited-vulnerability-catalogCISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-42897) — CISA : https://www.cisa.gov/news-events/alerts/2026/05/15/cisa-adds-one-known-exploited-vulnerability-catalog⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #AMD #Zen2 #OpcodeCache #CVE #XenProject #QubesOS #dnsmasq #OpenSource #AIBugReports #Outlook #ZeroClick #UseAfterFree #wwlib #Pwn2Own #P2OBerlin #Exchange #Windows11 #RedHat #DEVCORE #OrangeTsai #CISA #KEV #Cisco #CatalystSDWAN #UAT8616 #MicrosoftExchange #OWA #XSS #PatchTuesday #RadioCSIRT
-
624
Ep.645 - RadioCSIRT Édition Française - Épisode spécial du jeudi 14 mai 2026
Cet épisode spécial revient en détail sur l'affaire YellowKey et GreenPlasma, deux vulnérabilités zero-day Windows divulguées publiquement le 12 mai 2026 par un chercheur indépendant opérant sous les pseudonymes Chaotic Eclipse et Nightmare-Eclipse, sans coordination préalable avec Microsoft. Aucun identifiant CVE n'a été attribué à ce jour, aucun correctif éditeur n'est disponible, et des codes proof-of-concept fonctionnels sont publiquement accessibles sur GitHub.Le chercheur Chaotic Eclipse mène depuis avril 2026 une campagne de divulgations non coordonnées contre Microsoft, motivée selon ses propres déclarations par une rupture de confiance avec le Microsoft Security Response Center et par le recours présumé au silent patching. Trois zero-day Windows Defender ont été publiés précédemment : BlueHammer (CVE-2026-33825, corrigé), RedSun (correctif silencieux selon le chercheur, sans CVE), et UnDefend. Le chercheur annonce la poursuite de la campagne lors du Patch Tuesday de juin 2026 et déclare disposer d'un dead man switch contenant d'autres exploits.YellowKey permet le contournement complet du chiffrement BitLocker sur Windows 11, Windows Server 2022 et Windows Server 2025 en cas d'accès physique à la machine. L'attaque consiste à déposer des fichiers spécialement formatés dans un répertoire FsTx placé dans System Volume Information sur une clé USB, à brancher cette clé sur la machine cible, à redémarrer dans le Windows Recovery Environment et à maintenir la touche CTRL pendant le boot. Le système ouvre alors un shell cmd.exe avec accès intégral au volume protégé par BitLocker, sans demande de recovery key ni de PIN. L'analyse technique de Will Dormann (Tharros Labs) montre que le mécanisme exploité repose sur la capacité d'un répertoire System Volume Information FsTx situé sur un volume à modifier le contenu d'un autre volume lors du replay transactionnel NTFS. Le chercheur indique également que la vulnérabilité reste exploitable sur les configurations BitLocker avec TPM et PIN, sans publier le proof-of-concept pour cette variante.GreenPlasma est une élévation de privilèges locale vers SYSTEM exploitant le processus CTFMON, composant du Collaborative Translation Framework qui s'exécute en SYSTEM dans chaque session interactive Windows. Le mécanisme repose sur la création par un utilisateur non privilégié d'un memory section object arbitraire dans un directory object writable par SYSTEM, au sein du namespace de l'Object Manager Windows. Le proof-of-concept publié sur GitHub est volontairement incomplet, le chercheur ayant retiré le composant final permettant d'obtenir un shell SYSTEM. GreenPlasma est confirmée fonctionnelle sur Windows 11, Windows Server 2022 et Windows Server 2026.La reproductibilité de YellowKey a été confirmée par plusieurs chercheurs indépendants reconnus, dont Kevin Beaumont, Will Dormann, KevTheHermit et JaGoTu. Microsoft a déclaré être engagé dans l'investigation des vulnérabilités rapportées et soutenir le principe de Coordinated Vulnerability Disclosure, sans publier de correctif, d'avis MSRC ni d'attribution CVE à la date de cet épisode. RadioCSIRT suivra l'évolution de ce dossier dans les prochains numéros.Sources :The Register, Disgruntled researcher releases two more Microsoft zero-days : https://www.theregister.com/security/2026/05/13/disgruntled-researcher-releases-two-more-microsoft-zero-days/BleepingComputer, Windows BitLocker zero-day gives access to protected drives : https://www.bleepingcomputer.com/news/security/windows-bitlocker-zero-day-gives-access-to-protected-drives-poc-released/SecurityWeek, Researcher Drops YellowKey, GreenPlasma Windows Zero-Days : https://www.securityweek.com/researcher-drops-yellowkey-greenplasma-windows-zero-days/The Hacker News, Windows Zero-Days Expose BitLocker Bypasses And CTFMON Privilege Escalation : https://thehackernews.com/2026/05/windows-zero-days-expose-bitlocker.htmlTom's Hardware, YellowKey zero-day exploit demonstrates an apparent backdoor : https://www.tomshardware.com/tech-industry/cyber-security/microsoft-bitlocker-protected-drives-can-now-be-opened-with-just-some-files-on-a-usb-stick-yellowkey-zero-day-exploit-demonstrates-an-apparent-backdoorCybernews, BitLocker bypass zero-day exploit released by disgruntled researcher : https://cybernews.com/security/researcher-releases-bitlocker-bypass-and-privilege-escalation-exploit/GitHub, Nightmare-Eclipse, GreenPlasma repository : https://github.com/Nightmare-Eclipse/GreenPlasmaChaotic Eclipse blog, deadeclipse666 : https://deadeclipse666.blogspot.com/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #YellowKey #GreenPlasma #ChaoticEclipse #NightmareEclipse #BitLocker #Windows11 #WindowsServer #WinRE #CTFMON #TPM #SecureBoot #BlueHammer #RedSun #UnDefend #Microsoft #MSRC #ZeroDay #PrivilegeEscalation #EncryptionBypass #PatchTuesday #VulnerabilityDisclosure #RadioCSIRT
-
623
Ep.644 - RadioCSIRT Édition Française - Flash info cybersécurité du mercredi 13 mai 2026
Le 13 mai 2026, cPanel publie une série de bulletins de sécurité corrigeant des vulnérabilités dans cPanel & WebHost Manager. Sont concernées les versions antérieures à 86.0.44, 11.94.0.31, 11.102.0.42, 11.110.0.118, 11.118.0.67, 11.124.0.38, 11.126.0.59, 11.130.0.23, 11.132.0.32, 11.134.0.26, 11.136.0.10, ainsi que WP Squared 11.136.1.12. Le Centre canadien pour la cybersécurité recommande l'application immédiate des correctifs.Red Hat publie un article décrivant comment ses Hardened Images, combinées à la plateforme Anchore, réduisent la fatigue CVE en sécurité conteneurs. L'approche repose sur des images minimales produites selon le standard SLSA3, une génération continue de SBOM, et un policy engine appliquant les référentiels NIST 800-53, 800-190 et FedRAMP tout au long du cycle CI/CD.Palo Alto Networks publie plusieurs bulletins critiques visant PAN-OS. Trois CVE majeures sont à retenir : CVE-2026-0263 Remote Code Execution dans le traitement IKEv2, CVE-2026-0264 heap-based buffer overflow non authentifié dans DNS Proxy et DNS Server, et CVE-2026-0265 authentication bypass lorsque Cloud Authentication Service est activé. Les branches PAN-OS 12.1, 11.2, 11.1 et 10.2 sont concernées.F5 publie sa Quarterly Security Notification de mai 2026, référencée K000160932. Le périmètre couvre BIG-IP tous modules, APM, Advanced WAF/ASM, DDoS Hybrid Defender, Next CNF, Next SPK, Next for Kubernetes, BIG-IQ Centralized Management, ainsi que la gamme NGINX (App Protect WAF et DoS, Gateway Fabric, Ingress Controller, Instance Manager, Open Source jusqu'à 1.30.0, NGINX Plus de R32 à R36). Plusieurs correctifs sont qualifiés de critiques.Le 12 mai 2026, l'équipe Exim publie l'avis EXIM-Security-2026-05-01.1 corrigeant une vulnérabilité affectant les versions 4.97 à 4.99.2 du Mail Transfer Agent. Le Centre canadien pour la cybersécurité recommande d'appliquer la mise à jour et de suivre les mesures d'atténuation publiées sur exim.org.n8n publie plusieurs bulletins de sécurité visant la plateforme d'automatisation no-code. Cinq classes de vulnérabilités sont corrigées : Pagination Prototype Pollution, Dynamic Credential OAuth Endpoints, Source Control, XML Node Prototype Pollution et Git Node. Plusieurs versions sont concernées, le patching est à traiter sans délai compte tenu de la manipulation de credentials OAuth tiers par la plateforme.Google publie une mise à jour Stable Channel pour Chrome Desktop. Les versions antérieures à 148.0.7778.167/168 sur Windows et macOS, et 148.0.7778.167 sur Linux sont concernées. Les détails complets des CVE corrigées sont publiés sur le blog officiel Chrome Releases.Exploit-DB publie sous référence EDB-ID 52559 un exploit ciblant Glances 4.5.2 et versions antérieures, identifié CVE-2026-33641 et classé CWE-78. La méthode Config.get_value() exécute comme commandes système toute chaîne placée entre backticks dans un fichier de configuration, via system_exec(). La CVSS v3.1 est évaluée à 7.8 HIGH. Le correctif est intégré à Glances 4.5.3, qui supprime le mécanisme d'exécution dynamique.CloudLinux publie un avis détaillant Fragnesia, troisième vulnérabilité de la classe Dirty Frag affectant le sous-système XFRM/ESP du kernel Linux. La faille concerne le ULP ESP-in-TCP : lorsqu'une socket TCP bascule en mode espintcp après un splice(2) ou sendfile(2), le kernel déchiffre les pages du page cache comme du ciphertext ESP, produisant une primitive d'écriture déterministe. Le PoC public de William Bowling et l'équipe V12 écrase /usr/bin/su pour obtenir root en une commande. CloudLinux 7h, 8, 9 et 10 sont affectés, l'attribution CVE est en cours.Sources : Bulletin de sécurité cPanel AV26-464, Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-cpanel-av26-46Reducing CVE fatigue with Red Hat Hardened Images and Anchore : https://www.redhat.com/fr/blog/reducing-cve-fatigue-red-hat-hardened-images-and-anchoreBulletin de sécurité Palo Alto Networks AV26-462 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-palo-alto-networks-av26-462Bulletin de sécurité F5 AV26-461 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-f5-av26-461Bulletin de sécurité Exim AV26-460 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-exim-av26-460Bulletin de sécurité n8n AV26-459 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-n8n-av26-459Bulletin de sécurité Google Chrome AV26-458 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-google-chrome-av26-458Glances 4.5.2 Command Injection CVE-2026-33641, Exploit Database : https://www.exploit-db.com/exploits/52559Fragnesia Mitigation and Kernel Update, CloudLinux Blog : https://blog.cloudlinux.com/fragnesia-mitigation-and-kernel-update⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #cPanel #WHM #RedHat #HardenedImages #Anchore #SBOM #SLSA3 #PaloAlto #PANOS #IKEv2 #DNSProxy #F5 #BIGIP #NGINX #Exim #MTA #n8n #PrototypePollution #OAuth #Chrome #Glances #CommandInjection #Fragnesia #DirtyFrag #LinuxKernel #XFRM #ESP #CloudLinux #CVE #PatchTuesday #RadioCSIRT
-
622
Ep.643 - RadioCSIRT Édition Française - Flash info cybersécurité du mardi 12 mai 2026
Une nouvelle vague de l'opération Shai-Hulud, attribuée au groupe TeamPCP, a compromis des centaines de packages npm et PyPI dont TanStack, Mistral AI, Guardrails AI, UiPath et OpenSearch. Les attaquants ont détourné des tokens OpenID Connect valides pour publier des versions malveillantes avec attestation de provenance SLSA Build Level 3, exfiltrant credentials GitHub, npm, AWS, Vault et Kubernetes via le réseau P2P Session.Le CERT-FR a publié l'avis CERTFR-2026-AVI-0553 couvrant onze CVE dans PHP, exploitables pour déni de service à distance, injection SQL et XSS. Sont concernées les branches 8.2.x antérieures à 8.2.31, 8.3.x antérieures à 8.3.31, 8.4.x antérieures à 8.4.21 et 8.5.x antérieures à 8.5.6.OpenAI lance Daybreak, plateforme cybersécurité défensive bâtie sur GPT-5.5 et Codex. Elle couvre secure code review, threat modeling, malware analysis et patch validation, et se décline en trois niveaux d'accès dont un tier GPT-5.5-Cyber réservé aux opérations de penetration testing et red teaming sous accès contrôlé.La FCC prolonge jusqu'au 1er janvier 2029 le waiver autorisant les mises à jour logicielles et firmware des routeurs étrangers inscrits sur la Covered List. Le waiver couvre désormais les Class II permissive changes. TP-Link et DJI restent en attente d'exemption.La vulnérabilité Copy Fail, CVE-2026-31431, divulguée par Theori, est une LPE déterministe et universelle dans l'interface AF_ALG du noyau Linux. L'écriture de quatre octets dans le page cache permet de modifier un binaire setuid en mémoire et d'obtenir root. Inscrite au catalogue KEV de la CISA avec échéance fédérale au 15 mai.Le CERT Polska divulgue CVE-2026-5029, une remote code execution non authentifiée affectant toutes les versions de Code Runner MCP Server lancé avec l'option --transport http. Le endpoint /mcp sur port 3088 est exposé sans authentification, permettant l'exécution de code arbitraire via child_process.exec(). Aucun correctif disponible.L'entreprise brésilienne Huge Networks, spécialisée dans la mitigation DDoS, héberge un botnet Mirai ciblant des ISP locaux via des routeurs TP-Link Archer AX21 vulnérables à CVE-2023-1389. Les scripts Python exposés exploitaient les clés SSH du CEO Erick Nascimento pour orchestrer des attaques par DNS reflection et amplification.D'après le SANS Internet Storm Center, Apple a publié 84 correctifs couvrant iOS, iPadOS, macOS, tvOS, watchOS et visionOS. Aucune des failles n'est exploitée à ce jour. Plusieurs CVE permettent une exécution de code kernel via Wi-Fi, des élévations vers root et des bypass de Gatekeeper via ZIP ou disk image piégés.Sources :BleepingComputer Shai-Hulud TanStack Mistral : https://www.bleepingcomputer.com/news/security/shai-hulud-attack-ships-signed-malicious-tanstack-mistral-npm-packages/CERT-FR PHP CERTFR-2026-AVI-0553 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0553/01net OpenAI Daybreak : https://www.01net.com/actualites/openai-lance-daybreak-lia-qui-detecte-et-corrige-les-failles-de-securite-en-quelques-minutes.htmlThe Cyber Express OpenAI Daybreak : https://thecyberexpress.com/openai-daybreak-introduces-gpt-5-5/Ars Technica FCC routeurs étrangers : https://arstechnica.com/tech-policy/2026/05/fcc-slightly-relaxes-foreign-router-ban-allows-software-updates-until-2029/CloudLinux Copy Fail CVE-2026-31431 : https://blog.cloudlinux.com/cve-2026-31431-copy-fail-patching-kernels-without-rebootingCERT Polska Code Runner MCP CVE-2026-5029 : https://cert.pl/en/posts/2026/05/CVE-2026-5029/KrebsOnSecurity Huge Networks : https://krebsonsecurity.com/2026/04/anti-ddos-firm-heaped-attacks-on-brazilian-isps/SANS ISC Apple Patches : https://isc.sans.edu/diary/rss/32976⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #ShaiHulud #TeamPCP #TanStack #MistralAI #SupplyChain #npm #PyPI #SLSA #OIDC #PHP #CERTFR #OpenAI #Daybreak #GPT55 #ClaudeMythos #FCC #TPLink #DJI #CopyFail #LinuxKernel #CISA #KEV #MCP #CodeRunner #CERTPolska #HugeNetworks #Mirai #TPLinkArcher #DDoS #Apple #iOS #macOS #Gatekeeper #WebKit #RadioCSIRT
-
621
Ep.642 - RadioCSIRT Édition Française - Flash info cybersécurité du vendredi 8 mai 2026
La CISA a ajouté trois vulnérabilités à son catalogue Known Exploited Vulnerabilities en trois jours. Le 6 mai, la CVE-2026-0300, Out-of-bounds Write affectant Palo Alto Networks PAN-OS. Le 7 mai, la CVE-2026-6973, faille d'Improper Input Validation sur Ivanti Endpoint Manager Mobile. Le 8 mai, la CVE-2026-42208, SQL Injection ciblant BerriAI LiteLLM, framework d'orchestration pour LLM en environnement entreprise. Les trois failles sont activement exploitées et soumises à la BOD 22-01.Le CERT-FR a publié trois avis majeurs cette semaine. L'avis CERTFR-2026-AVI-0530 documente onze vulnérabilités dans Apache HTTP Server avec exécution de code arbitraire à distance, toutes versions antérieures à 2.4.67. L'avis CERTFR-2026-AVI-0551 couvre sept failles dans GLPI exposant à des attaques SSRF et XSS. L'avis CERTFR-2026-AVI-0552 traite cinq CVE sur Ivanti EPMM, dont la CVE-2026-6973 activement exploitée. Le CERT-FR alerte sur un risque de chaînage avec les CVE-2026-1281 et CVE-2026-1340 antérieures, des credentials administrateurs compromis pouvant être réutilisés si les mots de passe locaux EPMM n'ont pas été réinitialisés.Selon Ars Technica, Mozilla a identifié 271 vulnérabilités dans Firefox sur deux mois grâce à Anthropic Mythos, couplé à un agent harness maison utilisant le sanitizer build de Firefox comme signal de succès déterministe. Un second LLM filtre les hallucinations. Mozilla revendique « almost no false positives », avec 180 failles sec-high, 80 sec-moderate, 11 sec-low. Claude Opus 4.6 a également été utilisé en complément.Selon Canonical, deux LPE divulguées le 7 mai dans le noyau Linux sont regroupées sous l'appellation Dirty Frag. La CVE-2026-43284 cible le module ESP utilisé par IPsec, la seconde, en attente de CVE, vise le module RxRPC d'AFS. Score CVSS 7.8 HIGH, exploit public en circulation, scénarios de container escape possibles. Toutes les releases Ubuntu de Trusty 14.04 LTS à Resolute Raccoon 26.04 LTS sont impactées.Selon GoodTech, Sonatype et les principaux registres de paquets — Maven Central, PyPI, npm, NuGet — ont créé le Sustaining Package Registries Working Group sous la Linux Foundation. Brian Fox parle de « tragédie des communs » avec 10 000 milliards de téléchargements en 2025, dont 80 % du trafic Maven Central généré par les trois principaux cloud providers. L'enjeu dépasse la bande passante : signature des paquets, réponse aux attaques supply chain et conformité au Cyber Resilience Act européen.Sources :CISA KEV LiteLLM 8 mai : https://www.cisa.gov/news-events/alerts/2026/05/08/cisa-adds-one-known-exploited-vulnerability-catalogCISA KEV Ivanti EPMM 7 mai : https://www.cisa.gov/news-events/alerts/2026/05/07/cisa-adds-one-known-exploited-vulnerability-catalogCISA KEV Palo Alto PAN-OS 6 mai : https://www.cisa.gov/news-events/alerts/2026/05/06/cisa-adds-one-known-exploited-vulnerability-catalogCERT-FR Apache HTTP Server CERTFR-2026-AVI-0530 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0530/CERT-FR GLPI CERTFR-2026-AVI-0551 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0551/CERT-FR Ivanti EPMM CERTFR-2026-AVI-0552 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0552/Ars Technica Mozilla Mythos : https://arstechnica.com/information-technology/2026/05/mozilla-says-271-vulnerabilities-found-by-mythos-have-almost-no-false-positives/Ubuntu Dirty Frag : https://ubuntu.com//blog/dirty-frag-linux-vulnerability-fixes-availableGoodTech Linux Foundation Registres : https://goodtech.info/linux-foundation-financement-registres-open-source-sonatype/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : [email protected]🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #ThreatIntelligence #CISA #KEV #PaloAlto #PANOS #IvantiEPMM #BerriAI #LiteLLM #ApacheHTTPServer #GLPI #Mozilla #Firefox #Mythos #ClaudeOpus #DirtyFrag #LinuxKernel #Ubuntu #IPsec #RxRPC #LinuxFoundation #Sonatype #MavenCentral #PyPI #npm #NuGet #SupplyChain #CyberResilienceAct #RadioCSIRT
We're indexing this podcast's transcripts for the first time — this can take a minute or two. We'll show results as soon as they're ready.
No matches for "" in this podcast's transcripts.
No topics indexed yet for this podcast.
Loading reviews...
ABOUT THIS SHOW
🎙 Marc Frédéric Gomez, expert en cybersécurité, vous livre chaque jour l’essentiel des menaces, attaques et stratégies de défense à connaître.🔎 Au programme :✔️ Décryptage des cyberattaques et vulnérabilités critiques✔️ Veille stratégique pour les CSIRT, CERT et pros de la cybersécurité✔️ Sources et références pour approfondir chaque sujet💡 Pourquoi écouter RadioCSIRT ?🚀 Restez à jour en quelques minutes par jour🛡️ Anticipez les menaces avec des infos fiables et techniques📢 Une veille indispensable pour les pros de l’IT et de la sécurité🔗 Écoutez, partagez et sécurisez votre environnement !<span class="
HOSTED BY
Marc Frédéric GOMEZ
CATEGORIES
Loading similar podcasts...