RadioCSIRT - Edition Française

Nous ouvrons cet épisode avec l'analyse de GoBruteforcer publiée par Check Point Research. Ce botnet modulaire écrit en Go cible les serveurs Linux via brute-force sur FTP, MySQL, PostgreSQL et phpMyAdmin. La variante 2025 introduit un bot IRC réécrit en Go avec obfuscation Garbler et des credentials dynamiques fournies par le Command and Control. Check Point estime que plus de 50 000 serveurs exposés seraient vulnérables. Les chercheurs ont observé une campagne crypto avec récupération d'outils token-sweep pour TRON et Binance Smart Chain sur un hôte compromis, accompagnés d'environ 23 000 adresses TRON. L'analyse on-chain confirme que certaines attaques financières ont réussi.The Record rapporte des changements à la NSA. David Imbordino assumera les fonctions de directeur par intérim de la cybersecurity directorate fin janvier, avec Holly Baroody comme deputy chief. La directorate est sans chef permanent depuis début 2024. Le lieutenant général Josh Rudd a été désigné pour diriger Cyber Command et la NSA.Cisco Talos révèle UAT-7290, un acteur China-nexus actif depuis 2022 ciblant les télécoms en Asie du Sud. L'arsenal comprend RushDrop, DriveSwitch, SilentRaid et Bulbature qui convertit les dispositifs en Operational Relay Boxes. Talos observe des chevauchements avec APT10 et Red Foxtrot lié à la PLA Unit 69010.Enfin, Unit 42 analyse les risques du vibe coding. Les chercheurs documentent plusieurs incidents catastrophiques : compromise d'application, indirect prompt injection avec exfiltration de données, et suppression de base production. Unit 42 propose le framework SHIELD incluant Separation of Duties, Human in the Loop, Input/Output Validation, Security-Focused Helper Models, Least Agency et Defensive Technical Controls.Sources : Check Point Research – GoBruteforcer : https://research.checkpoint.com/2026/inside-gobruteforcer-ai-generated-server-defaults-weak-passwords-and-crypto-focused-campaigns/The Record – NSA leadership : https://therecord.media/nsa-cyber-directorate-new-acting-leadershipCisco Talos – UAT-7290 : https://blog.talosintelligence.com/uat-7290/Unit 42 – Vibe coding : https://unit42.paloaltonetworks.com/securing-vibe-coding-tools/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec les prévisions de vulnérabilités publiées par FIRST pour 2026. L'organisation anticipe le franchissement du seuil des 50 000 CVE avec une estimation médiane à 59 000 vulnérabilités pour l'année. L'intervalle de confiance à 90% s'établit entre 30 000 et 118 000 CVE, les scénarios les plus probables évoquant une fourchette de 70 000 à 100 000 vulnérabilités. FIRST a revu sa méthodologie en adoptant un nouveau modèle qui intègre le changement structurel observé en 2017 dans les tendances de publication de CVE.BleepingComputer rapporte la publication de correctifs par Veeam pour trois vulnérabilités dans Backup & Replication. La CVE-2025-59470, initialement classée critique puis réévaluée en haute sévérité, permet à un utilisateur disposant des rôles Backup Operator ou Tape Operator d'exécuter du code distant en tant qu'utilisateur postgres. La version 13.0.1.1071 publiée le 6 janvier corrige également les CVE-2025-55125 et CVE-2025-59468. Les serveurs VBR constituent une cible privilégiée des opérateurs ransomware, plusieurs groupes ayant précédemment exploité des vulnérabilités similaires dans des campagnes documentées.VulnCheck signale une vulnérabilité critique d'injection de commandes affectant plusieurs modèles de routeurs DSL D-Link. La CVE-2026-0625, avec un score CVSS de 9.3, exploite le endpoint dnscfg.cgi et permet à un attaquant distant non authentifié d'exécuter des commandes shell arbitraires. Les modèles DSL-526B, DSL-2640B, DSL-2740R et DSL-2780B sont concernés. The Shadowserver Foundation a observé des preuves d'exploitation le 27 novembre 2025. D-Link a déclaré l'ensemble des équipements en statut End-of-Life début 2020.Le CERT-FR a publié l'avis CERTFR-2026-AVI-0010 concernant six vulnérabilités dans Curl. Les versions 7.17 à 8.x antérieures à 8.18.0 sont affectées. L'exploitation permet une atteinte à la confidentialité des données et un contournement de la politique de sécurité. La version 8.18.0 corrige l'ensemble des failles identifiées.Enfin, la CISA a ajouté deux vulnérabilités à son catalogue KEV le 7 janvier. La CVE-2009-0556 affecte Microsoft Office PowerPoint et la CVE-2025-37164 concerne HPE OneView, toutes deux permettant l'injection de code. L'agence confirme des preuves d'exploitation active dans les deux cas.Sources :FIRST – Prévisions vulnérabilités 2026 : https://www.first.org/blog/20260211-vulnerability-forecast-2026BleepingComputer – Vulnérabilités Veeam : https://www.bleepingcomputer.com/news/security/new-veeam-vulnerabilities-expose-backup-servers-to-rce-attacks/VulnCheck – D-Link DSL injection : https://www.vulncheck.com/advisories/dlink-dsl-command-injection-via-dns-configuration-endpointCERT-FR – Vulnérabilités Curl : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0010/CISA – KEV Catalog : https://www.cisa.gov/news-events/alerts/2026/01/07/cisa-adds-two-known-exploited-vulnerabilities-catalogOn ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec une vulnérabilité critique dans n8n rapportée par Security Online. La CVE-2025-68668, avec un score CVSS de 9.9, permet à un utilisateur authentifié d'échapper au sandbox Python de la plateforme d'automatisation pour exécuter des commandes système arbitraires, transformant le Code Node en vecteur de compromission totale du système hôte.CVEfeed.io signale une faille de chargement de DLL non contrôlé dans AsusSoftwareManagerAgent. La CVE-2025-12793, évaluée à 8.5 en CVSS 4.0, exploite un chemin de recherche non fiable permettant à un attaquant local d'exécuter du code arbitraire via la manipulation de Namespaces de DLL.Clubic revient sur la disparition du domaine principal d'Anna's Archive. Le registre a placé annas-archive.org sous statut serverHold deux semaines après la mise en ligne de 300 téraoctets de données Spotify, suggérant une action légale du Public Interest Registry suite aux poursuites de l'OCLC pour extraction de 2,2 téraoctets de données WorldCat.Phoronix rapporte une situation critique pour le projet Debian : les trois membres délégués de la Data Protection Team ont démissionné simultanément, laissant le projet sans équipe active pour gérer les obligations RGPD. Le leader du projet Andreas Tille assure désormais ce rôle de manière ad-hoc en attendant de nouveaux volontaires.Enfin, le CERT-FR a émis l'avis CERTFR-2026-AVI-0004 concernant la CVE-2025-13699 affectant plusieurs branches de MariaDB. L'éditeur n'a pas spécifié la nature exacte du problème de sécurité, mais recommande une mise à jour vers les versions 10.11.15, 10.6.24, 11.4.9 ou 11.8.4.Sources :Security Online – n8n CVE-2025-68668 : https://securityonline.info/n8n-sandbox-escape-how-cve-2025-68668-turns-workflows-into-weapons/CVEfeed.io – CVE-2025-12793 ASUS : https://cvefeed.io/vuln/detail/CVE-2025-12793Clubic – Anna's Archive domaine : https://www.clubic.com/actualite-593797-le-site-qui-avait-pirate-spotify-perd-son-nom-de-domaine.htmlPhoronix – Debian Data Protection Team : https://www.phoronix.com/news/No-Debian-Data-Protection-TeamCERT-FR – Vulnérabilité MariaDB : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0004/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec l'évolution des tactiques du groupe UAC-0184 rapportée par The Hacker News. L'acteur aligné sur les intérêts russes exploite désormais Viber pour cibler les entités ukrainiennes et déployer le Hijack Loader, facilitant l'infection par Remcos RAT. Bruce Schneier relaie une enquête sur l'écosystème Telegram, devenu le plus grand Darknet Market pour les groupes criminels chinois. Ces plateformes facilitent désormais le Money-laundering et les opérations de Pig butchering à une échelle industrielle. BleepingComputer revient sur le démenti de NordVPN concernant une prétendue compromission. L'entreprise affirme que les données exfiltrées proviennent d'un environnement de test tiers isolé contenant uniquement des Dummy data et aucune donnée de production. Par ailleurs, une vulnérabilité de type Supply Chain affecte les IDE basés sur l'IA comme Cursor et Windsurf. Des chercheurs ont démontré que l'héritage de recommandations d'extensions inexistantes sur OpenVSX permettait à des attaquants d'enregistrer des Namespaces malveillants pour distribuer du code hostile. Enfin, le CERT-FR a émis un avis concernant de multiples vulnérabilités critiques dans les produits Qnap, incluant des risques d'Injection SQL (SQLi) et de Déni de service.Sources : The Hacker News – UAC-0184 / Viber : https://thehackernews.com/2026/01/russia-aligned-hackers-abuse-viber-to.htmlSchneier on Security – Telegram Darknet Markets : https://www.schneier.com/blog/archives/2026/01/telegram-hosting-worlds-largest-darknet-market.htmlBleepingComputer – NordVPN Breach Denial : https://www.bleepingcomputer.com/news/security/nordvpn-denies-breach-claims-says-attackers-have-dummy-data/BleepingComputer – VSCode IDE Forks : https://www.bleepingcomputer.com/news/security/vscode-ide-forks-expose-users-to-recommended-extension-attacks/CERT-FR – Vulnérabilités Qnap : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0003/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien de cybersécurité. Nous ouvrons avec le conflit opposant Resecurity au groupe Scattered Lapsus$ Hunters, rapporté par BleepingComputer. Alors que les attaquants revendiquent une compromission de l'infrastructure, Resecurity affirme qu'il s'agissait d'un honeypot. L'équipe DFIR avait détecté la reconnaissance dès novembre et isolé les intrus dans un environnement contenant des synthetic datasets et de faux logs de transactions. Les tentatives d'exfiltration ont permis d'identifier les IP réelles des attaquants malgré l'usage de residential proxies.Cyber Security News revient sur les allégations du groupe Handala concernant le piratage de mobiles d'officiels israéliens. Une analyse forensique menée par KELA révèle que l'incident se limite à une compromission de comptes Telegram et non à un full device takeover. Les attaquants ont exploité du phishing et du vol d'OTP, la majorité des données fuitées n'étant que des fiches de contacts vides générées par la synchronisation de l'application.Enfin, Unit 42 a publié une analyse technique du VVS Stealer, un malware ciblant Discord qui utilise Pyarmor pour l'obfuscation. Distribué sous forme de package PyInstaller, le malware utilise le chiffrement AES-128 et le mode BCC pour entraver le reverse engineering. Il injecte des payloads JavaScript pour intercepter les sessions via le Chrome DevTools Protocol et exfiltrer les tokens et credentials via des webhooks avant de s'auto-terminer.SourcesBleepingComputer – Resecurity Honeypot : https://www.bleepingcomputer.com/news/security/hackers-claim-resecurity-hack-firm-says-it-was-a-honeypot/Cyber Security News – Handala Analysis : https://cyberpress.org/telegram-account-compromise/Unit 42 – VVS Stealer : https://unit42.paloaltonetworks.com/vvs-stealer/On ne réfléchit pas, on patch !Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web :www.radiocsirt.orgNewsletter Hebdo :https://radiocsirt.substack.com