Bienvenue sur Cyberveille

Veille semi-automatisĂ©e en cybersĂ©curitĂ© : articles synthĂ©tisĂ©s et traduits automatiquement Ă  partir de sources fiables – triĂ©s par catĂ©gorie.

💬 Discussions, commentaires et publications issues de la veille disponibles sur la communautĂ© Lemmy : infosec.pub/c/cyberveille

En savoir plus →â„č

Ivanti EPMM : deux RCE prĂ©-auth (CVE-2026-1281/1340) activement exploitĂ©es — analyse watchTowr

Source: watchTowr Labs publie une analyse technique des CVE-2026-1281 et CVE-2026-1340 affectant Ivanti Endpoint Manager Mobile (EPMM), notant une exploitation active par un APT et l’ajout immĂ©diat des failles Ă  la liste KEV de la CISA. ⚠ ProblĂ©matique: deux RCE prĂ©-auth activement exploitĂ©es dans Ivanti EPMM. Ivanti a diffusĂ© des RPM de mitigation temporaires (Ă  rĂ©appliquer aprĂšs changements) en attendant la version 12.8.0.0 prĂ©vue en T1 2026. Aucun binaire EPMM n’est encore « corrigĂ© »; l’approche remplace des scripts Bash par des classes Java et modifie la config Apache. ...

5 fĂ©vrier 2026 Â· 3 min

NCSC NL alerte: exploitation active de la zero‑day Ivanti EPMM (CVE‑2026‑1281), assume‑breach requis

Selon le NCSC (Pays-Bas), une mise Ă  jour de son avertissement confirme un misusage actif d’une vulnĂ©rabilitĂ© zero-day (CVE-2026-1281) affectant Ivanti Endpoint Manager Mobile (EPMM, ex‑MobileIron). L’organisme appelle toutes les entitĂ©s utilisatrices Ă  se signaler auprĂšs de lui et Ă  adopter un scĂ©nario d’assume-breach, mĂȘme si un correctif a dĂ©jĂ  Ă©tĂ© appliquĂ©. Le NCSC prĂ©cise qu’il existe deux vulnĂ©rabilitĂ©s dans EPMM, et que CVE-2026-1281 a Ă©tĂ© activement exploitĂ©e avant la publication des correctifs. Des acteurs non authentifiĂ©s peuvent rĂ©aliser une exĂ©cution de code arbitraire (RCE) sur les systĂšmes vulnĂ©rables, obtenir une persistance, voler des donnĂ©es ou prendre le contrĂŽle de l’équipement. ...

5 fĂ©vrier 2026 Â· 2 min

ANSSI publie une synthĂšse 2025 sur l’usage offensif de l’IA gĂ©nĂ©rative et le ciblage des systĂšmes d’IA

Source: ANSSI (TLP:CLEAR), synthĂšse publiĂ©e le 4 fĂ©vrier 2026. Contexte: Ă©tat des lieux de la menace en 2025 sur l’usage dual des IA gĂ©nĂ©ratives et les risques pesant sur les systĂšmes d’IA. 🔎 Constat gĂ©nĂ©ral L’ANSSI n’a pas connaissance Ă  ce jour de cyberattaques menĂ©es contre des acteurs français Ă  l’aide de l’IA, ni de systĂšmes capables d’automatiser entiĂšrement une attaque. Toutefois, l’IA gĂ©nĂ©rative sert dĂ©jĂ  de facilitateur (accĂ©lĂ©ration, volume, diversitĂ©, efficacitĂ©), surtout sur des environnements peu sĂ©curisĂ©s. 🧰 Usages observĂ©s de l’IA par les attaquants le long de la chaĂźne d’attaque ...

4 fĂ©vrier 2026 Â· 3 min

Check Point dĂ©voile Amaranth‑Dragon, espionnage ciblĂ© en ASEAN liĂ© Ă  APT‑41

Source: Check Point Research — Dans un billet de synthĂšse, le laboratoire dĂ©taille des campagnes d’espionnage menĂ©es en 2025 par un nouvel acteur, Amaranth‑Dragon, contre des institutions gouvernementales et des forces de l’ordre en Asie du Sud‑Est, avec des liens techniques et opĂ©rationnels vers l’écosystĂšme APT‑41. đŸ•”ïžâ€â™‚ïž Contexte et objectifs: Les opĂ©rations observĂ©es visaient des agences gouvernementales et de sĂ©curitĂ© dans plusieurs pays de l’ASEAN, avec un objectif clair de collecte d’intelligence gĂ©opolitique sur le long terme. Les campagnes ont Ă©tĂ© minutieusement calĂ©es sur des Ă©vĂ©nements politiques et sĂ©curitaires locaux pour maximiser l’engagement des cibles. ...

4 fĂ©vrier 2026 Â· 2 min

Chrysalis : le backdoor de Lotus Blossom distribuĂ© via l’abus de Notepad++ et un loader Warbird

Source: Rapid7 — Rapid7 Labs et l’équipe MDR publient une analyse technique d’une campagne attribuĂ©e Ă  l’APT chinois Lotus Blossom, active depuis 2009 et ciblant surtout l’Asie du Sud-Est (et rĂ©cemment l’AmĂ©rique centrale). L’enquĂȘte met au jour le backdoor sur mesure “Chrysalis”, livrĂ© via un abus de l’infrastructure de distribution de Notepad++, et un loader exploitant le framework Microsoft Warbird. ‱ ChaĂźne d’infection et loaders. L’accĂšs initial est en ligne avec l’abus public de Notepad++ (exĂ©cution de notepad++.exe puis GUP.exe avant un “update.exe” tĂ©lĂ©chargĂ© depuis 95.179.213.0). “update.exe” est un installateur NSIS plaçant dans %AppData%\Bluetooth un exĂ©cutable lĂ©gitime renommĂ© (BluetoothService.exe, Bitdefender Submission Wizard) pour du DLL sideloading avec un log.dll malveillant. LogInit/LogWrite chargent, dĂ©chiffrent et exĂ©cutent du shellcode via une dĂ©rivation de clĂ© (LCG + finaliseur MurmurHash-like) et rĂ©solution d’API par hash (FNV-1a + avalanche). Le shellcode dĂ©chiffre le module principal (clĂ© XOR gQ2JR&9;), charge dynamiquement des DLLs, reconstruit des chaĂźnes obfusquĂ©es et rĂ©sout les APIs en marchant le PEB. ...

4 fĂ©vrier 2026 Â· 4 min

CISA met à jour discrÚtement le flag ransomware dans la base KEV; recensement des « silent flips » en 2025

Contexte: source non prĂ©cisĂ©e; publication datĂ©e du 4 fĂ©vrier 2026. En octobre 2023, CISA a ajoutĂ© Ă  la base KEV (Known Exploited Vulnerabilities) le champ knownRansomwareCampaignUse pour aider Ă  la priorisation des vulnĂ©rabilitĂ©s. L’auteur rappelle que s’appuyer sur KEV est dĂ©jĂ  un indicateur retardĂ©, et attendre en plus le flag ransomware l’est encore davantage, mĂȘme si les Ă©quipes ont parfois besoin de preuves solides pour agir. CISA ne se contente pas d’annoter les nouvelles entrĂ©es : l’agence met Ă  jour silencieusement des fiches existantes. Lorsque le champ passe de « Unknown » Ă  « Known », CISA indique disposer de preuves d’usage par des opĂ©rateurs de ransomware — un changement matĂ©riel de posture de risque qui devrait modifier la priorisation. ...

4 fĂ©vrier 2026 Â· 1 min

CISA ordonne de corriger une faille GitLab vieille de 5 ans activement exploitée

Selon BleepingComputer, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ordonnĂ© aux agences gouvernementales de corriger leurs systĂšmes face Ă  une vulnĂ©rabilitĂ© GitLab vieille de cinq ans, activement exploitĂ©e dans des attaques. ⚠ La CISA cible spĂ©cifiquement des dĂ©ploiements GitLab au sein des systĂšmes gouvernementaux et exige l’application de correctifs pour contrer l’exploitation en cours. L’article souligne le caractĂšre ancien de la faille (cinq ans) et le fait qu’elle fait l’objet d’exploits actifs, ce qui motive l’ordre de remĂ©diation auprĂšs des agences. ...

4 fĂ©vrier 2026 Â· 1 min

CISA: des groupes de ransomware exploitent une faille d’évasion de sandbox dans VMware ESXi

Source : BleepingComputer — 29 janvier 2026 VulnĂ©rabilitĂ© concernĂ©e : CVE-2025-22225 (VMware ESXi) — Arbitrary Kernel Write / Sandbox Escape GravitĂ© : ÉlevĂ©e (activement exploitĂ©e) Selon BleepingComputer, la CISA a confirmĂ© mercredi que des groupes de rançongiciel exploitent une vulnĂ©rabilitĂ© de gravitĂ© Ă©levĂ©e permettant une Ă©vasion de sandbox dans VMware ESXi, une faille qui avait auparavant servi dans des attaques zero-day. 🚹 Exploitation confirmĂ©e par la CISA: des groupes de ransomware « ont commencĂ© » Ă  tirer parti de la faille. đŸ§© Nature de la faille: Ă©vasion de sandbox sur VMware ESXi. ⏳ Historique: vulnĂ©rabilitĂ© dĂ©jĂ  observĂ©e en zero-day avant cette confirmation d’exploitation par des rançongiciels. 📌 Ce qu’il faut retenir La CISA (Cybersecurity and Infrastructure Security Agency) americiane confirme que des groupes de ransomware exploitent dĂ©sormais CVE-2025-22225, une faille VMware ESXi qui avait dĂ©jĂ  Ă©tĂ© utilisĂ©e comme zero-day. ...

4 fĂ©vrier 2026 Â· 3 min

Exploitation active de CVE-2025-11953 (« Metro4Shell ») sur Metro (React Native) observée par VulnCheck

Selon VulnCheck, des exploitations de la vulnĂ©rabilitĂ© CVE-2025-11953 (« Metro4Shell ») ont Ă©tĂ© observĂ©es dĂšs le 21 dĂ©cembre 2025 sur des serveurs Metro (outil de bundling et dev pour React Native), avec des charges utiles cohĂ©rentes relevĂ©es Ă  plusieurs dates en janvier 2026. ‱ Contexte et vulnĂ©rabilitĂ©. Metro peut exposer par dĂ©faut un endpoint /open-url; sur Windows, celui-ci permet Ă  un attaquant non authentifiĂ© d’exĂ©cuter des commandes OS via un POST. La faille a Ă©tĂ© analysĂ©e par JFrog, suivie de POC publics sur GitHub. VulnCheck note un dĂ©calage entre l’exploitation rĂ©elle et sa reconnaissance publique (EPSS 0,00405), malgrĂ© une surface exposĂ©e sur Internet. ...

4 fĂ©vrier 2026 Â· 3 min

Incident de sécurité à la TU Wien : comptes compromis et services IT limités

Contexte et source : Extrait en allemand mentionnant la TU Wien, concernant un incident survenu le 23 janvier 2026. 🔐 La TU Wien indique qu’un incident de sĂ©curitĂ© a touchĂ© le rĂ©seau de l’universitĂ© le 23 janvier 2026. Dans ce cadre, des comptes ont Ă©tĂ© compromis. ⚠ L’établissement prĂ©cise qu’il n’est pas possible d’exclure que des donnĂ©es sensibles aient pu ĂȘtre accĂ©dĂ©es durant l’incident. đŸ› ïž Par mesure de sĂ©curitĂ©, les systĂšmes IT de la TU Wien sont actuellement disponibles de maniĂšre limitĂ©e, tandis que la majoritĂ© des activitĂ©s universitaires peut nĂ©anmoins se poursuivre. ...

4 fĂ©vrier 2026 Â· 2 min
Derniùre mise à jour le: 5 Feb 2026 📝