Bienvenue sur Cyberveille

🔍 Contexte Publié le 6 mai 2026 par Socket’s Threat Research Team, cet article présente la découverte de cinq packages NuGet malveillants publiés sous le compte bmrxntfj, actifs depuis au moins septembre 2025 et ayant accumulé environ 64 784 téléchargements toutes versions confondues. 📦 Packages malveillants identifiés Les cinq packages usurpent des bibliothèques .NET chinoises légitimes : IR.DantUI et IR.OscarUI : imitent AntdUI (bibliothèque WinForms sur Gitee) IR.Infrastructure.Core, IR.Infrastructure.DataService.Core, IR.iplus32 : imitent des bibliothèques d’entreprise chinoises internes L’opérateur maintient 219 versions masquées (listed: false) sur 224 au total, ne laissant visible qu’une seule version à la fois pour éviter la détection. Une rotation de versions active invalide les IOCs basés sur les hashes de fichiers. ...

🔍 Contexte Publié le 6 mai 2026 par la Microsoft Defender Security Research Team, cet article documente l’évolution d’une campagne ClickFix ciblant les utilisateurs macOS, active depuis fin janvier 2026. La campagne exploite des plateformes de contenu légitimes (Medium, Craft, Squarespace) pour héberger de fausses instructions de dépannage. 🎯 Mécanisme d’infection Les victimes sont incitées à copier-coller des commandes Terminal encodées en Base64 présentées comme des utilitaires système. Contrairement aux bundles applicatifs soumis à Gatekeeper, les scripts exécutés via Terminal échappent aux vérifications de signature et de notarisation Apple. ...

🔍 Contexte Publié le 8 mai 2026 sur GitHub par le chercheur Ashen Chathuranga (ktauchathuranga), ce dépôt présente l’advisory de sécurité et le proof-of-concept associés à CVE-2025-70994, une vulnérabilité affectant le système d’entrée sans clé du vélo électrique Yadea T5 (modèles fabriqués à partir de 2024). La divulgation coordonnée a eu lieu le 23 avril 2026 en partenariat avec la CISA (DHS) et le CERT/CC. 🛡️ Vulnérabilité La faille est classifiée CWE-1390 (Weak Authentication) et reçoit un score CVSS v3.1 de 7.3 (High) avec le vecteur AV:A/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H/E:P/RL:U/RC:C. ...

🔍 Contexte Publié le 5 mai 2026 par BARGHEST sur leur blog, cet article constitue une divulgation coordonnée avec Google d’une vulnérabilité critique découverte dans le démon ADB (adbd) d’Android, identifiée sous CVE-2026-0073. 🐛 Vulnérabilité CVE-2026-0073 est un bypass d’authentification dans le chemin d’authentification ADB-over-TCP d’Android, plus précisément dans la fonction adbd_tls_verify_cert du fichier platform/packages/modules/adb/daemon/auth.cpp. La cause racine est une mauvaise utilisation de l’API EVP_PKEY_cmp de BoringSSL/OpenSSL : L’API retourne 1 (clés identiques), 0 (même type, clés différentes), -1 (types différents), -2 (opération non supportée) Le code vulnérable traite toute valeur non nulle comme un succès Un attaquant présentant un certificat TLS client avec une clé non-RSA (EC P-256 ou Ed25519) face à une clé stockée RSA provoque un retour de -1, interprété comme une authentification réussie if (EVP_PKEY_cmp(known_evp.get(), evp_pkey.get())) { verified = true; // -1 est truthy en C/C++ } ⚙️ Conditions d’exploitation Developer options activées ADB-over-TCP activé (Wireless debugging ou exposition du service adbd) Au moins une clé RSA précédemment appairée dans /data/misc/adb/adb_keys Accessibilité réseau au port TCP ADB (typiquement port 5555) 🔗 Chaîne d’exploitation L’exploitation nécessite trois étapes séquentielles : ...

🔍 Contexte Le 1er mai 2026, l’équipe Censys ARC publie une analyse de menace suite à la divulgation le 29 avril 2026 de CVE-2026-41940, une vulnérabilité critique de contournement de pré-authentification affectant cPanel et WHM. La faille impacte le flux de connexion et permet à un attaquant distant non authentifié de contourner les contrôles d’authentification et d’obtenir un accès élevé. 📈 Détection de la vague d’exploitation Censys a observé une augmentation brutale du nombre d’hôtes classifiés comme malveillants dans son dataset, avec un doublement des comptages par rapport à la veille. En corrélant les données avec les signaux de classification GreyNoise, l’analyse révèle que : ...

🔍 Contexte Publié le 5 mai 2026 par Dor Attias de Cyera Research, cet article détaille la découverte d’une vulnérabilité critique CVE-2026-7482 (CVSS 9.1) dans Ollama, une plateforme open-source permettant d’exécuter des LLMs localement. Ollama compte environ 170 000 étoiles GitHub et plus de 100 millions de téléchargements sur Docker Hub. 🐛 Nature de la vulnérabilité La vulnérabilité est un out-of-bounds heap read situé dans le code de quantification des modèles GGUF, dans la fonction WriteTo qui utilise le package Go unsafe. Le mécanisme d’exploitation repose sur : ...

🔍 Contexte Source : Help Net Security, publié le 4 mai 2026. DigiCert est une autorité de certification (CA) mondiale spécialisée dans les services de confiance numérique, notamment les certificats TLS/SSL, la gestion PKI et la sécurité IoT. 🎯 Nature de l’attaque Un acteur malveillant non identifié a mené une attaque d’ingénierie sociale ciblée contre le canal de support de DigiCert. L’attaquant a contacté l’équipe de support via un canal de chat client et a transmis un fichier ZIP malveillant déguisé en capture d’écran client. ...

🔍 Contexte Publié le 8 mai 2026 sur GitHub par le chercheur Hyunwoo Kim (@v4bel), ce write-up technique détaille Dirty Frag, une classe de vulnérabilités Linux permettant d’obtenir les privilèges root sur la majorité des distributions Linux en chaînant deux primitives d’écriture arbitraire en page cache. 🧩 Vulnérabilités impliquées Dirty Frag repose sur deux vulnérabilités distinctes : CVE-2026-43284 — xfrm-ESP Page-Cache Write : Dans esp_input(), lorsqu’un skb non-linéaire sans frag_list est traité, le code contourne skb_cow_data() et effectue un déchiffrement AEAD en place directement sur la page cache. Via splice(), un attaquant peut planter une page cache en lecture seule dans le frag du skb. La fonction crypto_authenc_esn_decrypt() effectue un STORE de 4 octets contrôlés (via seq_hi de l’attribut XFRMA_REPLAY_ESN_VAL) à un offset de fichier choisi. L’authentification AEAD échoue mais le STORE est déjà persisté. Nécessite CAP_NET_ADMIN (user namespace suffisant). ...

🔍 Contexte Publié le 7 mai 2026 sur le blog officiel de Kaspersky, cet article présente une mise à jour de l’étude conduite en 2024 sur la robustesse des mots de passe réels. L’analyse porte sur 231 millions de mots de passe uniques extraits de fuites dark web entre 2023 et 2026, obtenus via le service Digital Footprint Intelligence de Kaspersky. 📊 Résultats clés Les tests ont été conduits avec un GPU RTX 5090 sur des hachages MD5. Les résultats comparatifs 2024 vs 2026 sont les suivants : ...

🗓️ Contexte Publié le 8 mai 2026 par Truesec, cet article de threat intelligence rapporte l’exploitation active d’une vulnérabilité critique dans PAN-OS de Palo Alto Networks, identifiée sous CVE-2026-0300. 🔍 Nature de la vulnérabilité CVE-2026-0300 est un buffer overflow affectant le service User-ID Authentication Portal de PAN-OS. Elle permet à un attaquant non authentifié d’exécuter du code arbitraire avec des privilèges root sur les équipements vulnérables. Selon l’Unit 42 de Palo Alto Networks, l’exploitation implique l’injection de shellcode dans un processus worker nginx tournant sur l’appliance PAN-OS. ...