Alertes De Sécurité

Source: cybersecuritynews.com — CISA a mis à jour son catalogue Known Exploited Vulnerabilities (KEV) pour inclure CVE-2021-26829, une faille XSS affectant OpenPLC ScadaBR, confirmant une exploitation active dans la nature. La vulnérabilité, située dans le composant system_settings.shtm de ScadaBR, permet à un attaquant distant d’injecter du script/HTML arbitraire via l’interface des paramètres système. Le code malveillant s’exécute lorsque un administrateur ou un utilisateur authentifié ouvre la page compromise. Elle est classée CWE-79 (XSS). ...

Selon BleepingComputer, le client YouTube open source SmartTube pour Android TV a été compromis après qu’un attaquant a obtenu les clés de signature du développeur, poussant une mise à jour malveillante vers les utilisateurs. Play Protect a commencé à bloquer l’application, et le développeur, Yuriy Yuliskov, a confirmé la compromission, a révoqué l’ancienne signature et prévoit une nouvelle version avec un nouvel ID d’application. 🤖🔑 Sur la version 30.51, un utilisateur a identifié une bibliothèque native cachée, « libalphasdk.so » (absente du code source public), injectée dans les builds de release. Cette bibliothèque s’exécute en silencieux, effectue un fingerprinting du dispositif, enregistre l’appareil auprès d’un backend distant, et envoie périodiquement des métriques tout en récupérant une configuration via un canal chiffré. Aucune preuve d’activités plus intrusives (vol de comptes, DDoS) n’est rapportée, mais le risque d’escalade reste élevé. ⚠️ ...

Selon un avertissement de la CISA (cisa.gov) daté du 24 novembre 2025, plusieurs acteurs menaçants utilisent des logiciels espions commerciaux pour cibler les utilisateurs d’applications de messagerie mobile, avec des techniques avancées de ciblage et d’ingénierie sociale. 🔔 Les acteurs cherchent à obtenir un accès non autorisé aux apps de messagerie afin de faciliter le déploiement de charges malveillantes supplémentaires pouvant compromettre davantage l’appareil mobile. Objectif principal: prise de contrôle de comptes de messagerie et déploiement de payloads additionnels sur les terminaux. 📱🕵️ ...

Selon une alerte de la CISA, les agences gouvernementales américaines sont appelées à appliquer d’urgence les correctifs pour une vulnérabilité affectant Oracle Identity Manager, référencée CVE-2025-61757, qui a été exploitée dans des attaques et pourrait constituer un zero‑day. ⚠️ La CISA signale une exploitation active de la vulnérabilité CVE-2025-61757 ciblant Oracle Identity Manager. L’agence insiste pour que les entités concernées procèdent au patch sans délai. Les éléments communiqués mettent en avant le caractère potentiellement “zero‑day” de l’exploitation, c’est‑à‑dire que la faille aurait pu être utilisée avant la disponibilité d’un correctif. ...

Source et contexte: Avis conjoint TLP:CLEAR des agences américaines FBI, CISA, DC3 et HHS, avec la participation d’Europol EC3, de l’Office Anti-Cybercriminalité (France), d’autorités allemandes et du NCSC-NL (Pays-Bas), mis à jour le 13 novembre 2025 dans le cadre de l’initiative #StopRansomware. 🚨 Aperçu de la menace: Les acteurs d’Akira (associés à Storm-1567, Howling Scorpius, Punk Spider, Gold Sahara, et possiblement liés à Conti) ciblent surtout les PME mais aussi de grandes organisations, avec une préférence pour les secteurs de la manufacture, éducation, IT, santé, services financiers et agroalimentaire. Depuis 2023, Akira opère sur Windows et Linux/ESXi; en juin 2025, première attaque sur Nutanix AHV via l’abus de CVE-2024-40766 (SonicWall). Fin septembre 2025, le groupe revendique environ 244,17 M$ de rançons. Des exfiltrations ont été observées en un peu plus de 2 heures après l’accès initial. Le schéma reste double extorsion. Le binaire Megazord serait probablement tombé en désuétude depuis 2024. ...

Selon l’article, la campagne de malware GlassWorm, qui avait précédemment impacté les marketplaces OpenVSX et Visual Studio Code, est de retour. GlassWorm revient : trois nouvelles extensions malveillantes ont été publiées sur OpenVSX et totalisent déjà plus de 10 000 téléchargements (ai-driven-dev.ai-driven-dev — 3 400 ; adhamu.history-in-sublime-merge — 4 000 ; yasuyuky.transient-emacs — 2 400). La campagne GlassWorm avait d’abord émergé via 12 extensions (35 800 téléchargements signalés, probablement gonflés par l’opérateur) et visait les marketplaces VS Code / OpenVSX. ...

Selon BleepingComputer, la NCSC (Centre national suisse pour la cybersécurité) avertit les propriétaires d’iPhone d’une campagne de phishing en cours. ⚠️ Des messages prétendent avoir retrouvé un iPhone perdu ou volé, mais redirigent en réalité les victimes vers des pages destinées à dérober leurs identifiants Apple ID. Source : Centre national pour la cybersécurité (NCSC) — novembre 2025 Type de menace : phishing / smishing ciblé sur Apple ID Cible : utilisateurs d’iPhone signalés perdus ou volés via Find My ...

Source : BleepingComputer — Cisco avertit que deux vulnérabilités déjà exploitées en zero-day contre ses pare-feux ASA/FTD (CVE-2025-20362 et CVE-2025-20333) sont désormais utilisées pour provoquer des redémarrages en boucle, entraînant des dénis de service. La CISA a émis une directive d’urgence pour les agences fédérales américaines. • Vulnérabilités et impact: les failles CVE-2025-20362 (accès non authentifié à des endpoints URL restreints) et CVE-2025-20333 (RCE après authentification) peuvent, en chaîne, donner un contrôle total des systèmes non patchés. Un nouvel artéfact d’attaque observé le 5 novembre 2025 force des redémarrages inattendus des appareils, causant un DoS. ...

Selon BleepingComputer, la CISA (agence américaine de cybersécurité) avertit que des acteurs menaçants exploitent une vulnérabilité d’exécution de commandes à distance critique affectant CentOS Web Panel (CWP). ⚠️ Points clés mis en avant par l’article: Type de vulnérabilité: exécution de commandes à distance (RCE) critique Produit affecté: CentOS Web Panel (CWP) Statut: exploitation active par des acteurs malveillants L’article signale une alerte de la CISA mettant l’accent sur l’exploitation en cours de cette faille, sans autres détails techniques fournis dans l’extrait. ...

Source et contexte: cyber.gov.au (Australian Government/ASD) publie une alerte sur l’implant « BADCANDY » observé depuis octobre 2023, avec une activité renouvelée en 2024‑2025, ciblant des équipements Cisco IOS XE vulnérables à CVE‑2023‑20198. ⚠️ L’ASD décrit BADCANDY comme un web shell Lua « low equity » installé après exploitation de l’interface Web (UI) de Cisco IOS XE. Les acteurs appliquent souvent un patch non persistant post‑compromission pour masquer l’état de vulnérabilité lié à CVE‑2023‑20198. La présence de BADCANDY indique une compromission via cette faille. L’implant ne persiste pas après redémarrage, mais des accès peuvent perdurer si des identifiants ou d’autres mécanismes de persistance ont été acquis; le correctif de CVE‑2023‑20198 doit être appliqué et l’accès à l’UI Web restreint. ...