Publication De Recherche

Source: Searchlight Cyber (slcyber.io). Contexte: billet de recherche technique de Tomais Williamson analysant CVE-2025-54236 (« SessionReaper ») dans Magento/Adobe Commerce, son patch, et un enchaînement d’exploitation conduisant à une exécution de code à distance non authentifiée sur certaines configurations. • Nature de la faille: bypass de fonctionnalité de sécurité menant à une désérialisation imbriquée dans l’API Web de Magento. Adobe qualifie l’issue de « security feature bypass », mais la recherche montre un impact critique: RCE sur les instances utilisant un stockage de session basé sur fichiers; des configurations non-fichier (ex. Redis) peuvent aussi être concernées mais différemment. ...

Selon le Trellix Advanced Research Center (blog de recherche), une campagne d’espionnage sophistiquée attribuée à SideWinder APT a visé des entités gouvernementales au Sri Lanka, Pakistan, Bangladesh ainsi que des missions diplomatiques en Inde. L’opération, conduite en plusieurs vagues, combine phishing, chaînes d’infection PDF/ClickOnce et des exploits Word traditionnels. L’attaque commence par des emails piégés contenant des PDF incitant à télécharger de fausses mises à jour Adobe Reader. Ces leurres livrent des applications ClickOnce signées avec des certificats légitimes MagTek, abusés pour un DLL sideloading. Les auteurs ont également recours à des exploits Word (p. ex. CVE‑2017‑0199) dans des scénarios plus classiques. ...

Source: RainPwn (blog). Le billet présente une analyse technique de CVE-2025-9133 affectant les appliances Zyxel ATP/USG, montrant comment le CGI zysh-cgi autorise un contournement d’autorisation durant la vérification 2FA, exposant la configuration système. • Vulnérabilité: bypass d’autorisation dans le flux 2FA via zysh-cgi, dû à une validation par préfixe (strncmp) des commandes et l’absence de tokenisation. En chaînant des commandes avec «;», un utilisateur partiellement authentifié peut exécuter des commandes non autorisées comme show running-config, malgré une allowlist restrictive pour le profil usr_type 0x14. ...

Selon Socket (Socket.dev), l’équipe Socket Threat Research Team a mis au jour une campagne coordonnée opérant depuis au moins neuf mois et distribuant 131 clones rebrandés d’une extension d’automatisation pour WhatsApp Web via le Chrome Web Store, visant des utilisateurs brésiliens. • Nature de la menace: un cluster de spamware permettant l’automatisation d’envois massifs de messages sur WhatsApp Web, en violation des politiques du Chrome Web Store et de WhatsApp. La campagne opère sur un modèle de revente/franchise, avec des variantes différenciées par noms, logos et pages d’atterrissage, mais partageant le même code et la même infrastructure. 🚨 ...

Selon HawkTrace, une faille critique CVE-2025-59287 affecte Microsoft Windows Server Update Services (WSUS), permettant une exécution de code à distance non authentifiée avec privilèges SYSTEM via la désérialisation non sécurisée d’objets AuthorizationCookie. ⚠️ Impact principal: exécution de code à distance (RCE) non authentifiée conduisant à une compromission complète du système. Le problème réside dans le flux GetCookie() où des données de cookie chiffrées sont décryptées (AES-128-CBC) puis désérialisées via BinaryFormatter sans contrôle strict de type. ...

Source: watchTowr Labs – billet technique approfondi analysant, reproduisant et exploitant CVE-2025-9242 dans WatchGuard Fireware OS, avec diff de correctif, chemin protocolaire IKEv2, primitives d’exploitation et artefacts de détection. • Vulnérabilité et impact Type: Out-of-bounds Write / débordement de tampon sur la pile dans le processus iked (IKEv2). Impact: exécution de code arbitraire pré-auth sur un appliance périmétrique 🧱 (service IKEv2 exposé, UDP/500). Score: CVSS v4.0 = 9.3 (Critique). Produits/Services affectés: Mobile User VPN (IKEv2) et Branch Office VPN (IKEv2) configuré avec dynamic gateway peer. Cas résiduel: même après suppression de ces configs, l’appliance peut rester vulnérable si une BOVPN vers un static gateway peer est encore configurée. Versions affectées: 11.10.2 → 11.12.4_Update1, 12.0 → 12.11.3, et 2025.1. • Analyse du correctif et cause racine ...

Selon Koi Security (billet de blog), des chercheurs ont découvert « GlassWorm », le premier ver auto-propagatif ciblant les extensions VS Code sur la place de marché OpenVSX. Impact et portée: 7 extensions compromises totalisant 10 711 téléchargements. 5 extensions resteraient encore actives avec une infrastructure C2 opérationnelle (transactions blockchain, sauvegarde via Google Calendar, serveurs d’exfiltration). Le ver déploie un RAT (ZOMBI) transformant les postes de développeurs infectés en nœuds proxy criminels et vole des identifiants NPM, GitHub et crypto pour se propager. ...

Selon Ars Technica (Dan Goodin), des chercheurs ont présenté « Pixnapping », une nouvelle attaque ciblant Android qui exploite un canal auxiliaire graphique pour reconstituer, pixel par pixel, des informations affichées par d’autres apps. Google a publié une mitigation partielle en septembre (CVE-2025-48561) et prépare un correctif additionnel en décembre, sans signe d’exploitation active. • Nature de l’attaque: attaque par canal auxiliaire (timing de rendu GPU, liée à GPU.zip) permettant de déduire la couleur de pixels d’apps affichées en arrière-plan, comme si une capture d’écran non autorisée était réalisée. Le malware ne requiert aucune permission et cible tout contenu visible: codes 2FA, messages, emails, etc. Les données non affichées ne sont pas exposées. ...

Source: Binarly Research – Dans une étude à grande échelle, Binarly publie une analyse des mitigations de sécurité dans l’écosystème du firmware UEFI, couvrant 5 477 images de firmware et 2,2 millions de modules. Principaux constats chiffrés: Seulement 0,12% des modules implémentent des stack canaries et 94% sont dépourvus de Stack Guard. 88% des firmwares embarquent un microcode obsolète (et 71% sont jugés vulnérables à cause de microcodes dépassés dans l’analyse technique). 68% des modules DXE ne respectent pas les exigences d’alignement pour la protection NX/DEP, laissant des sections de code inscriptibles/exploitables. 6,3% des firmwares utilisent des clés Boot Guard divulguées. Seuls 9,38% appliquent correctement les politiques de protection mémoire DXE; 13% manquent la mitigation RSB stuffing. Détails techniques notables: ...

🔐 Fuite massive de secrets dans les extensions VSCode : plus de 500 extensions exposées Les chercheurs de Wiz Research ont découvert une fuite massive de secrets au sein des extensions de l’IDE Visual Studio Code (VSCode), touchant à la fois le VSCode Marketplace et Open VSX, une plateforme utilisée par des forks alimentés par l’IA tels que Cursor et Windsurf. Plus de 550 secrets valides ont été trouvés dans 500 extensions publiées par des centaines d’éditeurs. Parmi les fuites, plus d’une centaine concernaient des jetons d’accès capables de mettre à jour directement les extensions, exposant potentiellement 150 000 installations à un risque de compromission via des mises à jour malveillantes. ...