Publication De Recherche

Source: Zenity Labs — Dans une publication de recherche, Zenity Labs analyse en profondeur les guardrails d’OpenAI AgentKit et met en évidence des faiblesses fondamentales communes : des contrôles « souples » basés sur des modèles probabilistes évaluant d’autres modèles, créant des dépendances circulaires exploitables par des attaquants. Points clés mis en avant: Détection de PII: échec face aux formats non standard (ex. ‘SNN’ au lieu de ‘SSN’) et aux variations de casse. Détection d’hallucinations: s’appuie sur l’auto‑évaluation par LLM (score de confiance d’un modèle sur un autre), approche jugée fragile pour la vérification factuelle. Filtres de modération: contournables via substitution de caractères, encodage et obfuscation (ex. ‘k🧨ill’). Détection de jailbreak: inefficace contre les attaques multi‑tours, payloads intégrés ou prompts déguisés. Résumé technique: ...

Selon Doyensec (référence: blog.doyensec.com, 8 oct. 2025), une analyse d’exploitation de CVE-2025-37947 décrit comment un défaut d’“out-of-bounds write” dans la fonction ksmbd_vfs_stream_write (avec le module stream_xattr activé) permet à un utilisateur authentifié d’écrire 8 octets au-delà d’un tampon alloué, menant à une élévation de privilèges locale sur Ubuntu 22.04 LTS (kernel 5.15.0-153-generic) avec durcissements activés. 🐛 Le bug survient quand position > XATTR_SIZE_MAX (65 536), la fonction alloue via kvzalloc() mais ne valide pas correctement les bornes lors d’un memcpy(), ouvrant la voie à une corruption mémoire contrôlée. Les chercheurs ont montré un contournement de protections courantes (KASLR, SMAP, SMEP, HARDENED_USERCOPY) et l’obtention de primitives de lecture/écriture arbitraires en noyau, culminant par l’exécution d’une chaîne ROP pour root. ...

Rapid7 publie une recherche détaillée sur Russian Market, un marché cybercriminel actif depuis 2020, devenu un pôle majeur pour la vente de logs d’infostealers. Au premier semestre 2025, plus de 180 000 logs y ont été proposés, avec une concentration d’environ 70% des ventes entre trois vendeurs clés et une provenance d’identifiants touchant des organisations du monde entier (26% États‑Unis, 23% Argentine). Le rapport souligne la résilience de l’écosystème face aux perturbations policières et insiste sur la nécessité de surveiller les identifiants, d’activer la MFA et d’utiliser une veille proactive. 🕵️‍♂️ ...

Source : ZDI (Zero Day Initiative) — billet de recherche décrivant la découverte et l’exploitation de CVE-2025-5037, une vulnérabilité de confusion de type dans Autodesk Revit 2025 qui permet une exécution de code à distance (RCE) via des fichiers RFA spécialement conçus. La faille provient du désérialiseur de Revit, qui traite 4 611 types d’objets. En manipulant l’index de classe dans les données sérialisées du flux Global\Latest d’un fichier OLE Compound, un attaquant peut amener l’application à traiter un objet std::pair (index de classe 0xc4) comme une classe munie d’un pointeur de vtable, ouvrant la voie à l’exécution de code. ...

Source : GMO Flatt Security Research – flatt.tech (publication du 3 octobre 2025). Contexte : un chercheur (RyotaK) détaille CVE-2025-59489, une vulnérabilité du Unity Runtime affectant les jeux/apps Unity (2017.1 et +), signalée à Unity qui a publié des correctifs (2019.1 et +) et un outil de patch binaire. • La vulnérabilité repose sur la gestion des intents Android par Unity : l’extra « unity » est interprété comme des arguments de ligne de commande pour l’application. Un argument spécifique, -xrsdk-pre-init-library, est transmis à dlopen(), permettant de charger une bibliothèque native arbitraire et d’exécuter du code dans le contexte de l’app Unity, avec ses permissions. • Impact : exécution de code arbitraire et détournement de permissions des apps Unity. Unity a publié un avis officiel et des mises à jour (2019.1 et +) ainsi qu’un Unity Binary Patch tool pour atténuer le risque. Avis Unity : https://unity.com/security/sept-2025-01 ...

Selon Legit Security, des chercheurs ont découvert une vulnérabilité critique (CVSS 9.6) affectant GitHub Copilot Chat, permettant l’exfiltration silencieuse de secrets et de code source depuis des dépôts privés, tout en manipulant les réponses/suggestions de Copilot. • Contexte et impact: La faille combinait un contournement de la Content Security Policy (CSP) via l’infrastructure Camo proxy de GitHub et des prompt injections distantes insérées dans des commentaires invisibles de descriptions de pull requests. Exploitée, elle permettait d’accéder à des dépôts privés avec les permissions de la victime et de voler des informations sensibles (dont des vulnérabilités zero-day et des clés AWS), et de contrôler les réponses/suggestions de Copilot. ...

Selon des chercheurs de Trellix, de nouvelles versions du backdoor XWorm sont distribuées via des campagnes de phishing, alors que le développeur original, XCoder, a abandonné le projet l’an dernier. Le malware intègre désormais plus de 35 plugins qui étendent ses capacités, allant du vol d’informations sensibles jusqu’au chiffrement de fichiers (ransomware). 🧩 La fonctionnalité de chiffrement, fournie via Ransomware.dll, permet aux opérateurs de: définir un papier peint de bureau après le verrouillage des données, fixer le montant de la rançon, renseigner une adresse de portefeuille (wallet), indiquer un email de contact. 🔐 TTPs observés: ...

Selon une étude académique sur des négociations de ransomware, la hausse des paiements ne s’explique pas par des attaques plus innovantes mais par la dynamique des négociations et la sélection des victimes. L’étude met en évidence une hausse spectaculaire des paiements moyens (près de +20 000% depuis 2018) et propose un modèle de négociation en six étapes: intention de l’attaquant, engagement de la victime, offre de remise, magnitude de la remise, décision de paiement, et ré-extorsion. Les auteurs exploitent deux jeux de données: 481 incidents déclarés à la police (2019–2023) et 237 transcriptions de négociations issues de 23 groupes de ransomware. ...

Selon Wiz Research, une vulnérabilité critique de type exécution de code à distance (RCE) baptisée RediShell (CVE-2025-49844) touche Redis, avec un score CVSS de 10.0 (vu à 9.9 selon certaines sources) et un correctif publié par Redis le 3 octobre 2025. 🚨 Principaux faits: Vulnérabilité: Use-After-Free (UAF) menant à une évasion du bac à sable Lua et à l’exécution de code natif sur l’hôte. Produits concernés: Redis (toutes les versions), vulnérabilité présente depuis ~13 ans dans le code source. Conditions d’exploitation: post-auth via envoi d’un script Lua malveillant (Lua activé par défaut). Risque critique si l’instance est exposée Internet sans authentification. Impact: Accès complet à l’hôte avec possibilités d’exfiltration, effacement ou chiffrement de données, détournement de ressources et mouvements latéraux dans les environnements cloud. Prévalence: Redis est présent dans ~75% des environnements cloud; il s’agirait de la première vulnérabilité Redis notée critique. Exposition et risque: ...

Source: watchTowr Labs — Les chercheurs publient une analyse technique de la chaîne d’exploitation derrière CVE‑2025‑61882, une RCE pré‑authentifiée visant Oracle E‑Business Suite (EBS), après l’alerte officielle d’Oracle confirmant une exploitation active et l’impact sur les versions 12.2.3 à 12.2.14. — Contexte et impact Oracle a diffusé une alerte indiquant une vulnérabilité exploitable à distance sans authentification pouvant conduire à une exécution de code. watchTowr Labs a obtenu un PoC et a reconstitué la chaîne d’attaque, composée d’« au moins cinq » failles orchestrées, démontrant une maîtrise approfondie d’Oracle EBS et un large périmètre d’impact. — Chaîne d’exploitation (vue d’ensemble) ...