Praetorian dévoile Nerva, un outil open source de fingerprinting de services 4x plus rapide que nmap -sV

Selon Praetorian (Security Blog), l’éditeur publie « Nerva », un outil open source de fingerprinting de services rĂ©seau visant Ă  accĂ©lĂ©rer l’identification des services aprĂšs la dĂ©couverte de ports ouverts. 🚀 Nerva est un binaire unique en Go qui « fingerprint » plus de 120 protocoles sur TCP, UDP et SCTP, avec une dĂ©tection Ă  99% et des performances 4x plus rapides que nmap -sV. Il comble le « gap » entre la dĂ©couverte de ports (Masscan, RustScan, Naabu) et l’identification prĂ©cise des services, grĂące Ă  une file de priorisation consciente des ports (essaie d’abord le protocole le plus probable) et un mode –fast focalisĂ© sur les ports par dĂ©faut. ...

2 mars 2026 Â· 2 min

Reconnaissance massive contre les VPN SonicWall via proxys commerciaux (84 000+ scans en 4 jours)

Source: GreyNoise — GreyNoise documente une campagne de reconnaissance Ă  grande Ă©chelle entre le 22 et le 25 fĂ©vrier 2026 ciblant les pare-feux SonicWall SonicOS/SSL VPN. En quatre jours, 84 142 sessions issues de 4 305 IPs (20 AS) ont principalement sondĂ© un unique endpoint API afin d’identifier les Ă©quipements avec SSL VPN activĂ©, Ă©tape prĂ©alable aux attaques par identifiants. L’exploitation de CVE est restĂ©e marginale, confirmant une phase de cartographie d’attaque. Le risque est Ă©levĂ© car l’accĂšs initial via SonicWall SSL VPN est un vecteur courant de rançongiciel (notamment Akira et Fog), avec des cas d’encryption < 4 h. ...

2 mars 2026 Â· 4 min

Robots Unitree Go2 : deux failles RCE (CVE-2026-27509, CVE-2026-27510) via DDS et base Android

Selon un billet technique publiĂ© par Olivier Laflamme (26 fĂ©vrier 2026), deux vulnĂ©rabilitĂ©s critiques de type RCE affectent les robots Unitree Go2, co‑dĂ©couvertes avec Ruikai (Pwn0), avec un calendrier de divulgation coordonnĂ© avec le Security Response Center de Unitree. — CVE-2026-27509. Nature: RCE non authentifiĂ©e via DDS. Sur le firmware V1.1.7, l’abus du DataWriter DDS exposĂ© sur les topics rt/api/programming_actuator/* permet l’exĂ©cution arbitraire de Python en root. Le systĂšme Eclipse CycloneDDS (v0.10.2) est utilisĂ© sans DDS-Sec; tout hĂŽte du rĂ©seau peut rejoindre le domaine 0 et publier des messages structurĂ©s (Request_
) vers les topics concernĂ©s. La surface inclut des topics API (ex. programming_actuator request/response) dĂ©couverts via multicast DDS, puis Ă©changĂ©s en unicast. ...

2 mars 2026 Â· 3 min

Samsung rÚgle un litige au Texas sur la collecte alléguée de données de visionnage via ses Smart TV

Selon BleepingComputer, Samsung et l’État du Texas ont trouvĂ© un accord de rĂšglement concernant des allĂ©gations liĂ©es Ă  la collecte illĂ©gale d’informations de visionnage via les Smart TV de la marque. ‱ L’accord met fin Ă  un diffĂ©rend opposant Samsung et l’État du Texas au sujet de la collecte de donnĂ©es de visionnage de contenus rĂ©alisĂ©e par les tĂ©lĂ©viseurs connectĂ©s de Samsung. đŸ–„ïž ‱ Le cƓur du dossier porte sur le caractĂšre allĂ©guĂ© “illĂ©gal” de cette collecte d’informations, et l’accord constitue un rĂšglement amiable entre les parties. ⚖ ...

2 mars 2026 Â· 1 min

SolarWinds Web Help Desk: chaßne RCE pré-auth par désérialisation et doubles contournements (CVE-2025-40552/40553/40554)

Source: watchTowr Labs — Dans une publication technique, les chercheurs dĂ©taillent une nouvelle chaĂźne d’attaque menant Ă  une exĂ©cution de code Ă  distance (RCE) prĂ©-authentifiĂ©e sur SolarWinds Web Help Desk (WHD), via dĂ©sĂ©rialisation Java et contournements du modĂšle de sĂ©curitĂ© WebObjects et des mĂ©canismes de sanitation. 🚹 Contexte et historique: Le produit SolarWinds Web Help Desk, reposant sur le framework Java WebObjects, a dĂ©jĂ  connu plusieurs failles de dĂ©sĂ©rialisation prĂ©-auth exploitĂ©es in-the-wild (ex. CVE-2024-28986) et des correctifs ultĂ©rieurs (CVE-2024-28988, CVE-2025-26399). Les auteurs revisitent ces chemins d’exploitation et montrent comment les correctifs prĂ©cĂ©dents peuvent ĂȘtre contournĂ©s. ...

2 mars 2026 Â· 3 min

TriZetto Provider Solutions annonce un accĂšs non autorisĂ© Ă  des donnĂ©es de vĂ©rification d’éligibilitĂ© d’assurance (PHI)

Selon multi, TriZetto Provider Solutions (TPS), prestataire de services de facturation pour des organismes de santĂ©, a publiĂ© un avis concernant un incident de cybersĂ©curitĂ© ayant touchĂ© certaines informations de santĂ© protĂ©gĂ©es (PHI) de patients de certains clients fournisseurs de soins. Ce qui s’est passĂ© đŸ•”ïžâ€â™‚ïž: Le 2 octobre 2025, TPS a dĂ©tectĂ© une activitĂ© suspecte sur un portail web utilisĂ© par certains clients pour accĂ©der Ă  ses systĂšmes. TPS a immĂ©diatement lancĂ© une enquĂȘte, pris des mesures de mitigation, fait appel Ă  des experts externes en cybersĂ©curitĂ© et notifiĂ© les forces de l’ordre. PĂ©rimĂštre et impact 🔐: ...

2 mars 2026 Â· 2 min

Un module Go usurpant golang.org/x/crypto vole des mots de passe et déploie la backdoor Linux Rekoobe

Selon Socket (Threat Research Team), un module Go malveillant imitant le dĂ©pĂŽt de confiance golang.org/x/crypto — publiĂ© comme github[.]com/xinfeisoft/crypto — a Ă©tĂ© dĂ©couvert avec une porte dĂ©robĂ©e insĂ©rĂ©e dans ssh/terminal/terminal.go. Cette usurpation cible un composant fondamental de l’écosystĂšme Go afin de collecter des secrets saisis via ReadPassword et de livrer une chaĂźne d’infection Linux. — DĂ©tail du leurre et de l’implant — Technique d’usurpation (« namespace confusion »): clone du code x/crypto avec faible modification apparente, ajoutant notamment la dĂ©pendance github.com/bitfield/script pour faciliter les requĂȘtes HTTP et l’exĂ©cution de commandes. Backdoor dans ReadPassword: capture du secret, Ă©criture locale dans /usr/share/nano/.lock, rĂ©cupĂ©ration d’un pointeur d’“update” hĂ©bergĂ© sur GitHub Raw, exfiltration du mot de passe via HTTP POST, puis exĂ©cution d’un script reçu cĂŽtĂ© attaquant via /bin/sh. ÉcosystĂšme et persistance: l’acteur utilise un fichier update.html sur GitHub comme canal de configuration (rotation d’URL sans republier le module). Le module a Ă©tĂ© servi par le miroir public Go jusqu’au 16 dĂ©cembre 2025; la Go security team le bloque dĂ©sormais via le proxy (403 SECURITY ERROR), tandis que le compte GitHub de l’éditeur reste public au moment de la rĂ©daction. — ChaĂźne d’exĂ©cution Linux et charges — ...

2 mars 2026 Â· 3 min

Une app de priÚre piratée envoie des messages de « reddition » en Iran pendant les frappes

Selon WIRED Middle East (28 fĂ©vrier 2026), au moment de frappes aĂ©riennes israĂ©liennes et amĂ©ricaines en Iran, l’app de priĂšre BadeSaba Calendar (5+ millions de tĂ©lĂ©chargements sur Google Play) a diffusĂ© des notifications push non sollicitĂ©es appelant des forces iraniennes Ă  se rendre, avec le titre rĂ©current « Help is on the way ». — Contexte et faits principaux Type d’attaque : compromission d’une application mobile et abus du canal de notifications push. Produit concernĂ© : BadeSaba Calendar (application de calcul des horaires de priĂšre). Timeline : premiĂšres notifications Ă  9h52 (heure de TĂ©hĂ©ran), sur ~30 minutes, avec des messages promettant l’« amnistie » en cas de reddition et appelant Ă  rejoindre des « forces de libĂ©ration ». Attribution : aucune revendication. Des analystes (Miaan Group) confirment la rĂ©ception de notifications mais jugent l’attribution « complexe » et prĂ©maturĂ©e. Analyse d’expert : Morey Haber (BeyondTrust) estime que la compromission a probablement Ă©tĂ© prĂ©parĂ©e en amont et que le dĂ©clenchement a Ă©tĂ© stratĂ©giquement synchronisĂ© avec les frappes. — Impact et portĂ©e ...

2 mars 2026 Â· 2 min

VulnCheck 2026: moins de 1% des CVE 2025 exploitĂ©es, React2Shell et SharePoint « ToolShell » en tĂȘte

Source et contexte — VulnCheck: Le « VulnCheck Exploit Intelligence Report 2026 » rĂ©trospecte l’exploitation des vulnĂ©rabilitĂ©s en 2025 sur la base de 500+ sources et de jeux de donnĂ©es maison (KEV, XDB, Canaries). L’objectif est de prioriser le « ground truth » d’exploitation rĂ©elle plutĂŽt que le bruit gĂ©nĂ©rĂ© par la masse de CVE et de PoC, notamment dopĂ©e par l’IA. ‱ Chiffres clĂ©s (2025) 🚹 48 174 CVE publiĂ©es dont 83% avec identifiant 2025; ~1% rĂ©ellement exploitĂ©es dans la nature en fin d’annĂ©e. 14 400+ exploits pour des CVE 2025 (+16,5% YoY), majoritairement des PoC publics (≈98%). 884 nouvelles vulnĂ©rabilitĂ©s ajoutĂ©es au VulnCheck KEV (47,7% datĂ©es 2025) ; 29% exploitĂ©es le jour ou avant la publication CVE (vs 23,6% en 2024). 39 CVE ransomware en 2025, dont 56,4% issues de 0‑day; 1/3 sans exploit public/commercial au 01/2026. Baisse marquĂ©e des botnets (-53% de CVE ciblĂ©es), mais montĂ©e en puissance de RondoDox; Mirai en dĂ©clin. ‱ VulnĂ©rabilitĂ©s marquantes đŸ§© ...

2 mars 2026 Â· 3 min

Windows Server 2025 bloque le relais NTLMv1 cross-DC en forçant NTLMv2 dans msv1_0.dll

Selon un billet technique publiĂ© le 2 mars 2026, Microsoft a modifiĂ© msv1_0.dll dans Windows Server 2025 pour empĂȘcher la gĂ©nĂ©ration d’NTLMv1 cĂŽtĂ© client, rendant caduque l’attaque de coercition cross-DC suivie d’un relais vers LDAPS basĂ©e sur NTLMv1 avec ESS et suppression du MIC. Rappel de l’attaque classique: un DC victime (DC2) avec LmCompatibilityLevel mal configurĂ© (< 3) est contraint d’authentifier vers l’attaquant (ex. via DFSCoerce), qui reçoit un NTLMv1 + ESS. L’attaquant retire le MIC (–remove-mic) et relaie vers LDAPS sur un autre DC (DC1) via ntlmrelayx, permettant la modification d’attributs sensibles comme msDS-KeyCredentialLink (Shadow Credentials) ou l’ajout d’RBCD, menant Ă  une Ă©lĂ©vation de privilĂšges. ...

2 mars 2026 Â· 2 min
Derniùre mise à jour le: 16 juillet 2026 📝