Zerobot (Mirai) exploite des failles Tenda AC1206 et n8n pour propager son botnet

Selon Akamai Security Intelligence and Response Team (SIRT), une campagne active du botnet Mirai « Zerobot » exploite depuis mi-janvier 2026 des vulnĂ©rabilitĂ©s rĂ©cemment divulguĂ©es dans les routeurs Tenda AC1206 (CVE-2025-7544) et la plateforme d’automatisation n8n (CVE-2025-68613). C’est la premiĂšre exploitation active rapportĂ©e depuis leurs divulgations respectives (juillet et dĂ©cembre 2025). L’article publie des IOCs ainsi que des rĂšgles Snort et Yara. VulnĂ©rabilitĂ©s ciblĂ©es: CVE-2025-7544: dĂ©bordement de pile Ă  distance sur le point de terminaison /goform/setMacFilterCfg des Tenda AC1206 v15.03.06.23 via le paramĂštre deviceList, conduisant Ă  DoS/RCE (PoC public disponible). CVE-2025-68613: RCE dans l’évaluation des expressions de n8n (versions 0.211.0 Ă  1.20.4, puis 1.21.1 et 1.22.0) due Ă  l’absence de sandboxing, permettant exĂ©cution de code, lecture/Ă©criture de fichiers, vol d’env vars et persistance avec un simple compte utilisateur non-admin (PoC public disponible). Exploitation observĂ©e (honeypots Akamai) đŸ§Ș: ...

2 mars 2026 Â· 3 min

đŸȘČ Semaine 9 — CVE les plus discutĂ©es

Cette page prĂ©sente les vulnĂ©rabilitĂ©s les plus discutĂ©es sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la pĂ©riode analysĂ©e. PĂ©riode analysĂ©e : 2026-02-22 → 2026-03-01. Les donnĂ©es sont collectĂ©es via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider Ă  la priorisation de la veille et de la remĂ©diation. 📌 LĂ©gende : CVSS : score officiel de sĂ©vĂ©ritĂ© technique. EPSS : probabilitĂ© d’exploitation observĂ©e. VLAI : estimation de sĂ©vĂ©ritĂ© basĂ©e sur une analyse IA du contenu de la vulnĂ©rabilitĂ©. CISA KEV : vulnĂ©rabilitĂ© activement exploitĂ©e selon la CISA. seen / exploited : signaux observĂ©s dans les sources publiques. CVE-2026-20127 CVSS: 10.0 EPSS: 2.19% VLAI: Critical (confidence: 0.9820) CISA: KEV ProduitCisco — Cisco Catalyst SD-WAN Manager PubliĂ©2026-02-25T16:14:20.137Z A vulnerability in the peering authentication in Cisco Catalyst SD-WAN Controller, formerly SD-WAN vSmart, and Cisco Catalyst SD-WAN Manager, formerly SD-WAN vManage, could allow an unauthenticated, remote attacker to bypass authentication and obtain administrative privileges on an affected system. This vulnerability exists because the peering authentication mechanism in an affected system is not working properly. An attacker could exploit this vulnerability by sending crafted requests to an affected system. A successful exploit could allow the attacker to log in to an affected Cisco Catalyst SD-WAN Controller as an internal, high-privileged, non-root user account. Using this account, the attacker could access NETCONF, which would then allow the attacker to manipulate network configuration for the SD-WAN fabric. ...

1 mars 2026 Â· 22 min

đŸȘČ February 2026 — CVE les plus discutĂ©es

Cette page prĂ©sente les vulnĂ©rabilitĂ©s les plus discutĂ©es sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la pĂ©riode analysĂ©e. PĂ©riode analysĂ©e : 2026-02-01 → 2026-03-01. Les donnĂ©es sont collectĂ©es via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider Ă  la priorisation de la veille et de la remĂ©diation. 📌 LĂ©gende : CVSS : score officiel de sĂ©vĂ©ritĂ© technique. EPSS : probabilitĂ© d’exploitation observĂ©e. VLAI : estimation de sĂ©vĂ©ritĂ© basĂ©e sur une analyse IA du contenu de la vulnĂ©rabilitĂ©. CISA KEV : vulnĂ©rabilitĂ© activement exploitĂ©e selon la CISA. seen / exploited : signaux observĂ©s dans les sources publiques. CVE-2026-1731 CVSS: N/A EPSS: 64.61% VLAI: Critical (confidence: 0.9914) CISA: KEV ProduitBeyondTrust — Remote Support(RS) & Privileged Remote Access(PRA) PubliĂ©2026-02-06T21:49:20.844Z BeyondTrust Remote Support (RS) and certain older versions of Privileged Remote Access (PRA) contain a critical pre-authentication remote code execution vulnerability. By sending specially crafted requests, an unauthenticated remote attacker may be able to execute operating system commands in the context of the site user. ...

1 mars 2026 Â· 35 min

Campagne ClickFix: livraison de MIMICRAT via des sites légitimes compromis

Source: Elastic Security Labs (billet technique) — Les chercheurs dĂ©taillent une campagne ClickFix toujours active identifiĂ©e dĂ©but fĂ©vrier 2026, utilisant des sites web lĂ©gitimes compromis pour livrer une chaĂźne d’infection en cinq Ă©tapes culminant avec MIMICRAT, un cheval de Troie d’accĂšs Ă  distance sur mesure. ‱ Vecteur et leurre: la campagne compromet des sites de confiance (bincheck.io et investonline.in) pour injecter un JavaScript qui affiche une fausse vĂ©rification Cloudflare et pousse l’utilisateur Ă  coller/exec un one-liner PowerShell depuis le presse‑papiers. Le leurre est localisĂ© en 17 langues et a touchĂ© des victimes dans plusieurs rĂ©gions (dont une universitĂ© aux États‑Unis et des utilisateurs sinophones). ✅ ...

26 fĂ©vrier 2026 Â· 3 min

Cyberattaque chez Hazeldenes entraßne des pénuries de poulet en Victoria

Source et contexte: ABC News (abc.net.au) rapporte qu’une cyberattaque a touchĂ© le transformateur de viande de volaille Hazeldenes Ă  Lockwood South (centre de l’État de Victoria), entraĂźnant l’arrĂȘt de certaines opĂ©rations et des ruptures d’approvisionnement chez de nombreux clients. L’entreprise indique travailler avec des enquĂȘteurs en cybersĂ©curitĂ© et les autoritĂ©s pour dĂ©terminer la cause de la cyberattaque et restaurer les opĂ©rations. Elle a coupĂ© le Wi‑Fi sur le site et prĂ©cise que, si des donnĂ©es Ă©taient affectĂ©es, les personnes concernĂ©es seraient notifiĂ©es. ...

26 fĂ©vrier 2026 Â· 2 min

Cyberattaque chez Hazeldenes perturbe la production avicole en Australie

Selon The Cyber Express, Hazeldenes, producteur avicole en Australie, a Ă©tĂ© touchĂ© par une cyberattaque ayant perturbĂ© la production 🐔. L’incident de cybersĂ©curitĂ© est survenu le 19 fĂ©vrier, et l’entreprise a engagĂ© une reprise progressive par phases pour restaurer ses activitĂ©s. L’article met l’accent sur l’impact opĂ©rationnel et le plan de rĂ©tablissement mis en place Ă  la suite de l’incident. 🚹 Il s’agit d’une annonce d’incident visant Ă  informer du dĂ©rĂšglement de la production et de la reprise Ă©chelonnĂ©e. ...

26 fĂ©vrier 2026 Â· 1 min

DarkCloud : un infostealer VB6 Ă  bas coĂ»t pour le vol massif d’identifiants

Source: Flashpoint — Flashpoint publie une analyse technique de DarkCloud, un infostealer commercialisĂ© depuis 2022 par « Darkcloud Coder » (ex-« BluCoder »), vendu via Telegram et un site clearnet dĂšs 30 $, et prĂ©sentĂ© publiquement comme « logiciel de surveillance » alors qu’il est centrĂ© sur le vol d’identifiants Ă  grande Ă©chelle. 🔐 Langage et Ă©vasion. DarkCloud est Ă©crit en Visual Basic 6.0 et compilĂ© en binaire natif C/C++. L’usage de composants runtime legacy (ex. MSVBVM60.DLL) contribuerait Ă  rĂ©duire les dĂ©tections par rapport Ă  des Ă©quivalents C/C++ selon des scans VirusTotal effectuĂ©s par les analystes. L’outil emploie une obfuscation/ chiffrement de chaĂźnes en couches, fondĂ©e sur le PRNG VB6 (Rnd()) avec clĂ©s Base64, chaĂźnes hex, calcul de seed custom, reset du PRNG Ă  un Ă©tat connu, puis itĂ©rations pour reconstruire les chaĂźnes en clair — une approche visant Ă  complexifier l’analyse sans recourir Ă  une crypto innovante. đŸ§Ș ...

26 fĂ©vrier 2026 Â· 3 min

Des acteurs nord-coréens adoptent le ransomware Medusa, avec des tentatives contre la santé américaine

Selon l’extrait d’actualitĂ© fourni (26 fĂ©vrier 2026), des Ă©quipes de menaces nord-corĂ©ennes ont Ă©tĂ© observĂ©es utilisant le ransomware Medusa, avec des activitĂ©s visant notamment le secteur de la santĂ© amĂ©ricain et une cible au Moyen-Orient. 🚹 Faits saillants Nouvel outil: adoption de Medusa par des acteurs nord-corĂ©ens, en plus des souches Maui et Play dĂ©jĂ  associĂ©es Ă  eux. Ciblage: une attaque au Moyen-Orient attribuĂ©e Ă  ces acteurs ; tentative infructueuse contre une organisation de santĂ© aux États-Unis. Extorsion en cours: le site de fuites de Medusa recense des attaques contre quatre organisations de santĂ© et Ă  but non lucratif aux États-Unis depuis dĂ©but novembre 2025. 🧠 Contexte Medusa (RaaS) ...

26 fĂ©vrier 2026 Â· 2 min

Des clés API Google publiques deviennent des accÚs sensibles à Gemini : élévation de privilÚges

Selon Truffle Security (blog), Google a longtemps indiquĂ© que les clĂ©s API Google (ex. Maps, Firebase) n’étaient pas des secrets et pouvaient ĂȘtre intĂ©grĂ©es cĂŽtĂ© client ; depuis l’activation de l’API Gemini (Generative Language API) sur un projet, ces mĂȘmes clĂ©s peuvent dĂ©sormais authentifier vers des endpoints sensibles, sans alerte ni consentement explicite, transformant des identifiants de facturation en vĂ©ritables crĂ©dentielles. Le problĂšme central tient Ă  l’usage d’un format de clĂ© unique « AIza
 » pour l’identification publique et l’authentification sensible, provoquant une Ă©lĂ©vation de privilĂšges rĂ©troactive et des dĂ©fauts de sĂ©curitĂ© par dĂ©faut (clĂ©s « Unrestricted » valides pour tous les services activĂ©s, dont Gemini). Truffle Security qualifie cela d’« Insecure Default posture » (CWE-1188) et « Incorrect Privilege Assignment » (CWE-269), avec une absence de sĂ©paration des clĂ©s (publishes vs. secrĂštes). ...

26 fĂ©vrier 2026 Â· 3 min

Ex-patron d’un Ă©diteur US d’outils de hacking emprisonnĂ© pour vente d’exploits Ă  un courtier russe

Source: TechCrunch — L’article explique l’emprisonnement de l’ex-responsable d’un Ă©diteur amĂ©ricain d’outils de hacking pour la vente d’exploits logiciels hautement sensibles Ă  un courtier russe, et revient sur la maniĂšre dont la rĂ©daction a appris l’arrestation, a publiĂ© l’enquĂȘte, puis liste les interrogations qui demeurent. Contexte Un ancien cadre du contractant de dĂ©fense amĂ©ricain L3Harris, Peter Williams, a Ă©tĂ© condamnĂ© Ă  87 mois de prison pour avoir volĂ© et vendu des outils de piratage et de surveillance Ă  un courtier russe en exploits. ...

26 fĂ©vrier 2026 Â· 3 min
Derniùre mise à jour le: 16 juillet 2026 📝