TechCrunch (article de Lorenzo Franceschi-Bicchierai) détaille la publication par NSO Group d’un rapport de transparence 2025 présenté comme une « nouvelle phase de responsabilité », mais dépourvu de chiffres vérifiables. Le document affirme respecter les droits humains et imposer des contrôles à ses clients, sans apporter de preuves ni d’indications sur les rejets, enquêtes, suspensions ou résiliations liés à des abus. 🧾 Des expertes et ONG (Access Now, Citizen Lab) estiment que cette démarche s’inscrit dans une campagne visant à obtenir la sortie d’NSO de l’Entity List américaine. Le texte rappelle de récents changements de gouvernance et d’actionnariat (nomination de David Friedman comme executive chairman, départ du CEO Yaron Shohat et du cofondateur Omri Lavie) à la suite de l’acquisition par un groupe d’investisseurs américains. Selon Natalia Krapiva (Access Now), ces annonces relèvent d’un « habillage » et ne prouvent pas une transformation substantielle. 🕵️‍♂️ ...

Selon Help Net Security, un code de preuve de concept (PoC) a été rendu public pour la vulnérabilité critique CVE-2025-64155 affectant la plateforme Fortinet FortiSIEM, ce qui accélère l’urgence de corriger les déploiements exposés. ⚠️ La faille permet à des attaquants non authentifiés d’exécuter du code ou des commandes non autorisés à distance via des requêtes TCP spécialement forgées. Elle cible le service phMonitor, décrit comme le « système nerveux » du SIEM, permettant d’écrire du code arbitraire dans un fichier qui est ensuite exécuté. ...

Publication de recherche académique (CISPA Helmholtz Center for Information Security). Les auteurs présentent « StackWarp », une attaque logicielle qui exploite un contrôle inter‑hyperthread de la « stack engine » sur AMD Zen pour modifier de manière déterministe le pointeur de pile (RSP) d’un invité SEV‑SNP, et ainsi casser ses garanties d’intégrité. Le cœur de la vulnérabilité réside dans un bit non documenté d’un MSR par‑cœur (0xC0011029, bit 19) qui active/désactive la stack engine. Son état n’est pas correctement synchronisé entre les deux threads SMT du même cœur. En basculant ce bit au moment où l’autre thread exécute des instructions de pile (push/pop/call/ret), la mise à jour architecturale de RSP est retardée (« freeze‑release »), ce qui permet d’injecter un décalage ±∆ choisi par l’attaquant, jusqu’à 640 octets en un coup, avec une précision au niveau instruction. L’effet est bidirectionnel, déterministe, et observé sur Zen 1 à Zen 5, y compris sur des Zen 4/Zen 5 « entièrement patchés » avec SMT activé. ...

Selon Substack, NetAskari a obtenu la « toolbox » d’un pentester et analyste sécurité actif en Chine, offrant un aperçu des outils employés et de quelques résultats de tests sur infrastructure cible. Contexte: l’article situe cette découverte dans un écosystème chinois de cybersécurité opaque, parfois lié à des opérations plus offensives, sans pour autant attribuer ces outils à des APTs. L’objectif est une exploration modeste des pratiques et de l’outillage des « foot soldiers » du pentest. ...

Source: appomni.com — Aaron Costello (AppOmni) publie une analyse technique détaillée de « BodySnatcher » (CVE-2025-12420), une vulnérabilité critique touchant ServiceNow Virtual Agent API et l’application Now Assist AI Agents, permettant à un attaquant non authentifié d’usurper n’importe quel utilisateur à partir de son e‑mail, de contourner MFA/SSO et de piloter des workflows d’agents IA avec des privilèges élevés. • Nature de la faille et impact: La combinaison d’un secret partagé au niveau plateforme et d’une logique d’auto‑liaison de comptes basée uniquement sur l’adresse e‑mail a permis à un attaquant distant d’usurper l’identité de n’importe quel utilisateur (y compris administrateur) et d’exécuter des agents IA pour créer des comptes backdoor et accorder des rôles administrateurs, exposant potentiellement des données sensibles (SSN, santé, finances, PI). L’auteur qualifie cette faille de plus sévère vulnérabilité IA agentique découverte à ce jour. ...

Selon Hunt.io, une analyse « host-centric » sur trois mois a mis au jour plus de 18 000 serveurs de commande et contrôle (C2) actifs répartis sur 48 fournisseurs d’infrastructure en Chine, montrant une forte concentration de l’abus sur quelques grands FAI et clouds. • Panorama quantitatif. L’étude recense 21 629 artefacts malveillants, dont 18 130 C2 (~84%), 2 837 sites de phishing (~13%), 528 répertoires ouverts et 134 IOCs publics. China Unicom concentre près de la moitié des C2 (≈9 100), devant Alibaba Cloud et Tencent (~3 300 chacun). Les réseaux de confiance élevés comme China169 Backbone, CHINANET et CERNET sont activement abusés. ...

Mandiant publie un dataset complet de tables arc‑en‑ciel dédié à Net‑NTLMv1, avec l’objectif déclaré de faciliter la démonstration de l’insécurité du protocole et d’en accélérer la dépréciation. L’initiative s’appuie sur l’expertise de terrain de Mandiant et les ressources de Google Cloud, et met en avant la possibilité de récupérer des clés en moins de 12 heures avec du matériel grand public coûtant moins de 600 $. Contexte: Net‑NTLMv1 est connu comme insecure depuis au moins 2012 (présentations à DEFCON 20), avec une cryptanalyse remontant à 1999. La prise en charge par Hashcat (2016) du craquage de clés DES via known plaintext a démocratisé l’attaque. Les tables arc‑en‑ciel existent depuis 2003 (Oechslin), héritant des travaux de Hellman (1980). Quand un attaquant obtient un hash Net‑NTLMv1 sans ESS (Extended Session Security) avec le texte clair connu 1122334455667788, une known plaintext attack (KPA) permet de récupérer de façon garantie le matériau de clé, c’est‑à‑dire le hash de mot de passe de l’objet Active Directory (AD) (utilisateur ou compte machine), facilitant une escalade de privilèges. ...

Source : SpecterOps (billet de blog de Daniel Mayer). Contexte : l’auteur détaille la création d’un Beacon Object File (BOF) permettant d’énumérer et d’exécuter des commandes dans WSL2 sur différentes versions, afin de faciliter le pivot depuis des hôtes Windows fortement surveillés. • Constats clés : WSL2 s’exécute comme une VM Hyper‑V séparée et est « rarement » monitorée, offrant aux attaquants un espace d’exécution discret. Les approches classiques via WslLaunch/WslApi.dll appellent en réalité WSL.exe via CreateProcess, générant des artefacts visibles mais communs. L’interface COM de WSL2 a évolué de façon non rétrocompatible, rendant un client COM unique difficile sans gérer de multiples versions. ...

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-01-11 → 2026-01-18. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2025-64155 CVSS: 9.4 EPSS: 0.06% VLAI: Medium (confidence: 0.7414) ProduitFortinet — FortiSIEM Publié2026-01-13T16:32:28.665Z An improper neutralization of special elements used in an os command ('os command injection') vulnerability in Fortinet FortiSIEM 7.4.0, FortiSIEM 7.3.0 through 7.3.4, FortiSIEM 7.1.0 through 7.1.8, FortiSIEM 7.0.0 through 7.0.4, FortiSIEM 6.7.0 through 6.7.10 may allow an attacker to execute unauthorized code or commands via crafted TCP requests. ...

Source: CNN. Contexte: Les autorités cambodgiennes et les médias d’État chinois annoncent l’arrestation de Chen Zhi et son extradition vers la Chine, sur fond d’enquêtes internationales pour escroqueries en ligne et blanchiment à très grande échelle. Les autorités cambodgiennes confirment que Chen Zhi, 38 ans, fondateur du Prince Group, a été arrêté avec deux autres ressortissants chinois puis extradé vers la Chine à la demande de Pékin, après la révocation de sa citoyenneté cambodgienne. La police chinoise diffuse des images de son transfert et indique qu’il est placé sous mesures pénales, le qualifiant de « chef de file d’un important syndicat criminel transfrontalier de jeux d’argent en ligne et de fraude ». 🚓 ...