Global

🗓️ Contexte Publié le 8 mai 2026 par Truesec, cet article de threat intelligence rapporte l’exploitation active d’une vulnérabilité critique dans PAN-OS de Palo Alto Networks, identifiée sous CVE-2026-0300. 🔍 Nature de la vulnérabilité CVE-2026-0300 est un buffer overflow affectant le service User-ID Authentication Portal de PAN-OS. Elle permet à un attaquant non authentifié d’exécuter du code arbitraire avec des privilèges root sur les équipements vulnérables. Selon l’Unit 42 de Palo Alto Networks, l’exploitation implique l’injection de shellcode dans un processus worker nginx tournant sur l’appliance PAN-OS. ...

🕵️ Contexte Publié le 6 mai 2026 par l’équipe OpenSourceMalware, cet article documente une évolution tactique de la campagne Contagious Interview / TaskJacker attribuée au groupe nord-coréen Lazarus Group (DPRK). La source est un blog de threat intelligence communautaire spécialisé dans les menaces open source. 🔄 Évolution de la technique Les opérateurs ont abandonné leurs vecteurs habituels (.vscode/tasks.json, scripts postinstall dans package.json, faux fichiers .woff2) au profit de Git hooks malveillants placés dans .githooks/pre-commit. Le hook se déclenche automatiquement lorsque la victime tente de committer du code, soit exactement au moment où le faux recruteur lui demande de “corriger un bug et committer”. ...

🔍 Contexte Publié le 7 mai 2026 par SentinelLABS (Alex Delamotte), cet article présente l’analyse technique complète de PCPJack, un framework de vol d’identifiants cloud découvert le 28 avril 2026 via une règle de chasse VirusTotal orientée Kubernetes. 🎯 Description de la menace PCPJack est un framework modulaire en Python conçu pour se propager en ver sur l’infrastructure cloud exposée. Sa première action distinctive est d’évincer et supprimer les artefacts associés au groupe TeamPCP (PCPCat), avant d’installer ses propres outils. L’acteur derrière PCPJack est potentiellement un ancien opérateur de TeamPCP ou quelqu’un de très familier avec leurs outils. ...

🔍 Contexte Publié le 7 mai 2026 par Valter Santos (Principal Threat Researcher, Bitsight), cet article présente les résultats d’une investigation empirique menée sur 55 jours (19 janvier – 15 mars 2026) portant sur l’écosystème mondial des services de proxies résidentiels (RESIP). 📊 Échelle observée L’étude a ciblé 30 services de proxies parmi plus de 150, sélectionnés pour leur faible vérification KYC. Les chiffres clés : 989 686 388 événements d’énumération totaux 53 346 368 IPs uniques globales 36 842 328 IPs uniques sur les 30 derniers jours Pics journaliers : Netnut (2,3M nœuds), LunaProxy (1,85M), 711Proxy (1,65M), 922Proxy (1,64M), ThunderProxy (1,47M) 🦠 Taux d’infection et symbiose malware La corrélation entre les IPs de sortie des proxies et les datasets de systèmes compromis de Bitsight révèle : ...

🔍 Contexte Article publié le 4 mai 2026 par Roman Dedenok sur Securelist (Kaspersky). Il documente une tendance croissante d’abus du service légitime Amazon Simple Email Service (Amazon SES) à des fins de phishing et d’attaques BEC (Business Email Compromise). ⚙️ Mécanisme d’attaque Les attaquants obtiennent un accès à Amazon SES principalement via des clés IAM AWS compromises ou exposées, trouvées dans : Dépôts GitHub publics Fichiers ENV Images Docker Sauvegardes de configuration Buckets S3 accessibles publiquement Pour automatiser la recherche de ces clés, les attaquants utilisent des outils comme TruffleHog, un utilitaire open-source de détection de secrets exposés. ...

🔍 Contexte Publié le 29 avril 2026 par Varonis Threat Labs (source : varonis.com/blog/bluekit), cet article présente une analyse technique approfondie de Bluekit, un nouveau kit de phishing commercial découvert et examiné de l’intérieur par les chercheurs de Varonis. 🧰 Description de Bluekit Bluekit se distingue des kits de phishing traditionnels par son modèle tout-en-un regroupant dans un seul panneau opérateur : 40+ templates de sites couvrant messagerie (iCloud, Apple ID, Gmail, Outlook, Hotmail, Yahoo, ProtonMail), développeurs (GitHub), réseaux sociaux (Twitter), retail (Zara), crypto (Ledger), cloud (Zoho) Achat et enregistrement automatisé de domaines Support 2FA, spoofing, émulation de géolocalisation Notifications Telegram et navigateur Antibot et cloaking anti-analyse Add-ons : assistant IA, clonage vocal, mail sender 🖥️ Fonctionnalités du panneau opérateur Les chercheurs ont obtenu un accès direct au kit et ont documenté : ...

🔍 Contexte Le 6 mai 2026, Palo Alto Networks a publié un avis de sécurité concernant CVE-2026-0300, une vulnérabilité critique de type buffer overflow (CWE-787) affectant les appliances firewall PA-Series et VM-Series sous PAN-OS. L’information a été relayée et analysée par Rapid7 le même jour. 🎯 Vulnérabilité Type : Buffer overflow non authentifié (CWE-787) Score CVSSv4 : 9.3 (critique) Composant affecté : User-ID™ Authentication Portal (aussi appelé Captive Portal), fonctionnalité non activée par défaut Vecteur d’attaque : Un attaquant distant non authentifié peut envoyer des paquets spécialement forgés vers un dispositif exposant le portail d’authentification, aboutissant à une exécution de code arbitraire avec les privilèges root Prérequis : Aucune authentification ni interaction utilisateur requise Périmètre non affecté : Prisma Access, Cloud NGFW, Panorama 📦 Versions affectées PAN-OS 12.1 : < 12.1.4-h5 / < 12.1.7 PAN-OS 11.2 : < 11.2.4-h17 / < 11.2.7-h13 / < 11.2.10-h6 / < 11.2.12 PAN-OS 11.1 : < 11.1.4-h33 / < 11.1.6-h32 / < 11.1.7-h6 / < 11.1.10-h25 / < 11.1.13-h5 / < 11.1.15 PAN-OS 10.2 : < 10.2.7-h34 / < 10.2.10-h36 / < 10.2.13-h21 / < 10.2.16-h7 / < 10.2.18-h6 ⚠️ Exploitation active Palo Alto Networks a confirmé une exploitation limitée dans la nature, ciblant des portails d’authentification exposés à des adresses IP non fiables ou à l’internet public. Shodan identifie environ 225 000 instances PAN-OS exposées sur internet, représentant une surface d’attaque significative. ...

🔍 Contexte Bishop Fox a publié le 6 mai 2026 une analyse technique détaillée de CVE-2026-42208, une vulnérabilité d’injection SQL pré-authentification affectant BerriAI LiteLLM Proxy dans les versions 1.81.16 à 1.83.6. La découverte originale est créditée au Tencent YunDing Security Lab (advisory GHSA-r75f-5x8p-qvmc, publié le 25 avril 2026). Le correctif v1.83.7 a été publié le 18 avril 2026. 🎯 Produit et surface d’attaque LiteLLM est un proxy Python open-source exposant une API compatible OpenAI devant plus de 100 fournisseurs de modèles LLM. Il gère les clés virtuelles, le budget, le routage et le rate limiting, avec un backend PostgreSQL via le client Prisma. ...

🗓️ Contexte Article publié le 27 mars 2026 par Emir Beganović (Staff SRE chez Booking.com), en marge du KubeCon EU 2026. L’auteur dresse un panorama complet de l’écosystème microVM, des CVEs d’évasion de containers récentes, et de l’émergence des sandboxes pour agents IA. 🔐 Problème fondamental : les containers ne sont pas une frontière de sécurité Les containers Linux (namespaces + cgroups) partagent le même noyau hôte. Toute exploitation du noyau (~40 millions de lignes de C, 450+ syscalls) permet une évasion vers l’hôte. La citation clé de Marina Moore (Edera) au KubeCon EU 2026 : “Containers are not a security boundary. They are a mechanism to control resource usage.” ...

🗓️ Contexte Publié le 3 mai 2026 sur BleepingComputer par Lawrence Abrams, cet article couvre deux événements liés : un faux positif massif de Microsoft Defender sur des certificats DigiCert légitimes, et la compromission réelle de l’autorité de certification DigiCert ayant conduit à l’émission frauduleuse de certificats EV de signature de code. 🚨 Faux positifs Microsoft Defender Depuis le 30 avril 2026, une mise à jour de signatures Defender (antérieure à la version 1.449.430.0) a commencé à détecter des certificats racine DigiCert légitimes présents dans le Windows trust store comme Trojan:Win32/Cerdigent.A!dha. ...