GCVE lance db.gcve.eu, une base publique et ouverte d’avis de vulnĂ©rabilitĂ©s

Selon GCVE (annonce du 7 janvier 2026), le projet dĂ©voile db.gcve.eu, une nouvelle base publique et gratuite d’avis de vulnĂ©rabilitĂ©s destinĂ©e Ă  agrĂ©ger, normaliser et corrĂ©ler des informations issues d’un large Ă©ventail de sources. La plateforme offre une vue unifiĂ©e des vulnĂ©rabilitĂ©s en agrĂ©geant des avis provenant de 25+ sources, avec une intĂ©gration native des GCVE GNA, une corrĂ©lation multi-bases et multi-identifiants, et des enregistrements normalisĂ©s et recherchables. Objectif: rĂ©duire la fragmentation et amĂ©liorer la visibilitĂ© sur le paysage global des vulnĂ©rabilitĂ©s. ...

10 janvier 2026 Â· 2 min

GoBruteforcer : un botnet en Go exploite identifiants faibles et stacks legacy pour compromettre des serveurs Linux

Source: Check Point Research (publication du 7 janvier 2026). CPR analyse une variante 2025 de GoBruteforcer (GoBrut), un botnet modulaire en Go qui transforme des serveurs Linux compromis en nƓuds de scan et de brute-force, avec un intĂ©rĂȘt marquĂ© pour des cibles crypto. Le botnet cible des services exposĂ©s (FTP, MySQL, PostgreSQL, phpMyAdmin) et se propage via une chaĂźne web shell → downloader → bot IRC → bruteforcer. Deux facteurs alimentent la vague actuelle: l’usage massif d’exemples de dĂ©ploiement gĂ©nĂ©rĂ©s par IA 🧠 qui recyclent des noms d’utilisateurs/dĂ©fauts faibles (ex. appuser, myuser) et la persistance de stacks legacy comme XAMPP exposant FTP/phpMyAdmin avec un durcissement minimal. Selon CPR, >50 000 serveurs exposĂ©s pourraient ĂȘtre vulnĂ©rables; Shodan relĂšve ~5,7 M de FTP, 2,23 M de MySQL et 560 k de PostgreSQL accessibles. L’ensemble de mots de passe utilisĂ© par GoBruteforcer chevauche Ă  2,44% une base de 10 M de mots de passe fuitĂ©s, ce qui suggĂšre qu’environ 54,6 k MySQL et 13,7 k PostgreSQL pourraient accepter l’un des mots de passe de l’attaquant. ...

10 janvier 2026 Â· 3 min

GreyNoise alerte sur deux campagnes visant les LLM: SSRF sur Ollama et reconnaissance massive d’endpoints

Source: GreyNoise Labs — Dans un billet de recherche s’appuyant sur une infrastructure honeypot Ollama, GreyNoise rapporte 91 403 sessions d’attaque (octobre 2025–janvier 2026) et dĂ©taille deux campagnes distinctes, corroborant et Ă©tendant les constats de Defused. Un SITREP avec IOCs a Ă©tĂ© transmis aux clients. ‱ Campagne SSRF (oct. 2025–janv. 2026) 🚹: exploitation de SSRF pour forcer des connexions sortantes vers l’infrastructure des attaquants. Deux vecteurs ciblĂ©s: Ollama (model pull) via injection d’URL de registre malveillantes et Twilio SMS webhook (MediaUrl) provoquant des connexions sortantes. Forte poussĂ©e Ă  NoĂ«l (1 688 sessions en 48 h). Utilisation de l’infrastructure OAST de ProjectDiscovery pour valider les callbacks SSRF. Un JA4H unique (po11nn060000
) dans 99% des attaques indique un outillage commun, probablement Nuclei; 62 IPs dans 27 pays, empreintes cohĂ©rentes suggĂ©rant des VPS plutĂŽt qu’un botnet. Évaluation: probablement chercheurs/bug bounty « grey-hat ». ...

10 janvier 2026 Â· 3 min

Huntress dĂ©taille un kit d’évasion VMware ESXi exploitant CVE-2025-22224/22225/22226

Selon Huntress (Tactical Response et SOC), une intrusion observĂ©e en dĂ©cembre 2025 a menĂ© au dĂ©ploiement d’un kit d’exploits visant VMware ESXi pour rĂ©aliser une Ă©vasion de machine virtuelle. L’accĂšs initial est Ă©valuĂ© avec haute confiance via un VPN SonicWall compromis. L’outillage contient des chaĂźnes en chinois simplifiĂ© et des indices d’un dĂ©veloppement de type zero-day antĂ©rieur Ă  la divulgation publique, suggĂ©rant un dĂ©veloppeur bien dotĂ© en ressources dans une rĂ©gion sinophone. L’activitĂ©, stoppĂ©e par Huntress, aurait pu culminer en ransomware. ...

10 janvier 2026 Â· 4 min

JA4 pour traquer les scrapers IA : guide pratique de fingerprinting TLS

Source: WebDecoy (Ă©quipe sĂ©curitĂ©). Dans ce guide technique, les auteurs expliquent pourquoi le fingerprinting TLS — en particulier JA4, successeur de JA3 — redevient central pour dĂ©tecter les scrapers d’IA (Browser-as-a-Service, navigateurs LLM) capables de falsifier l’environnement JavaScript, les User-Agent et d’utiliser des proxys rĂ©sidentiels, mais qui peinent Ă  imiter finement la poignĂ©e de main TLS. Le papier revient sur JA3 (concatĂ©nation des champs ClientHello et hachage MD5) et ses limites: GREASE qui introduit de la variabilitĂ©, sensibilitĂ© Ă  l’ordre des extensions, changement de visibilitĂ© en TLS 1.3, et bibliothĂšques d’évasion (uTLS) permettant de forger des ClientHello arbitraires. ...

10 janvier 2026 Â· 2 min

Kit d’évasion de VM VMware ESXi exploitĂ© via SonicWall, actif avant la divulgation des failles

Selon BleepingComputer (article de Bill Toulas), s’appuyant sur une analyse de Huntress, des acteurs de la menace sino-phones ont utilisĂ© un Ă©quipement VPN SonicWall compromis pour livrer un kit d’exploit permettant une Ă©vasion de machine virtuelle sur VMware ESXi, potentiellement un an avant la divulgation publique des vulnĂ©rabilitĂ©s visĂ©es. Nature de l’attaque : chaĂźne d’exploits d’« Ă©vasion de VM » contre VMware ESXi depuis une VM invitĂ©e vers l’hyperviseur, avec dĂ©ploiement d’un backdoor VSOCK sur l’hĂŽte ESXi. 🚹 Point d’entrĂ©e : VPN SonicWall compromis, pivot avec un compte Domain Admin, RDP vers des contrĂŽleurs de domaine, prĂ©paration d’exfiltration, puis exĂ©cution de la chaĂźne d’exploit. Cible pressentie : ESXi 8.0 Update 3 (indice dans les chemins de build). Des Ă©lĂ©ments en chinois simplifiĂ© et un README en anglais suggĂšrent un dĂ©veloppement modulaire potentiellement destinĂ© Ă  ĂȘtre partagĂ©/vendu. VulnĂ©rabilitĂ©s impliquĂ©es (corrĂ©lĂ©es par le comportement observĂ©, sans confirmation absolue) : ...

10 janvier 2026 Â· 3 min

LockBit 5.0 : un « retour » surtout gonflé par du recyclage, avec quelques attaques récentes

Selon LeMagIT (article de ValĂ©ry Rieß-Marchive, 7 janvier 2026), LockBit met en scĂšne son « retour » sous banniĂšre LockBit 5.0 en multipliant les publications de victimes, mais une analyse dĂ©taillĂ©e rĂ©vĂšle surtout un volume gonflĂ© par des revendications recyclĂ©es. ‱ Chronologie des publications 📅 7 dĂ©cembre 2025 : 40 victimes publiĂ©es. Mi-dĂ©cembre : 9 revendications supplĂ©mentaires. 26 dĂ©cembre : un lot de 54 revendications. Au total, plus de 110 revendications sont apparues en dĂ©cembre 2025. ‱ Recyclage massif et originalitĂ© limitĂ©e 🧼 ...

10 janvier 2026 Â· 2 min

ownCloud presse l’activation du MFA aprĂšs des intrusions via identifiants volĂ©s

Selon un bulletin de sĂ©curitĂ© d’ownCloud, s’appuyant sur un rapport d’Hudson Rock, des intrusions ont visĂ© des plateformes de partage de fichiers auto‑hĂ©bergĂ©es, dont des instances communautaires d’ownCloud, via l’exploitation de combinaisons identifiant/mot de passe volĂ©es — sans faille ni zero‑day. Le hacker « Zestix » (aka « Sentap ») a mis en vente sur le dark web des donnĂ©es attribuĂ©es Ă  environ 50 organisations internationales. 🚹 Nature de la menace et impact: les attaquants ont utilisĂ© des identifiants compromis par des infostealers (notamment RedLine, Lumma, Vidar) installĂ©s sur des postes d’employĂ©s. Ces malwares aspirent les mots de passe stockĂ©s (navigateurs/systĂšme), ensuite revendus en masse sur des places de marchĂ© clandestines. Des cybercriminels filtrent ces bases pour identifier des accĂšs Ă  des services d’entreprise (dont des portails ownCloud) et se connectent comme des utilisateurs lĂ©gitimes lorsqu’aucune authentification multifacteur (MFA) n’est exigĂ©e. 🔐 ...

10 janvier 2026 Â· 2 min

PackageInferno : un scanner Docker-first pour la sécurité de la supply chain npm

Selon la documentation du projet PackageInferno, l’outil propose une chaĂźne de traitement complĂšte en conteneurs pour auditer la supply chain npm et visualiser les rĂ©sultats localement via un tableau de bord. 🧰 Pipeline clef en main en Docker : un « enumerator » construit la file de paquets, un « fetcher » tĂ©lĂ©charge les tarballs (avec option d’upload S3), un « analyzer » effectue l’analyse statique (YARA en option) et un Postgres stocke les rĂ©sultats. Un dashboard Streamlit (http://localhost:8501) permet la recherche, le drill‑down et des analyses. La configuration passe par scan.yml (allowlists, seuils, rĂšgles YARA), avec historique des scans en base (scan_runs). ...

10 janvier 2026 Â· 2 min

Projets IA : la sĂ©curitĂ© doit d’abord demander « Pourquoi ? »

Contexte: Cloud Security Alliance (CSA), article de Rich Mogull (01/09/2026). 🔍 Message central: l’auteur propose que la premiĂšre question sĂ©curitĂ© sur tout projet d’IA soit « Pourquoi ? Quel rĂ©sultat mĂ©tier visons-nous ? », immĂ©diatement suivie de « Comment cela l’atteint-il ? ». Cette approche force une discussion concrĂšte sur l’architecture, l’interaction humaine, l’accĂšs aux donnĂ©es, la conformitĂ© et les risques, plutĂŽt que de dĂ©ployer l’IA par effet de mode. ...

10 janvier 2026 Â· 2 min
Derniùre mise à jour le: 6 juillet 2026 📝