Akira cible les appliances SonicWall via la vulnérabilité SNWLID-2024-0015

Selon Rapid7 et des informations communiquĂ©es par SonicWall, une campagne de ransomware Akira a dĂ©marrĂ© le mois dernier en ciblant des appliances SonicWall. SonicWall a publiĂ© un avis de sĂ©curitĂ© et a prĂ©cisĂ© par la suite que ces intrusions sont liĂ©es Ă  la vulnĂ©rabilitĂ© d’aoĂ»t 2024 SNWLID-2024-0015, pour laquelle les Ă©tapes de remĂ©diation n’ont pas Ă©tĂ© correctement complĂ©tĂ©es. 🚹 Rapid7 indique avoir envoyĂ© des communications d’alerte de menace Ă  ses clients afin de prioriser l’application des correctifs. Depuis ces communications, l’équipe Incident Response (IR) de Rapid7 rapporte une augmentation des intrusions impliquant des Ă©quipements SonicWall. ...

11 septembre 2025 Â· 1 min

Contournement de WAF via pollution de paramĂštres pour XSS sur ASP.NET (recherche Ethiack)

Source: Ethiack (blog). Recherche de Bruno Mendes (04/08/2025) dĂ©taillant une technique d’injection JavaScript/XSS via pollution de paramĂštres HTTP en ASP.NET pour contourner des WAF, avec tests sur 17 configurations et essais d’un hackbot autonome. đŸ§© Technique et vecteur: la pollution de paramĂštres HTTP exploite les diffĂ©rences de parsing entre WAF, ASP.NET et navigateur. En ASP.NET, des paramĂštres duplicĂ©s sont concatĂ©nĂ©s par des virgules (HttpUtility.ParseQueryString), ce qui, combinĂ© Ă  l’opĂ©rateur virgule en JavaScript, permet d’assembler un code exĂ©cutable sans dĂ©clencher des signatures WAF. Exemple: /?q=1’&q=alert(1)&q=‘2 devient 1’,alert(1),‘2 dans une chaĂźne JS, exĂ©cutant alert(1). ...

11 septembre 2025 Â· 2 min

Des shells UEFI signés permettent de contourner Secure Boot à grande échelle (Binarly)

Selon Binarly Research, une Ă©tude sur l’écosystĂšme UEFI met en Ă©vidence une faiblesse systĂ©mique de Secure Boot: des modules signĂ©s, notamment des shells UEFI, peuvent ĂȘtre exploitĂ©s pour contourner la vĂ©rification de signature et exĂ©cuter du code non signĂ© au niveau firmware. DĂ©couverte clĂ©: plus de 30 shells UEFI signĂ©s et approuvĂ©s chez de grands OEM crĂ©ent des vecteurs d’attaque. L’analyse de 4 000 images firmware montre que les plateformes modernes font confiance Ă  environ 1 500 modules signĂ©s en moyenne (certaines dĂ©passent 4 000), Ă©largissant fortement la surface d’attaque. Des centaines d’appareils de sept OEM sont concernĂ©s. 🔐 ...

11 septembre 2025 Â· 2 min

Imperva alerte sur les risques d’authentification API : 46% liĂ©s Ă  des JWT contenant des donnĂ©es sensibles

Source : Imperva (blog) — Dans une analyse dĂ©diĂ©e Ă  la sĂ©curitĂ© des API, Imperva publie des constats et correctifs concrets sur les risques d’authentification, avec un focus sur l’usage des JWT (JSON Web Token) et les mauvaises configurations courantes. ‱ Constat principal : 46% des vulnĂ©rabilitĂ©s d’authentification proviennent de JWT contenant des donnĂ©es sensibles (PII, informations financiĂšres, IDs gouvernementaux) exposĂ©es via un simple encodage base64 plutĂŽt que chiffrĂ©es. D’autres risques majeurs incluent les tokens longue durĂ©e (21%) et les algorithmes de signature faibles (19%). ...

11 septembre 2025 Â· 2 min

AdaptixC2 : framework C2 open source activement exploitĂ© avec beacons multi‑protocoles et techniques furtives

Selon Unit 42 (Palo Alto Networks), AdaptixC2 est un framework de commande‑et‑contrĂŽle open source activement employĂ© par des acteurs malveillants. Cet outil de post‑exploitation offre un contrĂŽle Ă©tendu du systĂšme, la manipulation de fichiers et l’exfiltration de donnĂ©es tout en restant largement discret. 🚹AdaptixC2 est un nouveau framework open-source de post-exploitation et d’émulation adversaire, utilisĂ© en conditions rĂ©elles depuis mai 2025 pour des attaques ciblĂ©es Il permet aux acteurs malveillants d’exĂ©cuter des commandes, d’exfiltrer des donnĂ©es, de manipuler des fichiers et de maintenir une activitĂ© furtive sur les machines compromises. Sa modularitĂ©, ses capacitĂ©s de tunneling (SOCKS4/5), port forwarding, et la prise en charge de BOFs (Beacon Object Files) rendent AdaptixC2 hautement personnalisable et difficile Ă  dĂ©tecter ...

10 septembre 2025 Â· 2 min

Adobe publie un patch d’urgence pour la faille critique « SessionReaper » (CVE-2025-54236) sur Adobe Commerce/Magento

Source: Sansec Forensics Team (sansec.io) — Dans une publication de Threat Research (8 sept. 2025, mise Ă  jour 9 sept.), Sansec dĂ©taille « SessionReaper » (CVE-2025-54236), une vulnĂ©rabilitĂ© critique (score 9,1) touchant toutes les versions d’Adobe Commerce et Magento. Adobe a rompu son cycle habituel pour publier un correctif d’urgence (APSB25-88), aprĂšs une fuite accidentelle du patch la semaine prĂ©cĂ©dente. 🚹 Impact: L’avis officiel d’Adobe Ă©voque une prise de contrĂŽle de comptes clients, tandis que le dĂ©couvreur de la faille, Blaklis, confirme un potentiel RCE prĂ©-auth (« Please patch ASAP »). Sansec met en parallĂšle la sĂ©vĂ©ritĂ© de SessionReaper avec Shoplift (2015), Ambionics SQLi (2019), TrojanOrder (2022) et CosmicSting (2024), incidents oĂč des milliers de boutiques ont Ă©tĂ© compromises en quelques heures. Sansec n’a pas encore observĂ© d’exploitation active au moment de la publication, mais anticipe des abus automatisĂ©s. ...

10 septembre 2025 Â· 2 min

Attaque supply chain sur npm : 20 packages compromis via phishing dopĂ© Ă  l’IA, dĂ©tournement de portefeuilles crypto

Selon Varonis, une attaque de chaĂźne d’approvisionnement a compromis 20 packages npm populaires totalisant 2,67 milliards de tĂ©lĂ©chargements hebdomadaires, grĂące Ă  une campagne de phishing amĂ©liorĂ©e par IA visant les mainteneurs. L’infrastructure d’email « propre » et des contenus professionnels ont aidĂ© Ă  contourner les dĂ©fenses classiques, permettant l’injection d’un malware de dĂ©tournement de portefeuilles Ă  travers six rĂ©seaux blockchain. CĂŽtĂ© technique, le malware implĂ©mente un intercepteur cĂŽtĂ© navigateur qui accroche des API Web critiques (fetch(), XMLHttpRequest, window.ethereum.request()) pour réécrire silencieusement des transactions. Il cible Ethereum, Bitcoin, Solana, Tron, Litecoin et Bitcoin Cash, recourt Ă  des regex et contient 280 adresses de portefeuilles attaquants codĂ©es en dur. Le code inspecte en temps rĂ©el les payloads, utilise la distance de Levenshtein pour substituer des adresses lookalike et manipule des interactions DEX sur Uniswap et PancakeSwap. ...

10 septembre 2025 Â· 2 min

Attaque supply chain sur npm aprĂšs compromission du mainteneur ~qix, visant les portefeuilles Web3

Source: Snyk — Billet d’alerte et suivi d’incident dĂ©crivant une attaque de la supply chain npm consĂ©cutive Ă  la compromission par phishing d’un mainteneur open source (~qix), avec chronologie, IoC et conseils de vĂ©rification. — Contexte et fait principal — Un dĂ©veloppeur open source trĂšs en vue, ~qix, a Ă©tĂ© victime d’un phishing envoyĂ© depuis l’adresse « support@npmjs.help ». L’attaquant a pris le contrĂŽle de son compte npm, lui permettant de publier des versions malveillantes de paquets populaires auxquels il avait des droits. ...

10 septembre 2025 Â· 2 min

Cisco Talos rĂ©trospective 2023–mi-2025 : la rapiditĂ© de rĂ©ponse stoppe le dĂ©ploiement de ransomware

Selon Cisco Talos Incident Response (Talos IR), dans une rĂ©trospective couvrant janvier 2023 Ă  juin 2025, l’équipe a analysĂ© de nombreuses interventions classĂ©es comme incidents pré‑ransomware pour identifier ce qui a permis d’empĂȘcher le dĂ©ploiement effectif de ransomware. Principaux enseignements â±ïžđŸ›Ąïž Engagement rapide avec l’équipe de rĂ©ponse Ă  incident (IR). Actionnement rapide des alertes issues des solutions de sĂ©curitĂ©, majoritairement dans les deux heures suivant l’alerte. Talos IR a Ă©galement classifiĂ© prĂšs de deux douzaines d’indicateurs pré‑ransomware observĂ©s. Les tactiques les plus frĂ©quentes relevĂ©es offrent un aperçu des activitĂ©s malveillantes qui prĂ©cĂšdent souvent une attaque plus sĂ©vĂšre. ...

10 septembre 2025 Â· 1 min

Citizen Lab confirme une infection par le spyware FlexiSPY, plus détectable mais aux capacités comparables aux outils mercenaires

The Record rapporte qu’un chercheur de Citizen Lab, John Scott-Railton, a aidĂ© Ă  confirmer une infection impliquant FlexiSPY, un logiciel espion (spyware) commercial. D’aprĂšs Scott-Railton, FlexiSPY est plus facilement dĂ©tectable que des spywares mercenaires bien plus onĂ©reux utilisĂ©s par des États-nations, mais il dispose de capacitĂ©s similaires une fois installĂ©. L’information met en parallĂšle la disponibilitĂ© commerciale de FlexiSPY et la sophistication opĂ©rationnelle d’outils mercenaires plus coĂ»teux, tout en soulignant la confirmation d’une infection par Citizen Lab. đŸ•”ïžâ€â™‚ïž ...

10 septembre 2025 Â· 1 min
Derniùre mise à jour le: 9 juillet 2026 📝