International

Selon Talos, en août 2025, des acteurs se réclamant du milieu Warlock ont mené une campagne de ransomware ayant fortement impacté l’environnement IT d’un client. • Les assaillants, identifiés comme « affiliés » à Warlock d’après la note de rançon et l’usage de son data leak site (DLS), ont déployé simultanément les ransomwares Warlock, LockBit et Babuk. L’objectif: chiffrer des VMware ESXi et des serveurs Windows, provoquant une interruption sévère des systèmes. ...

Source: Mandiant et Google Threat Intelligence Group. Contexte: une campagne d’extorsion à large échelle, opérée sous la marque CL0P, a exploité une vulnérabilité zero‑day dans Oracle E‑Business Suite (EBS) pour voler des données clients. Oracle a publié un correctif le 4 octobre pour CVE‑2025‑61882, tandis que Mandiant/GTIG documentent plusieurs chaînes d’exploit distinctes visant EBS. — Chronologie et portée — • Activités d’exploitation probables dès juillet 2025, avant la campagne d’extorsion récente. • Oracle publie le 4 octobre un patch référencé CVE‑2025‑61882. Mandiant/GTIG estiment que les serveurs EBS mis à jour via ce correctif ne sont probablement plus vulnérables aux chaînes d’exploit connues. • L’attribution précise des vulnérabilités aux chaînes d’exploit reste incertaine. ...

Selon Doyensec (référence: blog.doyensec.com, 8 oct. 2025), une analyse d’exploitation de CVE-2025-37947 décrit comment un défaut d’“out-of-bounds write” dans la fonction ksmbd_vfs_stream_write (avec le module stream_xattr activé) permet à un utilisateur authentifié d’écrire 8 octets au-delà d’un tampon alloué, menant à une élévation de privilèges locale sur Ubuntu 22.04 LTS (kernel 5.15.0-153-generic) avec durcissements activés. 🐛 Le bug survient quand position > XATTR_SIZE_MAX (65 536), la fonction alloue via kvzalloc() mais ne valide pas correctement les bornes lors d’un memcpy(), ouvrant la voie à une corruption mémoire contrôlée. Les chercheurs ont montré un contournement de protections courantes (KASLR, SMAP, SMEP, HARDENED_USERCOPY) et l’obtention de primitives de lecture/écriture arbitraires en noyau, culminant par l’exécution d’une chaîne ROP pour root. ...

Selon Cyber Security News, Oracle a émis une alerte de sécurité d’urgence concernant la vulnérabilité critique CVE‑2025‑61882 (CVSS 9.8) dans E‑Business Suite, exploitée par le groupe Cl0p pour extorquer des clients n’ayant pas patché. La faille permet une exécution de code à distance sans authentification et affecte notamment l’intégration Business Intelligence Publisher sur les versions 12.2.3 à 12.2.14, avec des exploits publics déjà disponibles. Des chercheurs de Tenable indiquent que la vulnérabilité du composant Oracle Concurrent Processing permet l’exécution de code arbitraire à distance sans identifiants, rendant la faille particulièrement attractive pour les cybercriminels. La combinaison de la large base installée d’Oracle EBS et de la sévérité de la vulnérabilité est présentée comme un facteur de risque majeur. ...

Source : ZDI (Zero Day Initiative) — billet de recherche décrivant la découverte et l’exploitation de CVE-2025-5037, une vulnérabilité de confusion de type dans Autodesk Revit 2025 qui permet une exécution de code à distance (RCE) via des fichiers RFA spécialement conçus. La faille provient du désérialiseur de Revit, qui traite 4 611 types d’objets. En manipulant l’index de classe dans les données sérialisées du flux Global\Latest d’un fichier OLE Compound, un attaquant peut amener l’application à traiter un objet std::pair (index de classe 0xc4) comme une classe munie d’un pointeur de vtable, ouvrant la voie à l’exécution de code. ...

Selon Daily Dark Web, un groupe se faisant appeler « Scattered LAPSUS$ Hunters » a revendiqué une série d’intrusions visant des entreprises majeures des secteurs technologiques, de l’aviation et des télécommunications, en diffusant des échantillons de données sur son canal Telegram comme preuves. Les victimes listées par le groupe incluent : 🇺🇸 Dell 🇦🇺 Telstra 🇰🇼 Kuwait Airways 🇫🇷 Lycamobile (des clients en France seraient concernés) 🇺🇸 Verizon 🇹🇭 True Corporation & dtac Le groupe — dont le nom fait référence aux groupes d’extorsion Lapsus$ et Scattered Spider — affirme avoir exfiltré des données « étendues » variant selon la cible. Les catégories de données prétendument volées comprennent notamment : ...

Source et contexte: krebsonsecurity.com (Brian Krebs) rapporte qu’un groupe lié à ShinyHunters/UNC6040 a lancé un site d’extorsion visant Salesforce et des dizaines d’entreprises, après une campagne de vishing en mai 2025 ayant conduit au vol de données Salesforce. Le blog « Scattered LAPSUS$ Hunters » publie les noms de victimes (Toyota, FedEx, Disney/Hulu, UPS, etc.) et menace de divulguer les données volées si une rançon n’est pas payée d’ici le 10 octobre. Google TIG (GTIG) suit le groupe comme UNC6040 et a confirmé qu’un de ses propres environnements Salesforce a été affecté par la campagne. Salesforce indique qu’elle ne paiera pas et qu’aucune vulnérabilité du cœur de la plateforme n’est en cause. 🔓 ...

Selon Include Security, des vulnérabilités d’authentification affectent la console audio professionnelle Allen & Heath SQ‑6, avec des services réseau exposés sans authentification serveur et des communications non chiffrées, susceptibles de perturber des événements en direct. Le fournisseur a été notifié et a publié un correctif. • Découverte et impact: les chercheurs ont identifié de la client-side authentication dans les applications mobiles, contournable via Frida, et un service MIDI non authentifié accessible sur le réseau. Ces failles permettent le contrôle complet du mixeur (mise en sourdine, changements de scène, volume), exposant à des perturbations de spectacles/événements. Ils soulignent un problème plus large dans l’industrie AVL (audio‑vidéo‑lumière) où la sécurité repose trop sur la segmentation réseau. ...

Source et contexte — Ars Technica (Dan Goodin, 30 sept. 2025) détaille deux publications académiques indépendantes montrant des attaques physiques contre les enclaves de confiance (TEE) d’Intel (SGX) et d’AMD (SEV‑SNP), rendues possibles par leur chiffrement déterministe de la mémoire DDR4. • Battering RAM 🔧: une attaque active à faible coût (< 50 $) via un interposer analogique placé entre CPU et DIMM DDR4. En créant des alias mémoire, l’attaquant capture puis rejoue des chiffrés; le chiffrement déterministe garantit une décryption cohérente au même emplacement. Impact: ...

Selon malasada.tech, une campagne de phishing à grande échelle, attribuée avec probabilité à PoisonSeed, cible des chercheurs d’emploi via des domaines à thème YouTube et des redirections hébergées sur l’infrastructure Salesforce afin de collecter des identifiants. Le flux d’attaque 🎣 s’appuie sur des liens de suivi Salesforce (cl.s12.exct[.]net) menant à des pages d’atterrissage hébergées chez Cloudflare, avec des domaines enregistrés via NICENIC. Les victimes sont d’abord confrontées à de fausses pages d’erreur nginx (anti-analyse) nécessitant une interaction humaine, avant d’être redirigées vers de faux formulaires de prise de rendez-vous, puis vers des pages de vol d’identifiants. ...