Monde

Selon Trend Micro (Trend Research), l’opération « Operation Zero Disco » exploite la vulnérabilité Cisco SNMP CVE-2025-20352 pour implanter un rootkit Linux dans l’espace mémoire d’IOSd sur des équipements réseau. La campagne vise des systèmes Linux plus anciens sans EDR, notamment les Cisco 9400, 9300 et 3750G. Les attaquants utilisent des IPs usurpées et des backdoors fileless avec des mots de passe universels contenant « disco ». Le rootkit permet la RCE, le bypass des ACL VTY, la manipulation des journaux et la dissimulation de configuration. Une tentative d’exploitation d’une variante de la faille Telnet CVE-2017-3881 est également rapportée, tandis que l’ASLR offre une protection partielle sur les modèles plus récents. ...

Selon Cofense, une campagne de phishing exploite la confiance dans la marque Microsoft pour mener des escroqueries au support technique, en mêlant leurres financiers et manipulations du navigateur afin d’obtenir des identifiants et un accès à distance aux systèmes. La campagne utilise des emails de paiement se faisant passer pour des remboursements de location de voiture, redirigeant d’abord vers un faux CAPTCHA (hxxp://amormc[.]com), puis vers des domaines de charge tels que shilebatablurap[.]highbourg[.]my[.]id, hébergés sur une infrastructure Cloudflare (104[.]21[.]x[.]x). Les pages d’atterrissage affichent de fausses alertes de sécurité Microsoft et simulent un verrouillage du navigateur. ...

Selon Eclypsium (billet de blog), des outils de diagnostic UEFI signés par Microsoft et utilisés sur des appareils Framework peuvent être détournés comme des backdoors signées, permettant de contourner Secure Boot et d’installer une persistance pré-OS tout en donnant l’illusion que la sécurité est active. Les chercheurs expliquent que le cœur du problème réside dans la commande mm des shells UEFI signés, qui offre un accès direct en lecture/écriture à la mémoire système. En manipulant des composants du Security Architectural Protocol, un attaquant peut neutraliser la vérification de signature, puis charger des modules UEFI non signés. L’attaque peut être automatisée pour s’exécuter au démarrage, assurant un compromis persistant avant l’OS. ...

Selon Quarkslab (référence citée), des chercheurs ont détaillé deux vulnérabilités critiques dans les modules noyau GPU ouverts de NVIDIA sous Linux et présenté une chaîne d’exploitation complète menant à l’élévation de privilèges; NVIDIA a publié des correctifs dans la mise à jour d’octobre 2025 des GPU Display Drivers. ⚠️ — Vulnérabilités et impact — CVE-2025-23300: déréférencement de pointeur nul dans le module nvidia-uvm, déclenché lors du mappage d’allocations NV01_MEMORY_DEVICELESS via l’ioctl UVM_MAP_EXTERNAL_ALLOCATION, dû à un champ pGpu non vérifié. CVE-2025-23280: use-after-free dans les fonctions threadStateInit/threadStateFree (base de données Red-Black tree). Le kernel oops consécutif libère la pile avant l’exécution de threadStateFree(), entraînant l’UAF. Impact: obtention de primitives de lecture/écriture noyau et élévation de privilèges par un attaquant local non privilégié. — Chaîne d’exploitation (aperçu technique) — ...

Selon VulnCheck, une campagne active exploite CVE-2025-2611, une vulnérabilité d’injection de commande non authentifiée dans le logiciel de call center ICTBroadcast, via le paramètre de cookie BROADCAST de login.php. Les chercheurs décrivent une exploitation non authentifiée de la vulnérabilité d’injection de commande dans ICTBroadcast, visant environ 200 instances exposées. L’attaque se déroule en deux phases : d’abord des sondes temporelles (« sleep 3 ») pour confirmer l’exécution de commande, puis l’établissement de reverse shells vers l’adresse 143.47.53.106 et l’infrastructure localto.net. ...

Selon Synacktiv (analyse CSIRT), LinkPro a été découvert lors d’une investigation d’une compromission d’infrastructures AWS. L’étude fournit une analyse technique détaillée d’un rootkit eBPF sophistiqué ciblant Linux, ses vecteurs d’infection, ses modules, ses capacités C2, ainsi que des IOCs et des règles YARA. • Chaîne d’attaque et contexte: exploitation de Jenkins CVE-2024-23897 entraînant le déploiement d’images Docker malveillantes à travers des clusters EKS (Kubernetes sur AWS). • Composants: malware en Golang embarquant quatre modules ELF: une bibliothèque partagée (libld.so), un module noyau (arp_diag.ko), et deux programmes eBPF dédiés à la dissimulation et à l’activation réseau. ...

Selon BleepingComputer, Microsoft a rappelé que Exchange Server 2016 et Exchange Server 2019 ont atteint leur fin de support et a conseillé aux administrateurs IT de planifier une transition. Microsoft a officiellement annoncé la fin du support pour Exchange Server 2016 et 2019 à compter du 14 octobre 2025. L’entreprise invite les administrateurs à mettre à jour leurs serveurs vers Exchange Server Subscription Edition (SE) ou à migrer vers Exchange Online, afin de rester protégés contre les vulnérabilités futures. ...

Source: BleepingComputer — Dans le cadre du Patch Tuesday d’octobre 2025, Microsoft a diffusé des mises à jour de sécurité corrigeant un total de 172 vulnérabilités, incluant six failles zero-day. 🛡️ Mise à jour majeure: 172 vulnérabilités corrigées. ⚠️ Criticité notable: 6 zero-day incluses dans ce lot de correctifs. L’annonce met l’accent sur l’ampleur du lot de correctifs mensuels et signale la présence de plusieurs failles de type zero-day, soulignant l’importance de ce cycle de mises à jour. ...

Selon BleepingComputer, Microsoft a publié la mise à jour cumulative KB5066791 pour Windows 10, présentée comme la dernière mise à jour gratuite alors que le système arrive en fin de cycle de support. — Principaux points — Produit concerné : Windows 10 Mise à jour : KB5066791 Nature : mise à jour cumulative Statut : dernière mise à jour gratuite Contexte : fin du cycle de support de Windows 10 Cette annonce marque « la fin d’une ère » pour Windows 10, la publication de KB5066791 scellant la phase finale de son support. ...

Selon Horizon3.ai (attaque research), un zero‑day CVE‑2025‑11371 est activement exploité contre Gladinet CentreStack et Triofox, affectant toutes les versions jusqu’à 16.4.10315.56368 et antérieures. 🚨 La faille est une LFI non authentifiée permettant la lecture arbitraire de fichiers, l’exfiltration de la machineKey et la forge de ViewState signés pour obtenir une exécution de code à distance (RCE). Aucun patch n’est disponible à ce stade. Détails techniques clés: Vulnérabilité: Local File Inclusion non authentifiée au sein de l’application web. Chaîne d’attaque: Lecture de Web.config via la LFI, Extraction de la machineKey, Forge de payloads ViewState signés, Désérialisation côté serveur aboutissant à la RCE. Mesures de mitigation temporaires mentionnées: ...