Monde

Selon KrebsOnSecurity (23 janvier 2026), le botnet IoT Kimwolf s’est rapidement étendu fin 2025 en abusant de services de proxies résidentiels pour pivoter vers les réseaux locaux, avec une présence notable dans des réseaux d’administrations et d’entreprises. • Nature de la menace: Kimwolf est un botnet IoT ayant infecté plus de 2 millions d’appareils, utilisés pour des attaques DDoS massives et le relais de trafic malveillant (fraude publicitaire, prises de contrôle de comptes, scraping de contenu). Sa capacité à scanner les réseaux locaux des points d’accès compromis lui permet d’infecter d’autres IoT à proximité. ...

IT-Connect rapporte la découverte et la correction de la vulnérabilité majeure CVE-2026-0227 affectant PAN-OS, le système des pare-feu Palo Alto Networks. Vulnérabilité: CVE-2026-0227 Produits concernés: PAN-OS (pare-feu Palo Alto Networks) Impact principal: désactivation à distance du pare-feu 🚨 Statut: corrigée (patch disponible) L’article met en avant le caractère important de la faille et souligne le risque clé: la possibilité de désactiver le pare-feu à distance, compromettant la protection réseau jusqu’à l’application du correctif. ...

Selon un article technique d’Aaron Walton (Threat intel, 15 janv. 2026), Gootloader — opérateur d’« accès initial » historiquement efficace — est réapparu fin 2025 et collabore à nouveau avec l’acteur Vanilla Tempest (lié à Rhysida). Le billet se concentre sur le premier étage: un ZIP malformé conçu pour l’anti-analyse et l’évasion. • Le ZIP livrant un fichier JScript est volontairement non conforme: 500 à 1 000 archives ZIP concaténées, structure « End of Central Directory » tronquée de 2 octets, et champs non critiques aléatoires (Disk Number, Number of Disks), rendant l’archive illisible pour des outils comme 7-Zip/WinRAR mais parfaitement ouvrable avec l’extracteur natif Windows. Le fichier transmis sur le réseau est un blob XOR qui est décodé et auto-apposé côté navigateur jusqu’à une taille cible, compliquant la détection réseau et assurant un hashbusting (chaque victime reçoit un fichier unique). ...

Selon Help Net Security, un code de preuve de concept (PoC) a été rendu public pour la vulnérabilité critique CVE-2025-64155 affectant la plateforme Fortinet FortiSIEM, ce qui accélère l’urgence de corriger les déploiements exposés. ⚠️ La faille permet à des attaquants non authentifiés d’exécuter du code ou des commandes non autorisés à distance via des requêtes TCP spécialement forgées. Elle cible le service phMonitor, décrit comme le « système nerveux » du SIEM, permettant d’écrire du code arbitraire dans un fichier qui est ensuite exécuté. ...

Source: appomni.com — Aaron Costello (AppOmni) publie une analyse technique détaillée de « BodySnatcher » (CVE-2025-12420), une vulnérabilité critique touchant ServiceNow Virtual Agent API et l’application Now Assist AI Agents, permettant à un attaquant non authentifié d’usurper n’importe quel utilisateur à partir de son e‑mail, de contourner MFA/SSO et de piloter des workflows d’agents IA avec des privilèges élevés. • Nature de la faille et impact: La combinaison d’un secret partagé au niveau plateforme et d’une logique d’auto‑liaison de comptes basée uniquement sur l’adresse e‑mail a permis à un attaquant distant d’usurper l’identité de n’importe quel utilisateur (y compris administrateur) et d’exécuter des agents IA pour créer des comptes backdoor et accorder des rôles administrateurs, exposant potentiellement des données sensibles (SSN, santé, finances, PI). L’auteur qualifie cette faille de plus sévère vulnérabilité IA agentique découverte à ce jour. ...

Mandiant publie un dataset complet de tables arc‑en‑ciel dédié à Net‑NTLMv1, avec l’objectif déclaré de faciliter la démonstration de l’insécurité du protocole et d’en accélérer la dépréciation. L’initiative s’appuie sur l’expertise de terrain de Mandiant et les ressources de Google Cloud, et met en avant la possibilité de récupérer des clés en moins de 12 heures avec du matériel grand public coûtant moins de 600 $. Contexte: Net‑NTLMv1 est connu comme insecure depuis au moins 2012 (présentations à DEFCON 20), avec une cryptanalyse remontant à 1999. La prise en charge par Hashcat (2016) du craquage de clés DES via known plaintext a démocratisé l’attaque. Les tables arc‑en‑ciel existent depuis 2003 (Oechslin), héritant des travaux de Hellman (1980). Quand un attaquant obtient un hash Net‑NTLMv1 sans ESS (Extended Session Security) avec le texte clair connu 1122334455667788, une known plaintext attack (KPA) permet de récupérer de façon garantie le matériau de clé, c’est‑à‑dire le hash de mot de passe de l’objet Active Directory (AD) (utilisateur ou compte machine), facilitant une escalade de privilèges. ...

Selon Malwarebytes, Apple a corrigé le 12 décembre 2025 deux vulnérabilités zero‑day dans WebKit, déjà exploitées dans la nature et associées à un spyware mercenaire, et oriente désormais les utilisateurs d’iPhone 11 et plus récents vers iOS 26+, seule branche bénéficiant des correctifs et de nouvelles protections mémoire. • Portée et impact: WebKit alimente Safari et de nombreuses applications iOS, ce qui en fait une large surface d’attaque. Les failles permettaient l’exécution de code arbitraire via du contenu web malveillant, avec un risque qui s’étend au simple affichage d’e‑mails HTML dans Apple Mail. Apple confirme une exploitation active de ces vulnérabilités. ...

Selon The Register, des chercheurs de Wiz ont dévoilé “CodeBreach”, une vulnérabilité de chaîne d’approvisionnement dans AWS CodeBuild due à des regex non ancrées dans les filtres de webhooks (ACTOR_ID), permettant de contourner les protections sur les pull requests non fiables. AWS a corrigé en septembre après divulgation en août et déclare qu’aucun environnement client ou service AWS n’a été impacté. Nature du problème: regex ACTOR_ID non ancrées (manque des caractères ^ et $) dans des projets CodeBuild publics connectés à GitHub. Cela autorisait des bypass de l’allowlist des mainteneurs si l’ID GitHub de l’attaquant contenait (superstring) l’ID autorisé. Wiz qualifie l’ensemble de “CodeBreach” et estime que l’impact potentiel aurait pu être “plus grave que SolarWinds”, touchant jusqu’au SDK JavaScript AWS utilisé par 66 % des environnements cloud, y compris la Console AWS. ...

Source : Eaton, 14 janvier 2026 — Dans un billet de recherche, Eaton détaille la découverte et la divulgation de vulnérabilités critiques dans BLUVOYIX, la plateforme SaaS de logistique maritime de Bluspark Global, utilisée par environ 500 entreprises. Ces failles permettaient une prise de contrôle complète de la plateforme, l’accès à toutes les données et expéditions (certaines depuis 2007) et même l’annulation de shipments. Les problèmes étaient corrigés à la date de publication. 🚢 ...

BleepingComputer rapporte qu’une démonstration de chercheurs révèle qu’un simple clic sur un lien proxy Telegram (t.me/proxy) déguisé peut exposer l’adresse IP réelle d’un utilisateur, en raison d’un test de connexion automatique effectué par les clients Android et iOS. Le comportement en cause: l’ouverture d’un lien proxy Telegram (t.me/proxy?server=…&port=…&secret=…) déclenche sur mobile un test de connexion automatique vers le serveur indiqué, avant même l’ajout du proxy et sans confirmation supplémentaire. Cette requête part directement depuis l’appareil et peut contourner les proxys déjà configurés, permettant à l’opérateur du proxy de journaliser l’IP réelle de l’utilisateur. ...