Posts

Selon Darktrace, une campagne multi‑phases cible les appliances FortiGate via trois vulnérabilités critiques SSL‑VPN permettant une exécution de code à distance sans authentification, avec un enchaînement allant de la compromission initiale à l’escalade de privilèges et à l’accès RDP. • Vulnérabilités exploitées et impact: les failles CVE‑2022‑42475 et CVE‑2023‑27997 (dépassement de tampon sur le tas) et CVE‑2024‑21762 (écriture hors limites dans le démon sslvpnd) sont utilisées pour obtenir une RCE sans authentification sur FortiOS SSL‑VPN et accéder de façon non autorisée à des FortiGate. ...

Selon foreignaffairs.com, Anne Neuberger soutient que la Chine a pris un net avantage dans l’espace cyber, illustré par l’opération « Salt Typhoon » contre des opérateurs télécoms américains, et plaide pour une nouvelle stratégie de dissuasion américaine fondée sur des défenses alimentées par l’IA et des capacités offensives clairement signalées. — Salt Typhoon et portée de la menace — • L’opération « Salt Typhoon » a permis à des acteurs liés à l’État chinois de pénétrer profondément des réseaux télécoms américains, de copier des conversations et de bâtir une capacité de suivi des déplacements d’agents du renseignement et des forces de l’ordre. L’ampleur complète de l’accès obtenu resterait incertaine. • Au-delà de l’espionnage télécoms, des malwares chinois ont été découverts dans des systèmes d’énergie, d’eau, d’oléoducs et de transport aux États-Unis, suggérant un prépositionnement pour sabotage visant à perturber la vie quotidienne et les opérations militaires en cas de crise. ...

Selon BleepingComputer, des hackers ont diffusé les données volées de l’assureur américain Allianz Life, confirmant une vague d’attaques visant Salesforce et impliquant ShinyHunters, avec des revendications d’alignement avec Scattered Spider et Lapsus$. • Impact et contexte 🧾 — Allianz Life avait dévoilé en juillet qu’une « majorité » de ses 1,4 M de clients avait été affectée par un vol de données depuis un CRM cloud tiers (le fournisseur n’a pas été nommé). Les acteurs ont depuis publié les bases complètes dérobées aux instances Salesforce de l’entreprise. Les attaquants ont aussi ouvert un canal Telegram « ScatteredLapsuSp1d3rHunters » pour revendiquer plusieurs intrusions, notamment chez Internet Archive, Pearson et Coinbase. ...

Le CERT Coordination Center (SEI/Carnegie Mellon) publie la Vulnerability Note VU#767506 (mise en ligne le 2025-08-13, révisée le 2025-08-14) décrivant « MadeYouReset » (CVE-2025-8671), une vulnérabilité affectant de nombreuses implémentations HTTP/2 et permettant des attaques par déni de service au moyen de frames de contrôle. Des CVE spécifiques à certains produits existent, comme CVE-2025-48989 pour Apache Tomcat. 🚨 La vulnérabilité repose sur un décalage entre la spécification HTTP/2 et l’architecture interne de nombreux serveurs : après qu’un flux est annulé (reset), des implémentations continuent à traiter la requête et à calculer la réponse sans l’envoyer. Un attaquant peut provoquer des resets de flux côté serveur à l’aide de frames malformées ou d’erreurs de contrôle de flux, créant un écart entre le comptage des flux HTTP/2 (qui les considère fermés) et le nombre réel de requêtes HTTP encore en traitement en backend. Résultat : un nombre non borné de requêtes peut être traité sur une seule connexion, menant à une surcharge CPU ou une épuisement mémoire et donc à un DoS/DDoS. La faille est similaire à CVE-2023-44487 (« Rapid Reset »), mais ici l’abus exploite des resets déclenchés côté serveur. ...

Source: Huntress — Contexte: billet de blog décrivant un incident récent où le ransomware KawaLocker (KAWA4096) a été déployé dans un environnement client, avec chronologie, outils utilisés et «breadcrumbs» de détection. Huntress a observé début août un accès initial via RDP à l’aide d’un compte compromis (08/08). Le threat actor a déployé kill.exe et l’outil HRSword (Huorong) pour surveiller le système et identifier/neutraliser des outils de sécurité (usage de tasklist.exe | find). Des services Windows associés à ces solutions ont ensuite crashé. Deux drivers noyau signés Huorong — sysdiag.sys et hrwfpdr.sys — ont été installés puis supprimés via sc.exe (sc start/stop/delete), confirmant l’usage d’outils liés à Beijing Huorong Network Technology. ...

Selon DataBreachToday.eu, une intrusion a visé le réseau de la Chambre des communes du Canada, compromettant une base sensible contenant des informations de localisation de bureaux et des données personnelles d’élus et d’employés. Un courriel interne obtenu par CBC News indique que la base contenait des informations utilisées pour gérer des ordinateurs et des mobiles, compromises via l’exploitation d’une vulnérabilité récente Microsoft. Le Bureau du Président (House of Commons) a déclaré travailler avec ses partenaires de sécurité nationale et n’a pas donné plus de détails pour des raisons de sécurité. ...

Selon Reuters, une action collective a été déposée mardi devant un tribunal de l’État de New York contre le cabinet d’avocats américain Kelley Drye & Warren, à la suite d’une cyberattaque survenue en mars. Le recours allègue une fuite de données ayant exposé des données personnelles de « milliers » de personnes, incluant des clients actuels et anciens, des employés et d’autres individus. Les informations compromises incluent notamment : Noms Dates de naissance Numéros de sécurité sociale (SSN) Numéros de permis de conduire Le cabinet aurait indiqué avoir récupéré les données volées et affirme avoir « un haut degré de confiance que les données ne seront jamais publiées, divulguées ou utilisées ». ...

Source: TRM Labs — Dans le cadre d’une enquête fédérale, la DEA et des procureurs américains ont démantelé un schéma de blanchiment lié à un cartel, aboutissant à la saisie de 5,5 M$ en USDT et mettant en lumière des techniques d’obfuscation sur plusieurs blockchains. L’enquête montre que des organisations de trafic de drogue s’appuyaient sur des courtiers financiers pour convertir des produits illicites en cryptomonnaies, recourant à des portefeuilles non hébergés et à des opérations cross-chain pour masquer l’origine des fonds. Cette affaire souligne l’importance de combiner techniques d’enquête traditionnelles et analyses blockchain avancées afin de perturber des réseaux financiers criminels complexes. ...

SecurityAffairs rapporte que la Police de sécurité norvégienne (PST) attribue à des hacktivistes pro‑russes la prise de contrôle d’un barrage en avril 2025 en Norvège, une action qualifiée de démonstrative visant à influencer et à semer l’inquiétude plutôt qu’à détruire. Le 7 avril, des attaquants ont pris la main sur un barrage à Bremanger (ouest de la Norvège) et ont ouvert une vanne d’évacuation, libérant environ 500 litres d’eau par seconde pendant quatre heures, avant d’être stoppés. Aucune victime n’a été signalée. L’incident met en lumière la sensibilité de l’infrastructure énergétique hydraupouvoir du pays. 💧⚡ ...

Selon Reuters (13 août), les autorités américaines utilisent des traceurs de localisation dissimulés dans des expéditions ciblées de matériel IA pour faire respecter les contrôles à l’export, face aux risques de détournement vers des destinations restreintes comme la Chine. Des personnes directement informées indiquent que ces traceurs visent des expéditions à haut risque et servent à détecter des détournements de puces IA et de serveurs. Cette pratique, déjà utilisée par le passé pour d’autres biens soumis à contrôle (ex. pièces d’avion), a été appliquée aux semi-conducteurs ces dernières années afin d’étayer des dossiers contre des individus et entreprises qui enfreignent les contrôles à l’export. ...