Posts

Selon un avis de sécurité publié par CrowdStrike (crowdstrike.com), l’éditeur a diffusé des correctifs pour deux vulnérabilités affectant le Falcon Sensor pour Windows, pouvant permettre à un attaquant ayant déjà la capacité d’exécuter du code de supprimer des fichiers de manière arbitraire. • Vulnérabilités et sévérité: CVE-2025-42701 (Race Condition/TOCTOU) — Score CVSS 5.6 (Medium). CVE-2025-42706 (Logic Error) — Score CVSS 6.5 (Medium). Ces failles peuvent entraîner des problèmes de stabilité ou de fonctionnalité du capteur Falcon pour Windows, ou d’autres logiciels du système, y compris l’OS. • Produits concernés et exclusions: ...

Selon Doyensec (référence: blog.doyensec.com, 8 oct. 2025), une analyse d’exploitation de CVE-2025-37947 décrit comment un défaut d’“out-of-bounds write” dans la fonction ksmbd_vfs_stream_write (avec le module stream_xattr activé) permet à un utilisateur authentifié d’écrire 8 octets au-delà d’un tampon alloué, menant à une élévation de privilèges locale sur Ubuntu 22.04 LTS (kernel 5.15.0-153-generic) avec durcissements activés. 🐛 Le bug survient quand position > XATTR_SIZE_MAX (65 536), la fonction alloue via kvzalloc() mais ne valide pas correctement les bornes lors d’un memcpy(), ouvrant la voie à une corruption mémoire contrôlée. Les chercheurs ont montré un contournement de protections courantes (KASLR, SMAP, SMEP, HARDENED_USERCOPY) et l’obtention de primitives de lecture/écriture arbitraires en noyau, culminant par l’exécution d’une chaîne ROP pour root. ...

Selon Zenity Labs, cette analyse détaille les risques de sécurité liés à la nouvelle plateforme OpenAI AgentKit pour concevoir des workflows d’agents, couvrant son architecture (Agent Builder, Connector Registry via MCP, ChatKit) et ses mécanismes de sécurité intégrés. L’article décrit l’architecture node-based d’Agent Builder, avec des nœuds principaux (Agent, Start, End), des nœuds d’outils (dont des Guardrails pour la détection PII et jailbreak) et des nœuds logiques (conditionnels, boucles, User Approval). Le Connector Registry étend les agents via des connecteurs MCP vers des services externes, et ChatKit fournit l’intégration UI. ...

Sophos publie son rapport annuel « State of Ransomware in Healthcare 2025 », basé sur une enquête auprès de 292 organisations de santé, mettant en lumière des évolutions marquantes des tactiques et impacts des attaquants. – Principaux constats: le chiffrement de données ne survient plus que dans 34% des attaques (contre 74% en 2024), tandis que les attaques d’extorsion sans chiffrement montent à 12% (contre 4% en 2022). Les vulnérabilités exploitées deviennent la première cause technique des intrusions (33%), supplantant les attaques basées sur des identifiants compromis. 🔓 ...

Rapid7 publie une recherche détaillée sur Russian Market, un marché cybercriminel actif depuis 2020, devenu un pôle majeur pour la vente de logs d’infostealers. Au premier semestre 2025, plus de 180 000 logs y ont été proposés, avec une concentration d’environ 70% des ventes entre trois vendeurs clés et une provenance d’identifiants touchant des organisations du monde entier (26% États‑Unis, 23% Argentine). Le rapport souligne la résilience de l’écosystème face aux perturbations policières et insiste sur la nécessité de surveiller les identifiants, d’activer la MFA et d’utiliser une veille proactive. 🕵️‍♂️ ...

Source: Arctic Wolf — SonicWall a conclu son enquête sur l’exposition de fichiers de sauvegarde de configuration stockés dans les comptes MySonicWall, confirmant que tous les clients utilisant la sauvegarde cloud sont affectés. L’incident est critique car ces fichiers contiennent des identifiants sensibles historiquement exploités par des groupes étatiques et des rançongiciels. • Impact et nature de l’exposition: Les sauvegardes de configuration de pare-feu exposées incluent des informations sensibles telles que les paramètres d’utilisateurs/groupes/domaines, la configuration DNS, des certificats et des identifiants. Les acteurs malveillants peuvent viser ces données pour un accès non autorisé aux environnements protégés. 🚨 ...

Source : Sekoia.io (Threat Detection & Research), rapport publié le 8 oct. 2025 et basé sur des observations de honeypots dès le 22 juil. 2025 ; l’article, initialement privé, décrit des campagnes de smishing diffusées via des API de routeurs cellulaires Milesight exposées. Les honeypots ont vu des requêtes POST vers /cgi pour l’envoi d’SMS (paramètres JSON de type query_outbox/inbox), avec un ciblage marqué de la 🇧🇪 (messages en FR/NL, numéros +32, typosquatting de CSAM/eBox). Des campagnes de masse ont aussi touché 🇸🇪 (42 044 numéros) et 🇮🇹 (31 353), tandis que 🇫🇷 a été visée par des leurres variés (santé, colis, bancaire). Les premiers envois malveillants remontent à févr. 2022, suggérant une exploitation durable par plusieurs acteurs. ...

Selon Huntress (billet de blog), une campagne active depuis août 2025 cible des serveurs web exposant phpMyAdmin mal configuré, avec un enchaînement d’outils légitimes et de malwares menant au déploiement de Ghost RAT. Plus de 100 systèmes compromis ont été observés, majoritairement à Taïwan, au Japon, en Corée du Sud et à Hong Kong, suggérant un ciblage à motivations géopolitiques par un acteur Chine‑nexus. L’intrusion commence par l’exploitation de phpMyAdmin sur XAMPP/MariaDB via injection SQL pour activer le « general query logging » et rediriger la sortie des logs vers un fichier PHP accessible depuis le web. Les attaquants injectent ensuite un web shell PHP (eval) dans les logs, ouvrant une porte dérobée pilotée via AntSword (terminal virtuel) — une technique d’empoisonnement des logs (log poisoning) et de log injection. 🐚 ...

Source: Fortinet (FortiGuard Labs) — FortiGuard Labs publie une analyse de l’évolution de la famille Chaos et décrit une nouvelle variante C++ qui s’éloigne pour la première fois des implémentations .NET. Cette version met l’accent sur des tactiques plus destructrices et rapides: détournement du presse‑papiers pour voler des cryptomonnaies, chiffrement hybride (AES‑256‑CFB ou RSA, avec repli XOR) et suppression anti‑récupération lorsque les privilèges administrateur sont disponibles. FortiGuard indique fournir des protections via des signatures sur FortiGate, FortiMail, FortiClient et FortiEDR. ...

Selon Cyber Security News, Oracle a émis une alerte de sécurité d’urgence concernant la vulnérabilité critique CVE‑2025‑61882 (CVSS 9.8) dans E‑Business Suite, exploitée par le groupe Cl0p pour extorquer des clients n’ayant pas patché. La faille permet une exécution de code à distance sans authentification et affecte notamment l’intégration Business Intelligence Publisher sur les versions 12.2.3 à 12.2.14, avec des exploits publics déjà disponibles. Des chercheurs de Tenable indiquent que la vulnérabilité du composant Oracle Concurrent Processing permet l’exécution de code arbitraire à distance sans identifiants, rendant la faille particulièrement attractive pour les cybercriminels. La combinaison de la large base installée d’Oracle EBS et de la sévérité de la vulnérabilité est présentée comme un facteur de risque majeur. ...