Posts

🔍 Contexte CrowdSec publie le 1er juin 2026 une analyse de la vulnérabilité CVE-2026-4020 affectant le plugin WordPress Gravity SMTP développé par RocketGenius. La vulnérabilité a été publiée le 31 mars 2026, la couverture de détection CrowdSec déployée le 22 mai, et la première exploitation in-the-wild observée le 27 mai 2026. ⚙️ Mécanisme technique La faille réside dans un endpoint REST API exposé sans contrôle d’accès approprié. L’endpoint /wp-json/gravitysmtp/v1/tests/mock-data?page=gravitysmtp-settings est accessible sans authentification car la vérification de permission retourne systématiquement true. ...

🗓️ Contexte Source : BleepingComputer, publié le 31 mai 2026. Des acteurs malveillants exploitent activement une vulnérabilité critique dans le plugin WordPress WP Maps Pro, permettant la création de comptes administrateurs sans authentification. 🔍 Vulnérabilité CVE : CVE-2026-8732, sévérité critique Produit affecté : WP Maps Pro versions 6.1.0 et antérieures (plugin premium WordPress, +15 800 ventes sur Envato Market) Découverte : Chercheur en sécurité David Brown, signalée à Wordfence le 24 mars, vendeur notifié le 16 mai Correctif : Version 6.1.1 publiée le 20 mai 2026 ⚙️ Mécanisme d’exploitation La vulnérabilité réside dans une fonctionnalité d’accès temporaire destinée au support vendeur : ...

🔍 Contexte Publié le 30 mai 2026 par Silent Push, cet article de recherche présente la découverte et l’analyse d’un nouvel acteur de la menace baptisé DriveSurge, opérant comme Initial Access Broker (IAB) selon un modèle Pay-Per-Install (PPI). 🎯 Acteur et mode opératoire DriveSurge a compromis des milliers de sites web légitimes en y injectant du code JavaScript malveillant. Ces sites redirigent silencieusement les visiteurs via un Traffic Distribution System (TDS) open-source appelé zTDS (version 1.0.3, disponible depuis 2015 sur ztds[.]info). Le TDS profile les visiteurs et leur sert l’une des deux attaques suivantes : ...

🔍 Contexte Publié le 27 mai 2026 par Netcraft (auteure : Ginny Spicer), cet article présente une analyse technique d’une vague d’attaques de device code phishing propulsées par le toolkit EvilTokens, ainsi qu’une campagne connexe baptisée GhostPairing ciblant les messageries sécurisées. ⚙️ Mécanisme d’attaque EvilTokens EvilTokens abuse du flux d’autorisation par code d’appareil OAuth 2.0 : L’attaquant vérifie l’existence d’un compte cible via l’endpoint GetCredentialType sur login.microsoftonline.com Une lure est envoyée à la victime contenant une URL ou pièce jointe « nécessitant une authentification » La page malveillante génère un device code au moment du chargement (réinitialisant le délai d’expiration de 15 minutes de Microsoft) La victime entre le code sur l’URL de vérification légitime (ex. microsoft.com/devicelogin) Le client de l’attaquant, en polling sur l’endpoint token, reçoit des access et refresh tokens lui donnant un accès API persistant sous l’identité de la victime Le toolkit intègre : copie automatique du code dans le presse-papiers, design responsive pour mobile, mécanisme anti-bot (case à cocher), et des mécanismes anti-analyse (désactivation du clic droit, obfuscation JavaScript multi-couches, collecte d’informations via ipinfo.io). ...

🔍 Contexte Source : BleepingComputer, publié le 30 mai 2026. Palo Alto Networks a mis à jour son advisory pour signaler l’exploitation active de CVE-2026-0257, une vulnérabilité de contournement d’authentification affectant PAN-OS GlobalProtect (portail et passerelle VPN). 🐛 Vulnérabilité CVE-2026-0257 : contournement des restrictions de sécurité permettant d’établir des connexions VPN non autorisées Sévérité initialement Medium, rehaussée à High suite à l’exploitation active Condition d’exploitation : dispositifs configurés avec les authentication override cookies activés et une configuration de certificat spécifique La faille réside dans la validation des cookies d’override : PAN-OS déchiffre ces cookies avec une clé privée configurée et fait confiance au contenu déchiffré sans vérification de signature Si le même certificat est réutilisé pour les services HTTPS et les cookies d’override, un attaquant peut récupérer la clé publique via la session HTTPS et forger des cookies valides 📅 Chronologie des attaques 17 mai 2026 : première exploitation observée (selon Rapid7) 18 mai 2026 : première vague détectée depuis une infrastructure hébergée par Vultr 21 mai 2026 : deuxième vague détectée, originaire de Dromatics Systems 29 mai 2026 : ajout au catalogue CISA KEV 1er juin 2026 : date limite imposée aux agences fédérales américaines pour mitiger la faille 🎯 Méthode d’attaque Authentification aux passerelles GlobalProtect via des cookies d’override forgés ciblant le compte administrateur local Dans certains cas, connexion VPN établie avec succès, donnant accès aux réseaux internes Dans d’autres cas, le cookie forgé est accepté mais la session VPN complète ne peut être établie Aucun mouvement latéral observé par Rapid7 depuis les dispositifs compromis Rapid7 a développé un proof-of-concept démontrant la récupération des certificats publics, la génération de cookies forgés et l’authentification sans credentials valides 🏢 Impact Exploitation confirmée contre de nombreux clients de Rapid7 MDR Cible : réseaux d’entreprise utilisant GlobalProtect VPN non patché 📄 Type d’article Alerte de sécurité combinant un rapport d’exploitation active. But principal : informer les organisations de l’exploitation en cours de CVE-2026-0257 et documenter les conditions techniques de la vulnérabilité. ...

🔍 Contexte Publié le 27 mai 2026 par Unit 42 (Palo Alto Networks), cet article de recherche examine l’évolution des tactiques d’extorsion cybercriminelle, en particulier la tendance croissante aux campagnes de vol de données pur (sans ransomware), qui exercent une pression financière sur les victimes sans chiffrement de leurs systèmes. 📊 Tendances clés identifiées en 2025 Les campagnes de pure exfiltration de données ont fortement ciblé les secteurs des Services Professionnels, de la Santé et des Services aux Consommateurs. Les organisations de taille intermédiaire (mid-sized) représentent 64% des victimes de ces campagnes. Le secteur de la Construction a enregistré une hausse de 44% en glissement annuel comme cible d’extorsion basée uniquement sur les données. Le secteur Manufacturier reste le plus perturbé globalement, toutes menaces confondues. 🎯 Motivations et attractivité des cibles Les entreprises du secteur de la Construction sont ciblées en raison de la valeur de leurs données financières, plans et données d’appels d’offres, combinée à des contrôles de sortie de données (data egress) insuffisants. ...

🗓️ Contexte Source : HaveIBeenPwned (haveibeenpwned.com/Breach/AtlasMenu), publié le 31 mai 2026. L’incident concerne Atlas Menu, un service de cheat (triche) pour les jeux vidéo GTA V et CS2. 🔓 Nature de l’incident En mai 2026, un attaquant a revendiqué avoir obtenu un accès total aux systèmes d’Atlas Menu et a publié la base de données du service dans un dépôt GitHub public, rendant les données accessibles à tous. 📊 Données exposées L’incident a compromis les informations suivantes pour 64 000 adresses e-mail uniques : ...

🔍 Contexte Analyse publiée le 27 mai 2026 par le KELA Cyber Intelligence Center, portant sur le groupe Infrastructure Destruction Squad (IDS), actif depuis au moins juin 2025 et toujours opérationnel en mai 2026. Le groupe opère principalement via Telegram et le forum PWN Forums. 🎭 Profil du groupe Infrastructure Destruction Squad se présente comme un collectif hacktivist politiquement motivé, mais ses activités révèlent un profil criminel à but lucratif. Le groupe revendique des membres principalement en Chine, ainsi qu’en Russie, Biélorussie et aux États-Unis. Il communique en anglais, russe et chinois, et affiche des positions pro-Chine, anti-États-Unis, anti-Israël, pro-palestiniennes et anti-Inde/pro-Pakistan. ...

📰 Source : BleepingComputer Forums — publié le 29 mai 2026 (dernière édition le 26 mai 2026 par quietman7) Contexte Le forum de support BleepingComputer documente l’évolution du groupe MedusaLocker vers une nouvelle version de leur ransomware : MedusaLocker3, également connu sous le nom FarAttack. Cette version est développée en Rust, ce qui constitue un changement technique notable par rapport aux versions précédentes. Comportement et déploiement Les acteurs malveillants déploient MedusaLocker3/FarAttack conjointement avec GlobeImposter 2.0 lors des mêmes attaques. Les deux malwares utilisent les mêmes extensions de fichiers chiffrés (.savelock**, .busavelock**, .itlock**), rendant leur distinction difficile. La seule méthode fiable pour différencier les fichiers chiffrés par l’un ou l’autre est l’analyse de la structure de pied de fichier (footer), documentée par le chercheur Demonslay335 (Michael Gillespie). L’accès initial documenté dans un cas inclus dans le fil est un compromis RDP suivi de l’utilisation de Mimikatz, de la désinstallation de l’antivirus et de Windows Defender via Defender Control. Extensions de fichiers chiffrés (liste non exhaustive) MedusaLocker3 utilise un très grand nombre d’extensions numériques variables, parmi lesquelles : .farattack, .chipslock, .Chuklock, .filesencrypted, .onelock, .marlock**, .allock**, .itlock**, .olsavelock**, .savelock**, .busavelock**, .meduza**, .readtext**, .encrypted**, .hazard**, .cipher**, .locknet, .crypto**, .zombi**, .bulock**, .doctorhelp, .recovery**, .lock**, .rapid**, .genesis**, .duralock**, .locked**, .destroy**, .attackfiles, .repair, .virus**, .nett, .run**, .pomoch**, .pomochit**, .lockfile**, .attacknew**, .foxtrot**, .foxfort**, .solution247, .247_davidhasselhoff, .spider**, .root**, .infected, .destry**, .darkdev, .gonzofortuna, .wehavesolution**, .allciphered**, .luck_**, .bbuild, .hyena**, .lucky**, .M142HIMARS, .blackheart**, .crypt**, .danger**, .ETHAN, .jackalock, .pedro, .cyberhazard**, .CRFILE**, .rans**, .cryptdata, .datarip, .ololo, .PuId**, .ApRBwPQG, .delocker**, .dataleak**, .cybertron**, .jackpot**, .jacobmccole1967@onionmail_com, .taro, .solutionwehave**, .befirst**, .Stolen**, .246510179, .prey**, .trap**, .BAGAJAI, .BAFAIAI, .ripper**, .KARMA, .happy**, .Venere**, .end**, .chip**, .strike**, .raptum**, .zollo**, .bear**, .BASANAI, .net**, .dominus**, .BARADAI, .BAVACAI, .friends** ...

📰 Source : The Cyber Express | Date de publication : 29 mai 2026 | Date de divulgation des CVE : 26 mai 2026 Les développeurs de Notepad++ ont publié la version 8.9.6.1 pour corriger trois vulnérabilités de sécurité affectant toutes les versions jusqu’à 8.9.6. Les failles ont été divulguées le 26 mai 2026. 🔴 CVE-2026-48778 — RCE critique (CWE-78 : OS Command Injection) La vulnérabilité la plus sévère réside dans le traitement du fichier config.xml, spécifiquement le paramètre <GUIConfig name="commandLineInterpreter">. Ce paramètre est lu sans validation, sans vérification d’intégrité et sans restriction par liste blanche. Lorsqu’un utilisateur active la fonctionnalité “Open Containing Folder in cmd”, l’application utilise ce paramètre non sanitisé, permettant à un attaquant de substituer l’exécutable attendu par un programme arbitraire. Un proof-of-concept a démontré l’exécution de calc.exe à la place de l’invite de commandes. La faille présente une faible complexité d’attaque et ne nécessite pas de privilèges élevés. ...