Posts

Selon multi, TriZetto Provider Solutions (TPS), prestataire de services de facturation pour des organismes de santé, a publié un avis concernant un incident de cybersécurité ayant touché certaines informations de santé protégées (PHI) de patients de certains clients fournisseurs de soins. Ce qui s’est passé 🕵️‍♂️: Le 2 octobre 2025, TPS a détecté une activité suspecte sur un portail web utilisé par certains clients pour accéder à ses systèmes. TPS a immédiatement lancé une enquête, pris des mesures de mitigation, fait appel à des experts externes en cybersécurité et notifié les forces de l’ordre. Périmètre et impact 🔐: ...

Selon Socket (Threat Research Team), un module Go malveillant imitant le dépôt de confiance golang.org/x/crypto — publié comme github[.]com/xinfeisoft/crypto — a été découvert avec une porte dérobée insérée dans ssh/terminal/terminal.go. Cette usurpation cible un composant fondamental de l’écosystème Go afin de collecter des secrets saisis via ReadPassword et de livrer une chaîne d’infection Linux. — Détail du leurre et de l’implant — Technique d’usurpation (« namespace confusion »): clone du code x/crypto avec faible modification apparente, ajoutant notamment la dépendance github.com/bitfield/script pour faciliter les requêtes HTTP et l’exécution de commandes. Backdoor dans ReadPassword: capture du secret, écriture locale dans /usr/share/nano/.lock, récupération d’un pointeur d’“update” hébergé sur GitHub Raw, exfiltration du mot de passe via HTTP POST, puis exécution d’un script reçu côté attaquant via /bin/sh. Écosystème et persistance: l’acteur utilise un fichier update.html sur GitHub comme canal de configuration (rotation d’URL sans republier le module). Le module a été servi par le miroir public Go jusqu’au 16 décembre 2025; la Go security team le bloque désormais via le proxy (403 SECURITY ERROR), tandis que le compte GitHub de l’éditeur reste public au moment de la rédaction. — Chaîne d’exécution Linux et charges — ...

Selon WIRED Middle East (28 février 2026), au moment de frappes aériennes israéliennes et américaines en Iran, l’app de prière BadeSaba Calendar (5+ millions de téléchargements sur Google Play) a diffusé des notifications push non sollicitées appelant des forces iraniennes à se rendre, avec le titre récurrent « Help is on the way ». — Contexte et faits principaux Type d’attaque : compromission d’une application mobile et abus du canal de notifications push. Produit concerné : BadeSaba Calendar (application de calcul des horaires de prière). Timeline : premières notifications à 9h52 (heure de Téhéran), sur ~30 minutes, avec des messages promettant l’« amnistie » en cas de reddition et appelant à rejoindre des « forces de libération ». Attribution : aucune revendication. Des analystes (Miaan Group) confirment la réception de notifications mais jugent l’attribution « complexe » et prématurée. Analyse d’expert : Morey Haber (BeyondTrust) estime que la compromission a probablement été préparée en amont et que le déclenchement a été stratégiquement synchronisé avec les frappes. — Impact et portée ...

Source et contexte — VulnCheck: Le « VulnCheck Exploit Intelligence Report 2026 » rétrospecte l’exploitation des vulnérabilités en 2025 sur la base de 500+ sources et de jeux de données maison (KEV, XDB, Canaries). L’objectif est de prioriser le « ground truth » d’exploitation réelle plutôt que le bruit généré par la masse de CVE et de PoC, notamment dopée par l’IA. • Chiffres clés (2025) 🚨 48 174 CVE publiées dont 83% avec identifiant 2025; ~1% réellement exploitées dans la nature en fin d’année. 14 400+ exploits pour des CVE 2025 (+16,5% YoY), majoritairement des PoC publics (≈98%). 884 nouvelles vulnérabilités ajoutées au VulnCheck KEV (47,7% datées 2025) ; 29% exploitées le jour ou avant la publication CVE (vs 23,6% en 2024). 39 CVE ransomware en 2025, dont 56,4% issues de 0‑day; 1/3 sans exploit public/commercial au 01/2026. Baisse marquée des botnets (-53% de CVE ciblées), mais montée en puissance de RondoDox; Mirai en déclin. • Vulnérabilités marquantes 🧩 ...

Selon un billet technique publié le 2 mars 2026, Microsoft a modifié msv1_0.dll dans Windows Server 2025 pour empêcher la génération d’NTLMv1 côté client, rendant caduque l’attaque de coercition cross-DC suivie d’un relais vers LDAPS basée sur NTLMv1 avec ESS et suppression du MIC. Rappel de l’attaque classique: un DC victime (DC2) avec LmCompatibilityLevel mal configuré (< 3) est contraint d’authentifier vers l’attaquant (ex. via DFSCoerce), qui reçoit un NTLMv1 + ESS. L’attaquant retire le MIC (–remove-mic) et relaie vers LDAPS sur un autre DC (DC1) via ntlmrelayx, permettant la modification d’attributs sensibles comme msDS-KeyCredentialLink (Shadow Credentials) ou l’ajout d’RBCD, menant à une élévation de privilèges. ...

Selon Akamai Security Intelligence and Response Team (SIRT), une campagne active du botnet Mirai « Zerobot » exploite depuis mi-janvier 2026 des vulnérabilités récemment divulguées dans les routeurs Tenda AC1206 (CVE-2025-7544) et la plateforme d’automatisation n8n (CVE-2025-68613). C’est la première exploitation active rapportée depuis leurs divulgations respectives (juillet et décembre 2025). L’article publie des IOCs ainsi que des règles Snort et Yara. Vulnérabilités ciblées: CVE-2025-7544: débordement de pile à distance sur le point de terminaison /goform/setMacFilterCfg des Tenda AC1206 v15.03.06.23 via le paramètre deviceList, conduisant à DoS/RCE (PoC public disponible). CVE-2025-68613: RCE dans l’évaluation des expressions de n8n (versions 0.211.0 à 1.20.4, puis 1.21.1 et 1.22.0) due à l’absence de sandboxing, permettant exécution de code, lecture/écriture de fichiers, vol d’env vars et persistance avec un simple compte utilisateur non-admin (PoC public disponible). Exploitation observée (honeypots Akamai) 🧪: ...

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-02-22 → 2026-03-01. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-20127 CVSS: 10.0 EPSS: 2.19% VLAI: Critical (confidence: 0.9820) CISA: KEV ProduitCisco — Cisco Catalyst SD-WAN Manager Publié2026-02-25T16:14:20.137Z A vulnerability in the peering authentication in Cisco Catalyst SD-WAN Controller, formerly SD-WAN vSmart, and Cisco Catalyst SD-WAN Manager, formerly SD-WAN vManage, could allow an unauthenticated, remote attacker to bypass authentication and obtain administrative privileges on an affected system. This vulnerability exists because the peering authentication mechanism in an affected system is not working properly. An attacker could exploit this vulnerability by sending crafted requests to an affected system. A successful exploit could allow the attacker to log in to an affected Cisco Catalyst SD-WAN Controller as an internal, high-privileged, non-root user account. Using this account, the attacker could access NETCONF, which would then allow the attacker to manipulate network configuration for the SD-WAN fabric. ...

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-02-01 → 2026-03-01. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-1731 CVSS: N/A EPSS: 64.61% VLAI: Critical (confidence: 0.9914) CISA: KEV ProduitBeyondTrust — Remote Support(RS) & Privileged Remote Access(PRA) Publié2026-02-06T21:49:20.844Z BeyondTrust Remote Support (RS) and certain older versions of Privileged Remote Access (PRA) contain a critical pre-authentication remote code execution vulnerability. By sending specially crafted requests, an unauthenticated remote attacker may be able to execute operating system commands in the context of the site user. ...

Source: Elastic Security Labs (billet technique) — Les chercheurs détaillent une campagne ClickFix toujours active identifiée début février 2026, utilisant des sites web légitimes compromis pour livrer une chaîne d’infection en cinq étapes culminant avec MIMICRAT, un cheval de Troie d’accès à distance sur mesure. • Vecteur et leurre: la campagne compromet des sites de confiance (bincheck.io et investonline.in) pour injecter un JavaScript qui affiche une fausse vérification Cloudflare et pousse l’utilisateur à coller/exec un one-liner PowerShell depuis le presse‑papiers. Le leurre est localisé en 17 langues et a touché des victimes dans plusieurs régions (dont une université aux États‑Unis et des utilisateurs sinophones). ✅ ...

Source et contexte: ABC News (abc.net.au) rapporte qu’une cyberattaque a touché le transformateur de viande de volaille Hazeldenes à Lockwood South (centre de l’État de Victoria), entraînant l’arrêt de certaines opérations et des ruptures d’approvisionnement chez de nombreux clients. L’entreprise indique travailler avec des enquêteurs en cybersécurité et les autorités pour déterminer la cause de la cyberattaque et restaurer les opérations. Elle a coupé le Wi‑Fi sur le site et précise que, si des données étaient affectées, les personnes concernées seraient notifiées. ...