Posts

Un article publié par Galactic Advisors met en lumière deux vulnérabilités critiques dans l’outil Network Detective de RapidFire Tools, une filiale de Kaseya. La première vulnérabilité concerne le stockage de mots de passe en clair dans des fichiers temporaires non protégés sur l’appareil exécutant l’analyse. Cela permet à un attaquant ayant accès à la machine de récupérer facilement ces informations sensibles, compromettant ainsi la sécurité des infrastructures clientes. La deuxième vulnérabilité est liée à une méthode de chiffrement réversible utilisée par Network Detective. L’outil utilise des valeurs statiques intégrées pour chiffrer les données, ce qui permet à quiconque ayant accès à l’outil ou aux données chiffrées de décrypter facilement les mots de passe. ...

L’article publié par Cofense met en lumière une augmentation de 19 fois des campagnes malveillantes lancées à partir de domaines .es, faisant de ce TLD le troisième le plus utilisé pour ces attaques après .com et .ru. Depuis janvier, 1 373 sous-domaines hébergent des pages web malveillantes sur 447 domaines de base en .es. 99 % de ces campagnes sont axées sur le phishing d’identifiants, tandis que le reste distribue des trojans d’accès à distance (RAT) comme ConnectWise RAT, Dark Crystal et XWorm. ...

L’article publié par The Record rapporte que la CISA (Cybersecurity and Infrastructure Security Agency) americaine a fixé un délai d’un jour pour que les agences fédérales corrigent des vulnérabilités connues et exploitées dans Citrix Netscaler. (CVE-2025-5777 aka Citrix Bleed 2) Ce délai est le plus court jamais imposé par l’agence, qui accorde habituellement trois semaines pour de telles actions. La décision de la CISA souligne l’urgence et la gravité des vulnérabilités identifiées, nécessitant une réponse rapide des agences pour prévenir des attaques potentielles. Les détails spécifiques sur les vulnérabilités concernées ne sont pas fournis dans l’extrait, mais l’accent est mis sur l’importance de la réactivité face aux menaces cybernétiques. ...

Cet article, publié par Quarkslab, décrit une compromission d’une instance Confluence hébergée sur une machine virtuelle EC2 dans un compte AWS lors d’un engagement Red Team. Bien que l’équipe ait compromis la machine hébergeant Confluence, elle n’avait pas d’accès applicatif direct mais a pu interagir avec la base de données sous-jacente. L’article détaille comment l’équipe a exploré la structure de la base de données Confluence et les mécanismes de génération de tokens API. Plusieurs méthodes ont été envisagées pour obtenir un accès privilégié sans utiliser de identifiants valides, notamment en modifiant des mots de passe d’utilisateurs, en créant de nouveaux comptes administrateurs, ou en générant des tokens API. ...

Security Explorations, un laboratoire de recherche, a mené une analyse de sécurité sur la technologie eSIM, révélant une compromission des cartes eUICC de Kigen. Cette découverte remet en question les affirmations de sécurité de Kigen, qui prétend que ses eSIM sont aussi sécurisées que les cartes SIM traditionnelles grâce à la certification GSMA. L’attaque a permis de compromettre des cartes eUICC en accédant physiquement à la carte et en connaissant les clés nécessaires pour installer des applications Java malveillantes. Un vecteur d’attaque à distance via le protocole OTA SMS-PP a également été démontré. Cela prouve l’absence de sécurité pour les profils eSIM et les applications Java sur ces cartes. ...

Selon un article publié par Bleeping Computer, le plugin populaire Gravity Forms pour WordPress a été victime d’une attaque de la chaîne d’approvisionnement. Cette attaque a compromis les installateurs manuels disponibles sur le site officiel, en les infectant avec une porte dérobée. Gravity Forms est largement utilisé par les sites WordPress pour créer des formulaires personnalisés. L’attaque a ciblé spécifiquement les utilisateurs qui téléchargeaient et installaient manuellement le plugin depuis le site officiel, insérant un code malveillant dans le processus d’installation. ...

L’article publié par Cameron Stish sur GuidePoint Security relate la découverte et l’impact de la vulnérabilité CVE-2025-33073, une attaque par réflexion Kerberos qui affecte les environnements Active Directory. La découverte a commencé par un accident de laboratoire lorsque l’auteur travaillait sur des techniques de relai Kerberos. En configurant un environnement de test avec un contrôleur de domaine et des services de certificats Active Directory, il a découvert une méthode permettant de contourner les protections existantes et d’accéder à des informations sensibles, comme le Security Accounts Manager (SAM). ...

L’article de Bloomberg réporté par Next.ink met en lumière un audit sévère du Système d’Information Schengen II (SIS II), un logiciel crucial pour la gestion des données de sécurité aux frontières de l’espace Schengen. Des milliers de failles ont été découvertes, notamment des vulnérabilités de gravité « élevée ». L’audit a révélé un nombre excessif de comptes administrateurs et des accès non autorisés à la base de données par 69 membres de l’équipe de développement sans habilitation de sécurité. ...

L’article publié par The Record met en lumière une affaire d’espionnage d’entreprise impliquant un avocat du cabinet Dechert. Le contexte : L’affaire s’étend sur plusieurs continents et révèle les pratiques obscures du monde de l’espionnage d’entreprise et des hackers mercenaires. Elle concerne un complot présumé orchestré par un avocat du cabinet Dechert pour pirater les comptes de Azima au profit d’un de ses clients. Les faits : L’avocat est accusé d’avoir planifié et exécuté une attaque pour accéder illégalement aux comptes d’un individu, Azima, dans le cadre d’une opération d’espionnage d’entreprise. Cette affaire illustre les méthodes utilisées par certains cabinets d’avocats pour obtenir des informations confidentielles pour leurs clients. ...

Dans un article publié par Modzero, une vulnérabilité critique a été découverte dans l’application Synology Active Backup for Microsoft 365 (ABM) qui permettait l’accès non autorisé à tous les locataires Microsoft des organisations utilisant ce service. Cette faille, identifiée comme CVE-2025-4679, a été signalée à Synology. L’impact de cette vulnérabilité est significatif, car elle pourrait être exploitée par des acteurs malveillants pour obtenir des informations potentiellement sensibles, telles que tous les messages dans les canaux de Microsoft Teams. Cela fait de l’application un cible idéale pour des attaques ultérieures, notamment par abus de crédentiels ou ingénierie sociale. ...