Posts

GreyNoise, via son blog, rapporte une résurgence d’exploitation de CVE-2021-43798 (Grafana) observée le 28 septembre 2025, avec 110 IP malveillantes menant des tentatives d’exploitation dans un schéma coordonné. L’activité, auparavant calme, a repris de manière nette et synchronisée. Sur le plan technique, la vulnérabilité ciblée permet des lectures arbitraires de fichiers via traversée de répertoires. Les observations montrent une convergence d’outils (empreintes TCP distinctes et au moins deux empreintes HTTP) pointant vers les mêmes trois destinations, ainsi que des indices d’intégration de chaîne d’exploitation et d’activités de reconnaissance. ...

Source: DomainTools (DTI) — Dans une analyse récente, DTI détaille une opération cybercriminelle à grande échelle ayant mis en ligne plus de 80 domaines usurpés depuis septembre 2024 pour distribuer des malwares Android et Windows orientés vers le vol d’identifiants. La campagne se distingue par une approche marketing (pixels Facebook et tracker Yandex) pour mesurer l’efficacité et les conversions, une sophistication technique modeste mais une échelle opérationnelle élevée grâce à des sites modèles et une rotation d’infrastructures. ...

Selon BleepingComputer, une nouvelle attaque baptisée « CometJacking » abuse des paramètres d’URL pour injecter des instructions cachées dans le navigateur Comet de Perplexity. L’attaque consiste à utiliser des paramètres d’URL afin de transmettre au navigateur Comet de Perplexity des instructions cachées qui ne sont pas visibles pour l’utilisateur. Ces instructions permettraient d’atteindre des données sensibles provenant de services connectés, notamment des boîtes e‑mail et des calendriers. TTPs observés: Exploitation de paramètres d’URL pour insérer des instructions cachées. Accès à des données de services connectés (e-mail, calendrier) via le navigateur Comet. Type d’article et objectif: article de presse spécialisé visant à informer sur une nouvelle technique d’attaque ciblant les intégrations du navigateur Comet. ...

Selon watchTowr Labs, une vulnérabilité critique CVE-2025-36604 affecte Dell UnityVSA jusqu’à la version 5.5.0.0.5.259, permettant une injection de commandes avant authentification; Dell a publié un correctif en 5.5.1. ⚠️ Impact et portée: Des attaquants non authentifiés peuvent exécuter des commandes arbitraires sur des appliances de stockage vulnérables, avec un risque d’accès à des données sensibles. Détails techniques: La faille réside dans la fonction getCASURL du module Perl AccessTool.pm lorsque le paramètre $type=‘login’. La variable $uri, issue directement de $r->uri() (requête HTTP), est concaténée sans sanitisation dans une chaîne ($exec_cmd) puis exécutée via des backticks Perl. Le chemin vulnérable est déclenché par la configuration Apache (PerlModule) qui enregistre AccessHandler::handler pour chaque requête. Une requête non authentifiée vers une ressource valide (sans les cookies attendus) appelle successivement make_return_address(), getCASLoginURL(), puis getCASURL(type=‘login’), menant à l’exécution de la commande injectée. La vulnérabilité a échappé à la détection car elle ne se manifeste que lorsque l’URI pointe vers une ressource nécessitant la résolution du handler. Alors que d’autres entrées étaient correctement échappées (quotes simples), $uri dans le flux « login » ne l’était pas. ...

Selon Rapid7, un rapport de menace détaille l’exploitation active de la vulnérabilité critique CVE‑2025‑53770 affectant Microsoft SharePoint, utilisée comme vecteur d’accès initial par des acteurs malveillants. Le risque est jugé élevé pour le secteur public, où SharePoint est largement déployé et manipule des données sensibles, dans un contexte de délais de remédiation serrés imposés par la CISA. 🚨 Impact et portée: des campagnes automatisées ciblent des serveurs SharePoint exposés sur Internet, suivies d’une exploitation « hands‑on‑keyboard ». Après compromission, les attaquants déploient des web shells, se déplacent latéralement et collectent des identifiants afin d’établir une persistance, ouvrant la voie à d’éventuels rançongiciels ou à l’exfiltration de données. De nombreuses organisations publiques locales et étatiques demeurent exposées. ...

Selon Cyble, une poussée de preuves de concept (PoC) et de failles zero-day — dont CVE-2025-9642 et CVE-2025-20363 — accroît l’urgence d’appliquer des correctifs de sécurité. 🚨 Les chercheurs en vulnérabilités de Cyble ont recensé 648 failles la semaine dernière, dont près de 26 % disposent déjà de preuves de concept (Proof-of-Concept, PoC) publiques, augmentant ainsi le risque d’attaques concrètes. Parmi elles, 27 sont qualifiées de critiques selon la norme CVSS v3.1, tandis que cinq le sont selon la plus récente CVSS v4.0. ...

Selon GitGuardian (blog), un groupe nommé Crimson Collective a revendiqué une intrusion dans l’instance GitLab utilisée par Red Hat Consulting, avec exfiltration massive de données et exposition de secrets opérationnels. Red Hat a confirmé que l’incident concerne uniquement l’instance GitLab de consulting, sans impact sur sa chaîne d’approvisionnement logicielle. Le Centre pour la Cybersécurité de Belgique a publié un avis de haut risque à destination des clients des services de consulting Red Hat. 🚨 ...

Selon Red Hat, une instance GitLab dédiée aux collaborations de l’équipe Consulting a subi un accès non autorisé, entraînant la copie de certaines données ; l’entreprise a coupé l’accès, isolé l’instance et engagé une enquête officielle. Red Hat indique avoir détecté un accès non autorisé à une instance GitLab utilisée dans des missions de conseil. L’accès de l’acteur tiers a été révoqué, l’instance isolée, les autorités contactées, et une enquête approfondie est en cours. Des mesures de durcissement supplémentaires ont été déployées pour prévenir toute récidive. 🔒 ...

Selon BleepingComputer, un groupe d’extorsion se présentant comme « Scattered Lapsus$ Hunters » (affiliations revendiquées: ShinyHunters, Scattered Spider, Lapsus$) a lancé un nouveau site de fuite de données pour extorquer des organisations touchées par une vague de violations liées à Salesforce. ⚠️ Le site recense 39 entreprises. Pour chaque victime, des échantillons de données exfiltrées depuis des instances Salesforce sont publiés, avec un ultimatum au 10 octobre invitant les victimes à « prévenir la divulgation publique » en les contactant. ...

Selon The Record, LinkedIn affirme que la société ProAPIs et son CEO Rahmat Alam dirigent une opération facturant jusqu’à 15 000 $/mois pour des données d’utilisateurs aspirées depuis la plateforme professionnelle. — Faits clés Acteurs cités : ProAPIs et son CEO Rahmat Alam. Allégation : vente de données d’utilisateurs aspirées depuis LinkedIn. Montant mentionné : jusqu’à 15 000 $ par mois. — Nature de l’activité LinkedIn présente cette activité comme de l’aspiration (scraping) de données issues du réseau social, ensuite monétisées sous forme d’accès payant. ...