Posts

Source : BleepingComputer — 29 janvier 2026 Vulnérabilité concernée : CVE-2025-22225 (VMware ESXi) — Arbitrary Kernel Write / Sandbox Escape Gravité : Élevée (activement exploitée) Selon BleepingComputer, la CISA a confirmé mercredi que des groupes de rançongiciel exploitent une vulnérabilité de gravité élevée permettant une évasion de sandbox dans VMware ESXi, une faille qui avait auparavant servi dans des attaques zero-day. 🚨 Exploitation confirmée par la CISA: des groupes de ransomware « ont commencé » à tirer parti de la faille. 🧩 Nature de la faille: évasion de sandbox sur VMware ESXi. ⏳ Historique: vulnérabilité déjà observée en zero-day avant cette confirmation d’exploitation par des rançongiciels. 📌 Ce qu’il faut retenir La CISA (Cybersecurity and Infrastructure Security Agency) americiane confirme que des groupes de ransomware exploitent désormais CVE-2025-22225, une faille VMware ESXi qui avait déjà été utilisée comme zero-day. ...

Selon VulnCheck, des exploitations de la vulnérabilité CVE-2025-11953 (« Metro4Shell ») ont été observées dès le 21 décembre 2025 sur des serveurs Metro (outil de bundling et dev pour React Native), avec des charges utiles cohérentes relevées à plusieurs dates en janvier 2026. • Contexte et vulnérabilité. Metro peut exposer par défaut un endpoint /open-url; sur Windows, celui-ci permet à un attaquant non authentifié d’exécuter des commandes OS via un POST. La faille a été analysée par JFrog, suivie de POC publics sur GitHub. VulnCheck note un décalage entre l’exploitation réelle et sa reconnaissance publique (EPSS 0,00405), malgré une surface exposée sur Internet. ...

Contexte et source : Extrait en allemand mentionnant la TU Wien, concernant un incident survenu le 23 janvier 2026. 🔐 La TU Wien indique qu’un incident de sécurité a touché le réseau de l’université le 23 janvier 2026. Dans ce cadre, des comptes ont été compromis. ⚠️ L’établissement précise qu’il n’est pas possible d’exclure que des données sensibles aient pu être accédées durant l’incident. 🛠️ Par mesure de sécurité, les systèmes IT de la TU Wien sont actuellement disponibles de manière limitée, tandis que la majorité des activités universitaires peut néanmoins se poursuivre. ...

Source: Huntress — Début février 2026, Huntress a répondu à une intrusion où des identifiants SonicWall SSLVPN compromis ont servi d’accès initial, avant le déploiement d’un « EDR killer » exploitant la technique de Bring Your Own Vulnerable Driver (BYOVD) via un driver EnCase (EnPortv.sys) signé mais révoqué, afin de tuer des processus de sécurité depuis le noyau. L’attaque a été interrompue avant une phase probable de rançongiciel. La télémétrie SonicWall ingérée par Huntress Managed SIEM a permis de reconstituer la chronologie: une tentative de connexion portail refusée depuis 193.160.216[.]221 a précédé d’une minute une authentification VPN réussie depuis 69.10.60[.]250. Une reconnaissance réseau agressive a suivi (ICMP ping sweeps, requêtes NetBIOS, activité SMB avec rafales >370 SYN/s). La corrélation SIEM–endpoint a facilité la détection, l’isolement des systèmes et des recommandations de remédiation (activer MFA sur les accès distants, revoir les logs VPN). ...

Selon Wiz (blog), une analyse non intrusive du réseau social d’agents IA Moltbook a mis au jour une clé Supabase exposée dans le JavaScript client, pointant vers une base de production sans Row Level Security, ce qui a permis un accès anonyme en lecture et en écriture à de nombreuses tables jusqu’à la correction appliquée en plusieurs étapes. Impact et données exposées. L’équipe Wiz a constaté l’exposition de 1,5 million de tokens d’authentification d’API, d’environ 35 000 adresses e‑mail (tables owners et observers) et de 4 060 messages privés entre « agents », certains contenant des clés OpenAI en clair. Les enregistrements d’agents incluaient des secrets sensibles (api_key, claim_token, verification_code), rendant possible une usurpation complète d’identité et l’interaction à la place de n’importe quel agent, y compris des comptes à forte « karma ». ...

Selon VentureBeat, l’agent IA open source OpenClaw (ex-Clawdbot/Moltbot) connaît un essor fulgurant, mais des scans Internet ont révélé plus de 1 800 instances exposées divulguant des clés API, des historiques de chats et des identifiants. Des chercheurs et des équipes sécurité (Cisco, IBM Research) soulignent que les agents IA créent une surface d’attaque sémantique que pare-feu, EDR et SIEM voient mal, en particulier sur du BYOD. • Pourquoi les périmètres échouent ⚠️: les attaques visent la sémantique (ex. « Ignore previous instructions ») plutôt que des signatures de malware. La « trifecta létale » décrite par Simon Willison — accès à des données privées, exposition à du contenu non fiable, et communication externe — est réunie dans OpenClaw, permettant des fuites sans alerte. Les SOC voient un HTTP 200 et du comportement process standard, alors que l’attaque est dans le raisonnement du modèle. ...

Selon OpenSourceMalware.com, une vaste campagne d’empoisonnement de registre touche l’écosystème des « skills » ClawdBot/Moltbot, avec des paquets publiés sur ClawHub et GitHub entre fin janvier et début février 2026. – Des dizaines puis des centaines de « skills » thématisés crypto (ByBit, Polymarket, Axiom, Reddit, LinkedIn) utilisent une ingénierie sociale sophistiquée (fausses alertes et « AuthTool » obligatoire) pour conduire l’utilisateur à télécharger et exécuter des binaires malveillants. Le tout vise des utilisateurs macOS et Windows de ClawdBot/Claude Code/Moltbot, avec un C2 unique 91.92.242.30. Les auteurs citent un total de 386 skills impliqués, avec une première salve fin janvier et une seconde, plus massive, entre le 31 janvier et le 2 février. ...

Selon la NZZ am Sonntag, une révision interne du Département fédéral des affaires étrangères (DFAE/EDA) a mis en évidence une faille dans les dispositifs de protection: des documents classés «internes» ont été stockés dans le cloud de Microsoft, malgré des règles censées empêcher l’upload de contenus sensibles. Contexte: alors que la France écarte Zoom/Teams des administrations, la Chancellerie fédérale a généralisé Microsoft 365 à quelque 54 000 postes de la Confédération. Des mécanismes de sécurité prévoient que les contenus sensibles soient étiquetés et bloqués pour tout stockage dans le cloud. Or, ces mesures ne fonctionnent que partiellement. ...

Selon Reuters (Gwladys Fouche), le Comité Nobel norvégien considère que l’« espionnage numérique » est probablement à l’origine de la révélation anticipée du nom du lauréat du Prix Nobel de la paix 2025, avant l’annonce officielle à Oslo. Le secrétaire permanent du comité a indiqué à Reuters que, bien qu’il soit impossible à ce stade de déterminer précisément ce qui s’est passé ou qui est derrière la brèche, le domaine numérique reste le « principal suspect ». Il s’agit d’une fuite d’information attribuée à un probable espionnage numérique ️. ...

Selon JFrog Security Research (research.jfrog.com), une nouvelle vulnérabilité OpenSSL, CVE-2025-15467, a été dévoilée: un débordement de pile susceptible d’entraîner une exécution de code à distance (RCE). Bien qu’aucun score CVSS officiel ne soit encore publié, OpenSSL la classe élevée, et JFrog estime qu’elle pourrait être évaluée critique par le NVD. ⚠️ La faille survient lors du traitement de CMS AuthEnvelopedData utilisant des chiffrements AEAD (ex. AES-GCM): l’IV extrait des paramètres ASN.1 peut être surdimensionné. OpenSSL le copie alors dans un tampon de pile de taille fixe sans vérifier la longueur (au-delà de EVP_MAX_IV_LENGTH), provoquant un débordement avant toute authentification. Un attaquant n’a donc pas besoin de clés valides: un message CMS spécialement conçu avec un IV trop grand suffit à causer un crash ou potentiellement une RCE. ...