Posts

Source: Medium — Le chercheur Mehrun publie une analyse détaillée d’une zero-day signalée à TP-Link le 11 mai 2024 et toujours non corrigée au moment de la publication, affectant l’implémentation CWMP/TR-069 de plusieurs routeurs, dont les Archer AX10 et AX1500. ⚠️ Vulnérabilité et cause racine: L’étude décrit un dépassement de pile (stack-based buffer overflow) dans une fonction du composant CWMP qui traite les messages SOAP SetParameterValues. Une taille dérivée des données d’entrée est utilisée directement dans une copie mémoire sans contrôle strict des limites vers un tampon de pile, ouvrant la voie à une exécution de code à distance (RCE). ...

Selon KrebsOnSecurity, une compromission majeure de la plateforme de chatbot IA Drift (Salesloft) a conduit au vol de jetons d’authentification utilisés par des centaines d’intégrations tierces, facilitant une vaste campagne d’exfiltration menée par l’acteur UNC6395. • Impact et portée: des jetons permettant l’accès à Salesforce, Google Workspace, Slack, Amazon S3, Microsoft Azure et OpenAI ont été dérobés. Les organisations utilisant les intégrations Salesloft sont appelées à invalider immédiatement tous les jetons stockés et à partir du principe que leurs données sont compromises. L’incident met en lumière le risque d’‘authorization sprawl’, où des jetons légitimes permettent de circuler sans entraves entre systèmes cloud. ...

Cette analyse de Kaspersky (securelist) examine en profondeur le rôle des cookies de navigateur comme composants de sécurité et montre comment les cookies de session contenant des Session IDs deviennent des cibles majeures. Le contenu couvre les types de cookies, les exigences de conformité (GDPR, CCPA, LGPD), et comment une mauvaise gestion peut exposer des identifiants d’authentification et des données personnelles. L’étude détaille plusieurs vecteurs d’attaque : session hijacking, XSS, CSRF, et man-in-the-middle. Sur le plan technique, elle décrit la capture de session via HTTP non chiffré, le vol de cookies par injection JavaScript malveillante (XSS), la session fixation avec des Session IDs prédéfinis, ainsi que le cookie tossing exploitant des vulnérabilités de sous-domaine. ...

Source : United States Department of Justice (justice.gov). Le Bureau du procureur du District du Nouveau-Mexique et le FBI annoncent la saisie de deux domaines de marketplace et d’un blog liés à « VerifTools », utilisés pour vendre des faux permis de conduire, passeports et autres pièces d’identité à des cybercriminels afin de contourner les systèmes de vérification d’identité et obtenir des accès non autorisés à des comptes en ligne. 🚨 ...

Selon BleepingComputer, Palo Alto Networks a confirmé avoir été victime d’une fuite de données via des tokens OAuth compromis provenant de l’incident Salesloft Drift, permettant à des attaquants d’accéder à son instance Salesforce. L’entreprise précise que l’impact est limité à son CRM Salesforce et n’affecte aucun produit, système ou service. L’attaque, suivie par Google Threat Intelligence sous le nom UNC6395, a exploité des tokens OAuth volés pour réaliser une exfiltration de masse de données depuis les objets Salesforce Account, Contact, Case et Opportunity. Les acteurs ont utilisé des outils automatisés (user-agents observés: python-requests/2.32.4, Python/3.11 aiohttp/3.12.15, Salesforce-Multi-Org-Fetcher/1.0, Salesforce-CLI/1.0), ont supprimé des logs/queries pour masquer leurs traces et ont recouru à Tor pour obfusquer leur origine. ...

Selon Resecurity (blog), des chercheurs ont découvert lors de tests d’intrusion des identifiants d’applications Azure AD (ClientId et ClientSecret) exposés dans des fichiers appsettings.json accessibles publiquement, une vulnérabilité de haute sévérité permettant une authentification directe aux endpoints OAuth 2.0 de Microsoft. ⚠️ Sur le plan technique, l’attaque exploite le flux OAuth2 « Client Credentials » via une simple requête POST vers l’endpoint de jeton d’Azure avec les secrets divulgués, pour obtenir un Bearer token. Les attaquants enchaînent ensuite avec des requêtes GET authentifiées sur des endpoints Microsoft Graph — notamment /v1.0/users, /v1.0/oauth2PermissionGrants et /v1.0/groups — afin d’énumérer utilisateurs, permissions et structure organisationnelle. 🔑 ...

Source: The Record (Recorded Future News) — L’article relate le revirement du gouvernement espagnol qui annule un contrat de 10 M€ confié à Telefónica pour moderniser le réseau RedIRIS avec du matériel Huawei, au nom de la « stratégie numérique » et de « l’autonomie stratégique ». Le marché avait été négocié directement avec Telefónica, prolongement d’un contrat de 5,5 M€ de 2020. Le ministère de la Transformation numérique justifiait l’urgence par les besoins en nouveaux services numériques, projets de supercalcul et liens avec la défense, ainsi que la nécessité d’améliorer la résilience aux cyberattaques. ...

Source: Optiv (référence citée). Contexte: analyse de sécurité des NAS d’entreprises (QNAP, Synology, Zyxel) et cartographie des techniques d’attaque selon MITRE ATT&CK. Le rapport identifie les NAS comme des cibles prioritaires pour des groupes ransomware et opérateurs de botnets, en raison de leur rôle central dans le stockage des données. Il met en avant une exploitation rapide (≤72 h) des vulnérabilités divulguées et l’émergence de souches de ransomware spécialisées visant spécifiquement les environnements NAS. ...

Source : Sekoia (blog) — Le rapport dresse une vue d’ensemble 2010‑2025 de l’écosystème des vendeurs de surveillance commerciale (CSV), montrant comment des entreprises privées conçoivent et vendent des spyware à des clients gouvernementaux, malgré des crises de légitimité et des sanctions. Le document met en avant l’évolution des CSV qui continuent de prospérer via rebranding, structures corporatives complexes et méthodes d’attaque de plus en plus sophistiquées. Il souligne les risques systémiques pour la société civile, les journalistes et les activistes à l’échelle mondiale. ...

Selon Check Point Research, ce bulletin de threat intelligence (1er septembre 2025) signale une escalade des menaces avec des zero-days activement exploités et des fuites massives de données touchant des millions d’individus. Il met l’accent sur l’urgence de corriger les vulnérabilités divulguées et de renforcer les capacités de réponse à incident. Faits saillants: exploitation de zero-days dans WhatsApp et Citrix NetScaler lors d’attaques ciblées, campagnes ransomware menées par le groupe Qilin, et une opération de phishing sophistiquée baptisée ZipLine visant des infrastructures critiques. La campagne ZipLine exploite l’infrastructure Google Classroom pour contourner la supervision en entreprise et a diffusé plus de 115 000 emails à 13 500 organisations dans le monde. ...