Cloudflare

Selon KrebsOnSecurity, depuis une semaine, des domaines associés au vaste botnet Aisuru ont à plusieurs reprises supplanté Amazon, Apple, Google et Microsoft dans le classement public des sites les plus fréquemment sollicités de Cloudflare. Cloudflare a réagi en retirant/masquant (« redacting ») les noms de domaine d’Aisuru de ses listes des sites les plus consultés. Points clés: Menace: botnet Aisuru. Impact: usurpation du classement des sites les plus demandés, devant de grands acteurs (Amazon, Apple, Google, Microsoft). Réponse: Cloudflare a occulté les domaines concernés dans ses « top websites ». IOCs et TTPs: ...

Source: Cloudflare Blog — Dans le contexte des élections législatives moldaves du 28 septembre 2025, organisées sous forte pression d’ingérences étrangères, Cloudflare décrit l’assistance fournie à la Commission électorale centrale (CEC) pour maintenir l’accès aux informations officielles et la résilience des services en ligne. 🛡️ Le jour du scrutin, la CEC a subi une série d’attaques DDoS concentrées et à fort volume durant plus de 12 heures, de 09:06:00 UTC à 21:34:00 UTC. Cloudflare indique avoir mitigé plus de 898 millions de requêtes malveillantes sur cette période. L’activité a été catégorisée en 11 « chunks » (vagues multi-étapes), avec un pic majeur (« Chunk 5 ») à 15:31:00 UTC atteignant 324 333 rps. Après la fermeture des bureaux à 18:00 UTC, les assauts se sont poursuivis pendant la phase de publication des résultats, avec des pics supérieurs à 243 000 rps, tout en maintenant le site de la CEC accessible en temps réel. ...

Source: Black Hills Information Security — BHIS annonce DomCat, un outil en ligne de commande (Golang) destiné aux professionnels de la cybersécurité pour repérer des domaines expirés présentant des catégorisations « sûres » susceptibles de contourner des filtres web lors d’engagements de pentest. DomCat s’intègre à deux APIs: NameSilo (récupération de données de domaines expirés) et Cloudflare Intel (vérification de la catégorisation). Il remplace des approches obsolètes fondées sur le web scraping. ...

Selon BleepingComputer, Cloudflare a atténué une attaque par déni de service distribué (DDoS) ayant atteint un pic record de 22,2 Tbps et 10,6 milliards de paquets par seconde (Bpps). Cloudflare a récemment repoussé une attaque par déni de service distribué (DDoS) record culminant à 22,2 térabits par seconde (Tbps) et 10,6 milliards de paquets par seconde (Bpps), soit près du double de la précédente attaque record de 11,5 Tbps. Cette attaque hyper-volumétrique, qui a visé une seule adresse IP d’une entreprise européenne d’infrastructure réseau, a duré seulement 40 secondes mais a généré un flux massif équivalant à un million de vidéos 4K diffusées en simultané. Le volume extrêmement élevé de paquets rend l’attaque particulièrement difficile à filtrer pour les équipements réseau, notamment les pare-feux et routeurs. ...

Selon BleepingComputer, Microsoft (Digital Crimes Unit) et Cloudflare (Cloudforce One et Trust & Safety) ont mené début septembre 2025 une opération conjointe pour perturber l’opération de Phishing-as-a-Service (PhaaS) « RaccoonO365 », également suivie par Microsoft sous l’identifiant Storm-2246. Mesure de disruption : saisie de 338 sites web et comptes Cloudflare Workers liés à l’infrastructure RaccoonO365. Impact constaté : depuis juillet 2024, le groupe a volé au moins 5 000 identifiants Microsoft dans 94 pays. Les identifiants, cookies et autres données issus de OneDrive, SharePoint et des comptes e-mail ont été réutilisés pour des fraudes financières, extorsions ou comme accès initial à d’autres systèmes. En avril 2025, une campagne massive à thème fiscal a visé plus de 2 300 organisations aux États-Unis ; les kits ont aussi été utilisés contre plus de 20 organisations de santé américaines, avec des risques directs pour les patients (retards de soins, compromission de résultats, fuites de données). ...

Selon le Wall Street Journal (WSJ), les autorités et les entreprises tech affrontent une nouvelle génération de botnets plus puissants, illustrée par Aisuru qui a lancé des attaques DDoS record après un récent démantèlement du FBI. Après l’intervention du FBI, jusqu’à 95 000 appareils compromis se sont retrouvés exposés et ont été rapidement réintégrés par d’autres opérateurs. Le botnet rival Aisuru en a capté plus d’un quart et a aussitôt déclenché des attaques DDoS « battant des records », selon Google. Le 1er septembre, Cloudflare a mesuré un pic à 11,5 Tb/s, présenté comme un record mondial. Ces assauts, très courts (quelques secondes), sont perçus comme des démonstrations de force, et ne refléteraient qu’une fraction de la capacité disponible de l’infrastructure, d’après Nokia Deepfield. ...

Selon Okta Threat Intelligence (sec.okta.com), une analyse détaillée dévoile « VoidProxy », une opération de Phishing-as-a-Service inédite et particulièrement évasive, ciblant des comptes Microsoft et Google et redirigeant les comptes fédérés (SSO tiers comme Okta) vers des pages de phishing de second niveau. • Aperçu de la menace: VoidProxy est un service mature et scalable de phishing en Adversary-in-the-Middle (AitM) capable d’intercepter en temps réel les flux d’authentification pour capturer identifiants, codes MFA et cookies de session, contournant des méthodes MFA courantes (SMS, OTP d’apps). Les comptes compromis facilitent des activités telles que BEC, fraude financière, exfiltration de données et mouvements latéraux. Les utilisateurs protégés par des authentificateurs résistants au phishing (ex: Okta FastPass) n’ont pas pu se connecter via l’infrastructure VoidProxy et ont été alertés. Okta fournit un avis de menace complet (avec IOCs) via security.okta.com et Identity Threat Protection. ...

SecurityWeek rapporte que Cloudflare a annoncé avoir bloqué la plus grande attaque DDoS jamais enregistrée, culminant à 11,5 Tbps, principalement un UDP flood, avec un débit de 5,1 milliards de paquets par seconde (Bpps) et d’une durée d’environ 35 secondes. Un premier message indiquait une origine majoritairement liée à Google Cloud, avant une mise à jour précisant que Google Cloud n’était qu’une source parmi d’autres, aux côtés de plusieurs fournisseurs IoT et cloud. 🛡️ ...

Source: BleepingComputer (Sergiu Gatlan). Cloudflare révèle avoir été impacté par la série de compromissions Salesloft/Drift touchant des environnements Salesforce, avec exfiltration de données textuelles de son CRM de support entre le 12 et le 17 août 2025, après une phase de reconnaissance le 9 août. Cloudflare indique que des attaquants ont accédé à une instance Salesforce utilisée pour la gestion des tickets clients et ont exfiltré uniquement le texte des objets de cas (pas les pièces jointes). Parmi les éléments sensibles potentiellement exposés figurent des informations de contact clients et des contenus de tickets pouvant inclure des clés, secrets, jetons ou mots de passe. L’entreprise a identifié 104 jetons API Cloudflare présents dans ces données et les a tous rotationnés avant la notification clients du 2 septembre, sans activité suspecte détectée à ce stade. ...

L’article publié par PortSwigger met en lumière des recherches menées par James Kettle sur des attaques de désynchronisation HTTP qui révèlent des failles fondamentales dans l’implémentation du protocole HTTP/1.1. Résumé exécutif : Les nouvelles classes d’attaques, telles que les attaques 0.CL et les exploits basés sur l’en-tête Expect, contournent les mitigations existantes et affectent des fournisseurs d’infrastructure majeurs comme Akamai, Cloudflare et Netlify. Un outil open-source est mis à disposition pour détecter systématiquement les divergences de parseur, ayant déjà permis de récolter plus de 200 000 $ en primes de bug bounty. ...