CVE-2023-4966

🔍 Contexte Article publié le 16 avril 2026 par Picus Security, analysant en détail deux nouvelles vulnérabilités affectant Citrix NetScaler ADC et NetScaler Gateway, surnommées collectivement « CitrixBleed 3 » par la communauté sécurité. 🚨 Vulnérabilités identifiées CVE-2026-3055 (CVSS v4.0 : 9.3 — Critique) est une lecture hors limites (CWE-125) non authentifiée affectant les appliances configurées en tant que SAML Identity Provider. Elle expose via le cookie NSC_TASS des données mémoire encodées en base64 incluant tokens de session, assertions SAML et credentials LDAP. ...

🔍 Contexte Publié le 16 mars 2026 par le Google Threat Intelligence Group (GTIG), ce rapport analyse les tactiques, techniques et procédures (TTPs) observées lors des incidents ransomware traités par Mandiant Consulting en 2025. Il couvre des victimes situées en Asie-Pacifique, Europe, Amérique du Nord et du Sud, dans presque tous les secteurs d’activité. 📊 Paysage ransomware 2025 Record historique de posts sur les Data Leak Sites (DLS) en 2025, dépassant 2024 de près de 50% La rentabilité globale est en déclin : taux de paiement de rançon au plus bas historique en Q4 2025 (Coveware), demande moyenne réduite d’un tiers à 1,34 M$ en 2025 contre 2 M$ en 2024 (Sophos) Près de la moitié des victimes ont pu restaurer depuis des sauvegardes en 2024 (contre 28% en 2023 et 11% en 2022) LockBit, ALPHV, Basta et RansomHub ont été perturbés ou ont disparu ; Qilin et Akira ont comblé le vide REDBIKE (Akira) est la famille ransomware la plus déployée : ~30% des incidents Montée en puissance des opérations de data theft extortion seule (sans chiffrement) Ciblage croissant des petites organisations (moins de 200 employés) Adoption de technologies Web3 (ICP blockchain, Polygon smart contracts) pour la résilience des infrastructures Intégration de l’IA dans les opérations (négociations, analyse des victimes) Doublement des familles ransomware cross-platform (Windows + Linux) 🎯 Vecteurs d’accès initial Exploitation de vulnérabilités : 1/3 des incidents (VPNs et firewalls principalement) Fortinet : CVE-2024-21762, CVE-2024-55591, CVE-2019-6693 SonicWall : CVE-2024-40766 Palo Alto : CVE-2024-3400 Citrix : CVE-2023-4966 Microsoft SharePoint : CVE-2025-53770, CVE-2025-53771 (zero-day par UNC6357) SAP NetWeaver : CVE-2025-31324 CrushFTP : CVE-2025-31161 CVE-2025-8088 exploité en zero-day par UNC2165 CVE-2025-61882 exploité contre Oracle EBS (CL0P) Credentials volés : 21% des incidents identifiés (VPN, RDP) Malvertising / SEO poisoning : UNC6016 (→ NITROGEN, RHYSIDA), UNC2465 (→ SMOKEDHAM) Bruteforce : attaques prolongées sur VPNs (ex. Daixin sur près d’un an) Accès via subsidiaires ou tiers (réseaux intermédiaires) Ingénierie sociale : UNC5833 via Microsoft Teams + Quick Assist 🔧 TTPs post-compromission Établissement de foothold : ...

Période analysée : les 30 derniers jours sur le Fediverse. Données collectées via CVE Crowd et enrichies avec les données CIRCL / Vulnerability-Lookup (EPSS, VLAI Severity). 📌 Légende : CVSS : Score de sévérité officielle. EPSS : Probabilité d’exploitation (Exploit Prediction Scoring System). VLAI : Score NLP open-source de sévérité estimée (IA). Poids social : Importance dans le Fediverse. CVE-2023-20198 [CVSS 10.0 🟥] [VLAI High 🟧] Produit : Cisco Cisco IOS XE Software Score CVSS : 10.0 🟥 EPSS : 0.94069 🟥 VLAI : High 🟧 Poids social (Fediverse) : 1554.5 Description : Cisco fournit une mise à jour concernant l’enquête en cours sur l’exploitation observée de la fonctionnalité web UI dans le logiciel Cisco IOS XE. Nous mettons à jour la liste des versions corrigées et ajoutons le Software Checker. Notre enquête a déterminé que les acteurs ont exploité deux vulnérabilités jusqu’alors inconnues. L’attaquant a d’abord exploité la vulnérabilité CVE-2023-20198 pour obtenir un accès initial et a exécuté une commande de privilège 15 afin de créer une combinaison utilisateur local et mot de passe. Cela a permis à l’utilisateur de se connecter avec un accès utilisateur normal. L’attaquant a ensuite exploité un autre composant de la fonctionnalité web UI, utilisant ce nouvel utilisateur local pour élever ses privilèges au niveau root et écrire un implant dans le système de fichiers. Cisco a attribué le numéro CVE-2023-20273 à cette vulnérabilité. La vulnérabilité CVE-2023-20198 a reçu un score CVSS de 10.0. La vulnérabilité CVE-2023-20273 a reçu un score CVSS de 7.2. Ces deux CVE sont suivies sous l’identifiant CSCwh87343. Date de publication officielle : 16 October 2023 à 15h12 Posts Fediverse (18 trouvés) 🗨️ All About Security – n/d Warnung vor BADCANDY: Neue Angriffe auf Cisco IOS XE über kritische Schwachstelle - Auf verwundbaren Cisco-IOS-XE-Geräten, die unter CVE-2023-20198 fallen, haben Angreifer seit Oktober 2023 Varianten des BADCANDY-Implantats entdeckt www.all-about-security.de/warnung-vor-… ...