GreyNoise

📡 Contexte Le 21 mai 2026, GreyNoise publie un signal d’alerte basé sur les données de son tag SonicWall SonicOS API Scanner, signalant une activité de scan anormalement élevée ciblant les interfaces de gestion SonicOS de SonicWall. 📊 Activité observée Entre le 9 et le 18 mai 2026, GreyNoise a enregistré un pic significatif de sessions de scan. Le 12 mai 2026 constitue le pic le plus élevé avec environ 597 000 sessions en une seule journée, soit environ 46 fois le volume quotidien habituel sur ce tag dans les 30 jours précédents. ...

Source: GreyNoise Labs — Dans un billet de recherche s’appuyant sur une infrastructure honeypot Ollama, GreyNoise rapporte 91 403 sessions d’attaque (octobre 2025–janvier 2026) et détaille deux campagnes distinctes, corroborant et étendant les constats de Defused. Un SITREP avec IOCs a été transmis aux clients. • Campagne SSRF (oct. 2025–janv. 2026) 🚨: exploitation de SSRF pour forcer des connexions sortantes vers l’infrastructure des attaquants. Deux vecteurs ciblés: Ollama (model pull) via injection d’URL de registre malveillantes et Twilio SMS webhook (MediaUrl) provoquant des connexions sortantes. Forte poussée à Noël (1 688 sessions en 48 h). Utilisation de l’infrastructure OAST de ProjectDiscovery pour valider les callbacks SSRF. Un JA4H unique (po11nn060000…) dans 99% des attaques indique un outillage commun, probablement Nuclei; 62 IPs dans 27 pays, empreintes cohérentes suggérant des VPS plutôt qu’un botnet. Évaluation: probablement chercheurs/bug bounty « grey-hat ». ...

SecurityAffairs relaie un rapport de GreyNoise décrivant une campagne coordonnée visant des serveurs Adobe ColdFusion pendant les fêtes de Noël 2025. Un unique acteur aurait généré ~98 % du trafic depuis une infrastructure au Japon (CTG Server Limited), en exploitant plus de 10 CVE publiées entre 2023 et 2024, avec validation OAST via Interactsh et un vecteur principal en injection JNDI/LDAP. 🎯 Activité observée: GreyNoise a comptabilisé 5 940 requêtes malveillantes visant des vulnérabilités ColdFusion 2023–2024, avec un pic le 25 décembre 2025. Les cibles principales étaient situées aux États-Unis (4 044), en Espagne (753) et en Inde (128). Deux IP dominantes (134.122.136[.]119 et 134.122.136[.]96), hébergées par CTG Server Limited (AS152194), ont opéré de façon coordonnée et automatisée, partageant des sessions Interactsh et alternant plusieurs types d’attaques. ...

Source: GreyNoise (Threat Signals) — Le billet de boB Rudis décrit ce que l’Observation Grid de GreyNoise voit des tentatives d’exploitation en cours de la vulnérabilité RCE ‘React2Shell’ (CVE-2025-55182) affectant React Server Components (RSC) et des frameworks en aval comme Next.js, avec publication de patchs et appels urgents à la mise à jour. • Vulnérabilité et portée: l’issue, de sévérité maximale, réside dans le protocole Flight de RSC et permet une exécution de code à distance non authentifiée sur des déploiements vulnérables, avec impact aval sur Next.js. GreyNoise note que les services exposés sont facilement découvrables (BuiltWith/Wappalyzer) et qu’une exploitation opportuniste, large et peu profonde est déjà en cours. ...

Source: BleepingComputer — GreyNoise Labs a annoncé « GreyNoise IP Check », un outil gratuit permettant de vérifier si une adresse IP a été vue dans des opérations de scan malveillant, notamment issues de botnets et de réseaux de proxies résidentiels. GreyNoise explique que les réseaux de proxies résidentiels ont fortement augmenté l’an dernier, transformant des connexions domestiques en points de sortie pour du trafic tiers. Cette situation survient soit via l’installation volontaire de clients de partage de bande passante, soit plus souvent via des malwares infiltrés par des applications ou extensions de navigateur douteuses qui transforment silencieusement les appareils en nœuds d’infrastructure. ...

GreyNoise, via son blog, décrit des anomalies de trafic ciblant F5 BIG-IP, avec une hausse du crawling détectée le 15 octobre à 18:41 EST après l’annonce d’un incident de sécurité. Le trafic provient majoritairement de chercheurs et d’institutions académiques, notamment Cortex Xpanse, et cible des capteurs basés aux États-Unis et en France. Les observations antérieures incluent des anomalies le 14 octobre visant des systèmes sud-africains, et le 23 septembre touchant principalement des actifs américains. La plupart des flux correspondent à de la reconnaissance et du crawling, avec très peu de tentatives d’exécution de code contre les interfaces de gestion BIG-IP. ...

Security Affairs relaie une analyse de GreyNoise signalant un pic inhabituel de scans dirigés vers les portails de connexion Palo Alto Networks le 3 octobre 2025, au plus haut niveau des trois derniers mois. 🚨 Chiffres clés: 1 285 IPs ont scanné les portails Palo Alto (vs ~200 habituellement). 93% des IPs sont jugées « suspectes », 7% « malveillantes ». 🌍 Répartition: majorité des sources depuis les États-Unis, avec des grappes plus petites au Royaume-Uni, Pays-Bas, Canada et Russie. Les scans visent des profils Palo Alto émulés, avec un focus notable sur des systèmes situés aux États-Unis et au Pakistan. ...

Selon GreyNoise (blog), un pic de reconnaissance structurée ciblant les portails de connexion Palo Alto a été détecté le 3 octobre 2025, marquant le volume le plus élevé observé en 90 jours. 🚨 Surge de scans: ~1 300 IP uniques (hausse de 500 % par rapport à la baseline <200/jour). 93 % des IP sont classées suspicious et 7 % malicious. Les cibles sont principalement les profils GlobalProtect et PAN‑OS. La dynamique rappelle des activités de scan vues avant des divulgations de zero‑day (ex. Cisco ASA), bien que ce motif précis n’ait pas historiquement corrélé à de nouvelles divulgations pour Palo Alto. GreyNoise recommande une surveillance renforcée et d’envisager le blocage des infrastructures malveillantes identifiées. ...

GreyNoise a découvert une campagne d’exploitation furtive ciblant les routeurs ASUS, exploitant la vulnérabilité CVE-2023-39780 et d’autres techniques non corrigées. Cette activité, observée pour la première fois le 18 mars 2025, a été rendue publique après coordination avec des partenaires gouvernementaux et industriels. Les attaquants ont réussi à obtenir un accès non autorisé et persistant à des milliers de routeurs ASUS exposés à Internet. Cette opération semble être une tentative de créer un réseau distribué de dispositifs avec des portes dérobées, potentiellement pour former un botnet futur. ...

GreyNoise a utilisé un outil d’analyse de trafic réseau alimenté par l’IA, nommé SIFT, pour détecter des charges utiles anormales visant à désactiver les fonctionnalités de sécurité TrendMicro sur les routeurs ASUS. Cette activité a été découverte initialement le 18 mars 2025, mais la divulgation publique a été retardée pour coordonner les découvertes avec des partenaires gouvernementaux et industriels. L’attaque combine des méthodes anciennes et nouvelles, débutant par des attaques par force brute sur login.cgi, suivies d’exploitations de vulnérabilités de contournement d’authentification plus anciennes. Une fois l’accès privilégié obtenu, les attaquants exploitent une vulnérabilité d’injection de commande pour créer un fichier vide à /tmp/BWSQL_LOG, activant ainsi la journalisation BWDPI, une fonctionnalité TrendMicro intégrée. ...