TTP

🔍 Contexte Publié le 5 mai 2026 par BARGHEST sur leur blog, cet article constitue une divulgation coordonnée avec Google d’une vulnérabilité critique découverte dans le démon ADB (adbd) d’Android, identifiée sous CVE-2026-0073. 🐛 Vulnérabilité CVE-2026-0073 est un bypass d’authentification dans le chemin d’authentification ADB-over-TCP d’Android, plus précisément dans la fonction adbd_tls_verify_cert du fichier platform/packages/modules/adb/daemon/auth.cpp. La cause racine est une mauvaise utilisation de l’API EVP_PKEY_cmp de BoringSSL/OpenSSL : L’API retourne 1 (clés identiques), 0 (même type, clés différentes), -1 (types différents), -2 (opération non supportée) Le code vulnérable traite toute valeur non nulle comme un succès Un attaquant présentant un certificat TLS client avec une clé non-RSA (EC P-256 ou Ed25519) face à une clé stockée RSA provoque un retour de -1, interprété comme une authentification réussie if (EVP_PKEY_cmp(known_evp.get(), evp_pkey.get())) { verified = true; // -1 est truthy en C/C++ } ⚙️ Conditions d’exploitation Developer options activées ADB-over-TCP activé (Wireless debugging ou exposition du service adbd) Au moins une clé RSA précédemment appairée dans /data/misc/adb/adb_keys Accessibilité réseau au port TCP ADB (typiquement port 5555) 🔗 Chaîne d’exploitation L’exploitation nécessite trois étapes séquentielles : ...

🔍 Contexte Le 1er mai 2026, l’équipe Censys ARC publie une analyse de menace suite à la divulgation le 29 avril 2026 de CVE-2026-41940, une vulnérabilité critique de contournement de pré-authentification affectant cPanel et WHM. La faille impacte le flux de connexion et permet à un attaquant distant non authentifié de contourner les contrôles d’authentification et d’obtenir un accès élevé. 📈 Détection de la vague d’exploitation Censys a observé une augmentation brutale du nombre d’hôtes classifiés comme malveillants dans son dataset, avec un doublement des comptages par rapport à la veille. En corrélant les données avec les signaux de classification GreyNoise, l’analyse révèle que : ...

🔍 Contexte Publié le 5 mai 2026 par Dor Attias de Cyera Research, cet article détaille la découverte d’une vulnérabilité critique CVE-2026-7482 (CVSS 9.1) dans Ollama, une plateforme open-source permettant d’exécuter des LLMs localement. Ollama compte environ 170 000 étoiles GitHub et plus de 100 millions de téléchargements sur Docker Hub. 🐛 Nature de la vulnérabilité La vulnérabilité est un out-of-bounds heap read situé dans le code de quantification des modèles GGUF, dans la fonction WriteTo qui utilise le package Go unsafe. Le mécanisme d’exploitation repose sur : ...

🔍 Contexte Source : Help Net Security, publié le 4 mai 2026. DigiCert est une autorité de certification (CA) mondiale spécialisée dans les services de confiance numérique, notamment les certificats TLS/SSL, la gestion PKI et la sécurité IoT. 🎯 Nature de l’attaque Un acteur malveillant non identifié a mené une attaque d’ingénierie sociale ciblée contre le canal de support de DigiCert. L’attaquant a contacté l’équipe de support via un canal de chat client et a transmis un fichier ZIP malveillant déguisé en capture d’écran client. ...

🔍 Contexte Publié le 8 mai 2026 sur GitHub par le chercheur Hyunwoo Kim (@v4bel), ce write-up technique détaille Dirty Frag, une classe de vulnérabilités Linux permettant d’obtenir les privilèges root sur la majorité des distributions Linux en chaînant deux primitives d’écriture arbitraire en page cache. 🧩 Vulnérabilités impliquées Dirty Frag repose sur deux vulnérabilités distinctes : CVE-2026-43284 — xfrm-ESP Page-Cache Write : Dans esp_input(), lorsqu’un skb non-linéaire sans frag_list est traité, le code contourne skb_cow_data() et effectue un déchiffrement AEAD en place directement sur la page cache. Via splice(), un attaquant peut planter une page cache en lecture seule dans le frag du skb. La fonction crypto_authenc_esn_decrypt() effectue un STORE de 4 octets contrôlés (via seq_hi de l’attribut XFRMA_REPLAY_ESN_VAL) à un offset de fichier choisi. L’authentification AEAD échoue mais le STORE est déjà persisté. Nécessite CAP_NET_ADMIN (user namespace suffisant). ...

🔍 Contexte Publié le 7 mai 2026 sur le blog officiel de Kaspersky, cet article présente une mise à jour de l’étude conduite en 2024 sur la robustesse des mots de passe réels. L’analyse porte sur 231 millions de mots de passe uniques extraits de fuites dark web entre 2023 et 2026, obtenus via le service Digital Footprint Intelligence de Kaspersky. 📊 Résultats clés Les tests ont été conduits avec un GPU RTX 5090 sur des hachages MD5. Les résultats comparatifs 2024 vs 2026 sont les suivants : ...

🗓️ Contexte Publié le 8 mai 2026 par Truesec, cet article de threat intelligence rapporte l’exploitation active d’une vulnérabilité critique dans PAN-OS de Palo Alto Networks, identifiée sous CVE-2026-0300. 🔍 Nature de la vulnérabilité CVE-2026-0300 est un buffer overflow affectant le service User-ID Authentication Portal de PAN-OS. Elle permet à un attaquant non authentifié d’exécuter du code arbitraire avec des privilèges root sur les équipements vulnérables. Selon l’Unit 42 de Palo Alto Networks, l’exploitation implique l’injection de shellcode dans un processus worker nginx tournant sur l’appliance PAN-OS. ...

📰 Contexte Source : BleepingComputer, publié le 7 mai 2026 par Sergiu Gatlan. Ivanti a émis une alerte de sécurité concernant une vulnérabilité zero-day activement exploitée dans son produit Endpoint Manager Mobile (EPMM). 🔍 Vulnérabilité principale CVE-2026-6973 est une faille de type Improper Input Validation permettant à un attaquant distant disposant de privilèges administratifs d’exécuter du code arbitraire sur les systèmes ciblés. Elle affecte EPMM version 12.8.0.0 et antérieures. Type : Remote Code Execution (RCE) Sévérité : Haute Prérequis : authentification admin Exploitation confirmée : oui, dans un nombre très limité de cas Périmètre : uniquement le produit on-premises EPMM (pas Ivanti Neurons for MDM, Ivanti EPM, Ivanti Sentry) 🛡️ Correctifs disponibles Ivanti recommande l’installation des versions suivantes : ...

🕵️ Contexte Publié le 6 mai 2026 par l’équipe OpenSourceMalware, cet article documente une évolution tactique de la campagne Contagious Interview / TaskJacker attribuée au groupe nord-coréen Lazarus Group (DPRK). La source est un blog de threat intelligence communautaire spécialisé dans les menaces open source. 🔄 Évolution de la technique Les opérateurs ont abandonné leurs vecteurs habituels (.vscode/tasks.json, scripts postinstall dans package.json, faux fichiers .woff2) au profit de Git hooks malveillants placés dans .githooks/pre-commit. Le hook se déclenche automatiquement lorsque la victime tente de committer du code, soit exactement au moment où le faux recruteur lui demande de “corriger un bug et committer”. ...

🌐 Contexte Source : Rapid7 Blog, publié le 6 mai 2026. L’article présente une analyse forensique d’une intrusion détectée début 2026, initialement identifiée comme une attaque Chaos ransomware-as-a-service (RaaS), mais réévaluée comme une opération étatique sous faux drapeau. 🎭 Attribution et faux drapeau L’analyse forensique attribue l’activité avec confiance modérée à MuddyWater (Seedworm), un groupe APT iranien affilié au Ministry of Intelligence and Security (MOIS). Les artefacts techniques ayant conduit à cette attribution incluent : ...