Webshell

Source: JPCERT/CC — Alerte JPCERT-AT-2025-0024 (ouverte le 2025-12-03, mise à jour le 2025-12-05). Le CERT japonais décrit une vulnérabilité d’injection de commandes affectant la fonctionnalité DesktopDirect des appliances Array AG d’Array Networks, permettant l’exécution de commandes arbitraires. Aucun CVE n’est attribué au moment de la publication. Produits et versions concernés: ArrayOS AG 9.4.5.8 et antérieurs lorsque la fonction DesktopDirect est activée. État et impact: JPCERT/CC a confirmé des attaques survenues depuis août 2025 au Japon, menant à l’implantation de webshells, la création de nouveaux comptes utilisateurs et des intrusions internes via l’équipement ciblé. Dans les cas observés, des commandes tentaient de déposer un webshell PHP sous le chemin incluant /webapp/. Un IOC IP d’émission des communications d’attaque est fourni: 194.233.100[.]138. ...

Selon Howler Cell Research Team, une enquête a mis au jour une chaîne multi‑infection liée à un botnet, au centre de laquelle un étudiant bangladais vend l’accès à des sites compromis (surtout WordPress et cPanel) à des acheteurs principalement basés en Asie, via Telegram et paiements en cryptomonnaie. Principaux constats 🔎 Webshell PHP ‘Beima’: totalement indétecté par des outils modernes, y compris VirusTotal (depuis mai 2024). Marché: plus de 5 200 sites compromis listés à la vente sur Telegram; .EDU/.GOV ~200 $ contre 3–4 $ pour d’autres sites; 76% des cibles seraient gouvernement/éducation. Origine/acheteurs: vendeur étudiant au Bangladesh; acheteurs surtout Chine, Indonésie, Malaisie; focus pays: Inde, Indonésie (aussi Brésil, Thaïlande, États‑Unis). Accès initial: mauvaise configuration WordPress et cPanel; diffusion via un panneau de botnet. Détails techniques du webshell 🐚 ...

Selon une publication récente, une vulnérabilité a été identifiée et corrigée dans toutes les versions supportées du logiciel Commvault. Cette faille permettait à des acteurs malveillants de compromettre des serveurs web en créant et exécutant des webshells. Pour exploiter cette vulnérabilité, un acteur malveillant devait disposer de certificats d’utilisateur authentifiés au sein de l’environnement logiciel Commvault. L’accès non authentifié n’était pas exploitable, ce qui signifie que pour les clients du logiciel, leur environnement devait être : (i) accessible via Internet, (ii) compromis par une autre voie, et (iii) accédé en utilisant des identifiants d’utilisateur légitimes. ...