RadioCSIRT : Edition Française

Bienvenue dans votre podcast quotidien de cybersécurité.La CISA ajoute la CVE-2025-59718 à son catalogue KEV le 16 décembre. La faille affecte FortiOS, FortiSwitchMaster, FortiProxy et FortiWeb via une vérification incorrecte de signature cryptographique dans l'authentification SAML FortiCloud SSO. Un attaquant non authentifié peut contourner l'authentification via un message SAML forgé. L'exploitation active est confirmée. La CVE-2025-59719 couvre le même problème sous-jacent. Les agences fédérales doivent appliquer les correctifs avant le 23 décembre. Aucun lien avec une campagne ransomware n'est confirmé à ce stade.Le CERT-FR publie l'avis CERTFR-2025-AVI-1117 concernant GLPI. Deux vulnérabilités identifiées, CVE-2025-59935 et CVE-2025-64520, affectent les versions GLPI 9.1.0 à antérieures à 10.0.21. Les risques incluent injection XSS et contournement de politique de sécurité. Les correctifs sont disponibles via les advisories GitHub GHSA-62p9-prpq-j62q et GHSA-j8vv-9f8m-r7jx publiés le 16 décembre.Cisco signale la CVE-2025-20393, zero-day critique dans AsyncOS affectant Secure Email Gateway et Secure Email and Web Manager avec Spam Quarantine exposé sur Internet dans des configurations non standard. Exploitation active depuis fin novembre attribuée au groupe chinois UAT-9686 déployant backdoors AquaShell, tunnels AquaTunnel et Chisel, et outil AquaPurge d'effacement de logs. Liens identifiés avec UNC5174 et APT41. Aucun patch disponible. Cisco recommande restriction d'accès, segmentation réseau, et reconstruction des appliances compromises comme seule option d'éradication.SonicWall corrige la CVE-2025-40602, escalade de privilèges locale dans Appliance Management Console SMA1000. Exploitée en chaîne avec CVE-2025-23006, faille de désérialisation critique score CVSS 9.8 déjà corrigée en janvier. La combinaison permet une exécution de code root non authentifiée à distance. Découverte par Google Threat Intelligence Group. Version fixe : build 12.4.3-02856 et supérieures. Plus de 950 appliances SMA1000 restent exposées selon Shadowserver.Enfin, Recorded Future documente une campagne de phishing soutenue menée par APT28 ciblant les utilisateurs UKR.net entre juin 2024 et avril 2025. Pages de login UKR.net hébergées sur Mocky distribuées via PDF dans des emails de phishing. Liens raccourcis via tiny.cc ou tinyurl.com avec certaines redirections via sous-domaines Blogger. Capture credentials et codes 2FA. Les attaquants ont migré vers les services proxy ngrok et Serveo suite aux takedowns d'infrastructure début 2024. Opération GRU ciblant la collecte de renseignement ukrainien dans le contexte du conflit en cours.On ne réfléchit pas, on patch !Sources :CISA KEV : https://www.cisa.gov/news-events/alerts/2025/12/16/cisa-adds-one-known-exploited-vulnerability-catalogCERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1117/ Cisco AsyncOS : https://www.bleepingcomputer.com/news/security/cisco-warns-of-unpatched-asyncos-zero-day-exploited-in-attacks/SonicWall : https://www.bleepingcomputer.com/news/security/sonicwall-warns-of-new-sma1000-zero-day-exploited-in-attacks/APT28 : https://thehackernews.com/2025/12/apt28-targets-ukrainian-ukr-net-users.htmlVos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue dans votre podcast quotidien de la cybersécurité.QNAP publie une vulnérabilité de contournement d’authentification de sévérité élevée référencée sous la CVE-2025-59385. Cette faille permet à un attaquant distant d’usurper les mécanismes d’authentification et d’accéder à des ressources protégées sans identifiants. Les systèmes QTS et QuTS hero sont affectés, avec une exploitation possible à distance sans interaction utilisateur. Les correctifs sont disponibles à partir de QTS 5.2.7.3297 et QuTS hero 5.2.7 et 5.3.1 build 20251024.Une seconde vulnérabilité QNAP, la CVE-2025-62848, expose les systèmes QTS et QuTS hero à des attaques par déni de service à distance. La faille repose sur une déréférence de pointeur NULL et peut être exploitée sans authentification. L’exploitation entraîne des arrêts système et des interruptions de service. Les versions corrigées sont identiques à celles publiées pour CVE-2025-59385.Trend Micro révèle l’existence d’un contrôleur jusqu’alors inconnu associé au malware BPFDoor, permettant l’ouverture de shells inversés chiffrés, des accès directs et des mouvements latéraux sur des serveurs Linux. Le backdoor exploite les mécanismes Berkeley Packet Filter pour rester furtif et contourner les contrôles réseau. Les activités sont attribuées avec un niveau de confiance moyen au groupe APT Earth Bluecrow et ciblent les secteurs des télécommunications, de la finance et du retail en Asie et au Moyen-Orient.La CISA ajoute deux vulnérabilités activement exploitées à son catalogue Known Exploited Vulnerabilities. CVE-2025-14611 affecte Gladinet CentreStack et Triofox via des secrets cryptographiques codés en dur, tandis que CVE-2025-43529 correspond à une vulnérabilité WebKit de type use-after-free impactant plusieurs produits Apple. Les agences fédérales doivent appliquer les correctifs conformément à la directive BOD 22-01, avec une recommandation forte étendue à l’ensemble des organisations.Avast documente une nouvelle escroquerie visant les comptes WhatsApp, exploitant la fonctionnalité légitime de liaison d’appareils. Les attaquants incitent les victimes à autoriser un appareil frauduleux via de fausses pages de vérification, permettant un accès persistant aux conversations sans vol de mot de passe ni alerte de sécurité.Enfin, The Record rapporte des fuites de données majeures chez Prosper Marketplace et 700Credit, affectant près de 20 millions de personnes. Les données exposées incluent des numéros de sécurité sociale, des informations financières et des documents d’identité, illustrant une nouvelle fois les risques systémiques pesant sur la chaîne de valeur des services financiers.On ne réféchit pas, on patch !Sources :CVE-2025-59385 : https://cvefeed.io/vuln/detail/CVE-2025-59385CVE-2025-62848 : https://cvefeed.io/vuln/detail/CVE-2025-62848BPFDoor : https://www.trendmicro.com/en_us/research/25/d/bpfdoor-hidden-controller.htmlCISA KEV : https://www.cisa.gov/news-events/alerts/2025/12/15/cisa-adds-two-known-exploited-vulnerabilities-catalogEscroquerie WhatsApp : https://blog.avast.com/blog/onlinescams/whatsapppairingscamViolations de données : https://therecord.media/data-breaches-affecting-20-million-prosper-700creditVos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien consacré à la cybersécurité.Horizon3.ai expose trois vulnérabilités critiques dans FreePBX. La plus sévère, CVE-2025-66039 scorée 9.3, permet un bypass d'authentification complet via un simple header Authorization forgé. Deux autres failles offrent injection SQL et upload de web shell PHP pour exécution de code à distance. Les patches sont disponibles mais nécessitent une configuration manuelle via CLI et un audit des instances exposées avant septembre.Le nouvel avatar de BreachForums revendique une intrusion majeure sur le ministère de l'Intérieur français. L'acteur "Indra" affirme avoir exfiltré les bases de données police TAJ et FPR avec une demande de rançon sous une semaine. Place Beauvau confirme une compromission de messageries et d'applicatifs métiers. Double authentification systématique et rotation des mots de passe déployées en urgence. Enquête confiée à l'Office anti-cybercriminalité.BleepingComputer révèle comment des scammers ont détourné l'infrastructure PayPal pour envoyer des emails légitimes depuis [email protected]. L'exploitation de la fonction "pause subscription" a permis de contourner tous les filtres antispam pour mener des campagnes de tech support scam à grande échelle. PayPal confirme la fermeture de la faille après l'enquête.Le CERT-FR émet l'avis CERTFR-2025-AVI-1111 pour Roundcube Webmail. De multiples vulnérabilités XSS touchent les versions antérieures à 1.5.12 et 1.6.12, permettant injection de code à distance et atteinte à la confidentialité. Correctifs disponibles depuis le 13 décembre avec recommandation d'application immédiate pour toutes les instances webmail exposées.On ne réfléchit pas, on patch !Sources :FreePBX :https://thehackernews.com/2025/12/freepbx-authentication-bypass-exposed.htmlMinistère Intérieur : https://www.zdnet.fr/actualites/lattaque-informatique-contre-le-ministere-de-linterieur-revendiquee-par-un-nouvel-avatar-de-breachforums-486636.htmPayPal : https://www.malwarebytes.com/blog/news/2025/12/paypal-closes-loophole-that-let-scammers-send-real-emails-with-fake-purchase-noticesRoundcube : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1111/Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien consacré à la cybersécurité.Apple et Google corrigent en urgence des failles Zero-Day exploitées activement. La CISA a ajouté la CVE-2025-14174 à son catalogue KEV, signalant une corruption mémoire critique dans le moteur Chromium affectant Chrome, Edge et Brave. Simultanément, Apple a déployé des correctifs pour cette même faille ainsi que pour la CVE-2025-43529, un bug Use-After-Free dans WebKit. Ces vulnérabilités, découvertes par le Google Threat Analysis Group, sont utilisées dans des attaques "extrêmement sophistiquées" permettant l'exécution de code à distance (RCE) sur iPhone, iPad et macOS via du contenu web piégé. La mise à jour vers iOS 26.2 et les dernières versions des navigateurs est impérative pour stopper cette chaîne d'infection.Le CERT-FR émet une alerte massive concernant le noyau Linux d'Ubuntu. L'avis de sécurité couvre une série de vulnérabilités affectant l'intégralité des versions supportées, des LTS 18.04 jusqu'aux versions intermédiaires 25.10. Ces failles noyau permettent à des attaquants de provoquer des dénis de service à distance et de contourner les politiques de sécurité, menaçant gravement l'isolation des processus et des conteneurs. Les administrateurs système doivent non seulement appliquer les correctifs USN listés, mais impérativement planifier des redémarrages de production pour que le nouveau noyau soit chargé en mémoire.Une fuite de données historique expose 4,3 milliards d'enregistrements professionnels. Des chercheurs ont découvert une base de données MongoDB de 16 téraoctets laissée en accès libre, contenant des profils détaillés agrégés probablement depuis LinkedIn et Apollo.io. Le dataset inclut noms, emails, téléphones et historiques de carrière, constituant une arme absolue pour l'ingénierie sociale assistée par IA. Bien que sécurisée le 25 novembre, cette exposition offre aux cybercriminels de quoi automatiser des campagnes de Spear-Phishing et de Business Email Compromise (BEC) à très grande échelle contre les entreprises du Fortune 500.Le Président Trump signe un décret exécutif imposant un cadre national dérégulé pour l'IA. L'ordre interdit aux États fédérés de mettre en œuvre leurs propres régulations, menaçant de bloquer les financements fédéraux aux juridictions appliquant des lois jugées "onéreuses", comme celles du Colorado sur les biais algorithmiques. Pour les RSSI et équipes GRC, cela supprime les garde-fous légaux externes et déplace la responsabilité de la sécurité et de l'éthique des modèles exclusivement vers les contrôles internes, dans un climat favorisant l'innovation rapide au détriment de la sûreté.On ne réfléchit pas, on patch !Sources :Apple : https://www.bleepingcomputer.com/news/security/apple-fixes-two-zero-day-flaws-exploited-in-sophisticated-attacks/CISA https://www.cisa.gov/news-events/alerts/2025/12/12/cisa-adds-one-known-exploited-vulnerability-catalog-0CERT-FR :https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1106/Data Breach : https://securityaffairs.com/185661/data-breach/experts-found-an-unsecured-16tb-database-containing-4-3b-professional-records.htmlAI Regulation : https://therecord.media/trump-executive-order-ai-national-framework Vos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com

Bienvenue sur votre podcast quotidien consacré à la cybersécurité.Unit 42 de Palo Alto Networks expose Ashen Lepus, un acteur APT affilié au Hamas actif depuis 2018. Le groupe déploie une nouvelle suite malware modulaire .NET baptisée AshTag, ciblant des entités gouvernementales et diplomatiques au Moyen-Orient avec une expansion géographique confirmée vers Oman et Maroc. La chaîne d'infection multi-étapes s'initie via des leurres PDF en langue arabe sur des thématiques géopolitiques palestiniennes. Les victimes téléchargent des archives RAR contenant un binaire qui side-load le loader AshenLoader. Le groupe a abandonné son infrastructure C2 propriétaire au profit de sous-domaines API et authentification sur des domaines légitimes comme api.healthylifefeed.com, ce qui permet de masquer le trafic malveillant. L'architecture C2 intègre maintenant du géofencing et des vérifications anti-sandbox avant délivrance des payloads. Les modules secondaires sont encodés en Base64 et cachés dans des balises HTML commentées avec encryption AES-CTR-256. Ashen Lepus utilise Rclone pour exfiltrer les documents diplomatiques ciblés.Malwarebytes publie une analyse technique sur la confidentialité réelle des VPN suite à la hausse mondiale d'utilisation post-règles britanniques sur la vérification de l'âge. Le document expose l'écart massif entre promesses marketing et implémentation concrète, particulièrement critique pour les déploiements professionnels protégeant des données sensibles. La propriété complète de l'infrastructure élimine les intermédiaires non contrôlés contrairement à la location cloud. Les serveurs RAM-only détruisent instantanément toute trace en cas de coupure, ce qui annule tout vecteur de saisie physique. Le protocole WireGuard réduit drastiquement la surface d'attaque grâce à son codebase minimaliste auditable, alors qu'OpenVPN et IPSec représentent désormais des technologies legacy. Le risque majeur pour les organisations vient des employés utilisant des VPN commerciaux non validés qui créent des tunnels chiffrés contournant les contrôles DLP et exfiltrant les données corporate via des infrastructures tierces jamais auditées.Kali Linux publie la version 2025.4, dernière mise à jour de l'année, intégrant trois nouveaux outils de test d'intrusion, des améliorations majeures des environnements desktop et le support complet de Wayland sur GNOME. Les trois nouveaux outils incluent bpf-linker pour la compilation statique BPF, evil-winrm-py permettant l'exécution de commandes sur machines Windows distantes via WinRM, et hexstrike-ai qui autorise les agents IA à exécuter des outils de manière autonome via serveur MCP. GNOME passe en version 49 et supprime définitivement le support X11, fonctionnant désormais exclusivement sur Wayland avec support VM complet pour VirtualBox, VMware et QEMU. NetHunter étend le support Android 16 sur Samsung Galaxy S10 et OnePlus Nord, restaure le terminal avec compatibilité Magisk interactive, et intègre Wifipumpkin3 en preview avec templates de phishing Facebook, Instagram, iCloud et Snapchat.La CISA ajoute la CVE-2018-4063 au catalogue KEV le 12 décembre 2025 suite à la détection d'exploitation active. Cette vulnérabilité affecte Sierra Wireless AirLink ALEOS et permet l'upload non restreint de fichiers dangereux sans validation de type ou d'extension, conduisant à l'exécution de code arbitraire sur les routeurs cellulaires déployés dans les flottes véhicules, infrastructures IoT industrielles et réseaux M2M. Point critique : la CVE date de 2018 mais son ajout tardif au KEV confirme une recrudescence d'exploitation ciblant spécifiquement les équipements legacy non patchés. Les dispositifs AirLink assurent la connectivité cellulaire de systèmes SCADA, terminaux de paiement mobiles et plateformes télématiques.On ne réfléchit pas, on patch !Sources :Unit 42 : https://unit42.paloaltonetworks.com/hamas-affiliate-ashen-lepus-uses-new-malware-suite-ashtag/Malwarebytes : https://www.malwarebytes.com/blog/inside-malwarebytes/2025/12/how-private-is-your-vpnBleepingComputer : https://www.bleepingcomputer.com/news/security/kali-linux-20254-released-with-3-new-tools-desktop-updates/CISA : https://www.cisa.gov/news-events/alerts/2025/12/12/cisa-adds-one-known-exploited-vulnerability-catalogVos retours sont les bienvenus.Répondeur : 07 68 72 20 09Email : [email protected] web : www.radiocsirt.orgNewsletter Hebdo : https://radiocsirt.substack.com