RadioCSIRT - Edition Française

Nous ouvrons cet épisode avec cette information de Clubic sur l'alerte de la CISA américaine qui à ajoutée la CVE-2024-37079 à son catalogue KEV. Cette vulnérabilité critique de VMware vCenter Server obtient un score CVSS de 9.8 et affecte l'implémentation du protocole DCERPC. Broadcom avait publié le correctif en juin 2024. VulnCheck confirme l'exploitation active par trois groupes APT chinois : Fire Ant, Warp Panda et UNC3886. Les agences fédérales américaines disposent jusqu'au 13 février pour déployer le patch. (Complément par rapport à l'épisode 558 de RadioCSIRT)

Microsoft publie une mise à jour d'urgence hors-bande KB5078127 le 24 janvier pour corriger les blocages d'Outlook Classic. Le Patch Tuesday KB5074109 du 13 janvier provoquait des freezes pour les profils POP et les fichiers PST stockés sur OneDrive et Dropbox. Les symptômes incluent l'impossibilité de rouvrir Outlook sans terminer le processus et le retéléchargement des emails. Il s'agit de la deuxième mise à jour d'urgence Microsoft en une semaine.

ESET révèle DynoWiper, nouveau malware wiper utilisé par Sandworm dans une tentative d'attaque contre le secteur énergétique polonais les 29 et 30 décembre 2025. Les cibles incluent deux centrales de cogénération et un système de gestion d'électricité renouvelable. L'attaque a échoué. Elle coïncide avec le dixième anniversaire de la cyberattaque de décembre 2015 contre le réseau électrique ukrainien ayant déployé BlackEnergy et KillDisk.

Nous terminons avec Symantec et Carbon Black qui identifient Osiris, nouveau ransomware déployé en novembre 2025 contre un opérateur de restauration en Asie du Sud-Est. Le malware utilise la technique BYOVD avec le driver POORTRY pour neutraliser les solutions de sécurité. Le ransomware utilise un chiffrement hybride ECC et AES-128-CTR, ajoute l'extension .Osiris et présente des similitudes avec INC ransomware.

Sources

Clubic – CVE-2024-37079 VMware vCenter Server : https://www.clubic.com/actualite-596959-piratage-d-etat-quand-la-chine-et-la-russie-s-engouffrent-dans-les-serveurs-vmware-non-mis-a-jour.html
BleepingComputer – Microsoft KB5078127 Outlook : https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-oob-update-to-fix-outlook-freezes/
The Hacker News – DynoWiper Sandworm Pologne : https://thehackernews.com/2026/01/new-dynowiper-malware-used-in-attempted.html
Security Affairs – Osiris ransomware BYOVD : https://securityaffairs.com/187279/security/osiris-ransomware-emerges-leveraging-byovd-technique-to-kill-security-tools.html

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web :www.radiocsirt.org
Newsletter Hebdo :https://radiocsirt.substack.com

Nous ouvrons cet épisode avec Oracle, qui publie son Critical Patch Update trimestriel de janvier 2026. CVE-2026-21962 affecte Oracle HTTP Server, WebLogic Server Proxy Plug-in et Fusion Middleware, permettant l'accès non autorisé à distance. Un proof of concept a été publié dès le lendemain, réduisant drastiquement la fenêtre de remédiation pour les organisations.
La CISA ajoute CVE-2024-37079 au catalogue Known Exploited Vulnerabilities suite à des preuves d'exploitation active. Cette faille Out-of-bounds Write dans Broadcom VMware vCenter Server permet l'exécution de code à distance via des paquets DCERPC spécialement conçus. Les agences fédérales américaines ont jusqu'au 13 février 2026 pour appliquer les correctifs.
ISC publie un bulletin pour CVE-2025-13878 affectant BIND 9 versions 9.18.40 à 9.21.16. Les enregistrements BRID ou HHIT malformés provoquent l'arrêt inattendu du daemon named, créant une condition de denial of service pour les infrastructures DNS critiques reposant sur BIND comme serveur authoritative ou récursif.
Patchstack divulgue CVE-2026-24572, une SQL Injection de type Blind dans le plugin WordPress Nelio Content versions jusqu'à 4.1.0. Avec un score CVSS de 8.8 HIGH, la faille est exploitable à distance par un attaquant authentifié avec privilèges low, permettant la compromission complète de la base de données WordPress.
Fortinet FortiGuard Labs documente une campagne phishing multi-stage ciblant la Russie avec Amnesia RAT et ransomware. L'infrastructure abuse de GitHub pour les scripts et Dropbox pour les payloads binaires, utilise defendnot pour désactiver Microsoft Defender, et déploie un ransomware dérivé de Hakuna Matata avec capacités de clipboard hijacking pour rediriger les transactions cryptocurrency.
Nous terminons avec le botnet Kimwolf, qui infecte plus de 2 millions de dispositifs IoT. Infoblox révèle que 25 pourcent de ses clients corporate ont interrogé des domaines Kimwolf depuis octobre 2025. Synthient identifie 33000 adresses dans les universités et 8000 proxies IPIDEA dans les réseaux gouvernementaux, avec présence significative au département de la Défense américain.
Sources
Cyber.gc.ca – Oracle CPU janvier 2026 (AV26-042) : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-oracle-correctif-cumulatif-trimestriel-janvier-2026-av26-042
CISA – KEV CVE-2024-37079 VMware vCenter : https://www.cisa.gov/news-events/alerts/2026/01/23/cisa-adds-one-known-exploited-vulnerability-catalog
Cyber.gc.ca – ISC BIND CVE-2025-13878 (AV26-049) : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-isc-bind-av26-049
CVEFeed.io – CVE-2026-24572 WordPress Nelio Content : https://cvefeed.io/vuln/detail/CVE-2026-24572
The Hacker News – Multi-stage phishing Russie Amnesia RAT : https://thehackernews.com/2026/01/multi-stage-phishing-campaign-targets.html
Krebs on Security – Kimwolf botnet réseaux corporate : https://krebsonsecurity.com/2026/01/kimwolf-botnet-lurking-in-corporate-govt-networks/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec Under Armour, qui confirme une compromission majeure impliquant 72 millions de clients. Le groupe Everest ransomware publie un dataset de 343 gigaoctets contenant noms, emails, téléphones, localisations et historiques d'achat après l'échec des négociations. L'ensemble des données a été dupliqué sur les forums underground, représentant un risque élevé de phishing ciblé et d'attaques par ingénierie sociale.
Unit 42 de Palo Alto Networks documente une technique d'attaque exploitant les Large Language Models pour générer du JavaScript malveillant directement dans le navigateur. Le proof of concept utilise des API publiques comme DeepSeek et Gemini pour assembler dynamiquement des payloads de phishing via prompt engineering, contournant les guardrails LLM et l'analyse réseau. Le polymorphisme élevé et l'exécution runtime compliquent significativement la détection.
Le SANS ISC publie une analyse de sécurité sur du code Python généré à 99 pourcent par intelligence artificielle. Le scan Bandit révèle 14 vulnérabilités incluant parsing XML non sécurisé, appels subprocess sans validation, et générateurs pseudo-aléatoires inadaptés. L'étude souligne l'importance d'inclure des exigences de sécurité explicites dans les prompts IA pour éviter eval, exec, command injection et path traversal.
Le National Cyber Security Centre britannique émet une alerte ciblant les autorités locales et infrastructures critiques face aux hacktivistes pro-russes. Le groupe NoName057(16) se distingue par sa persistance, ciblant les mêmes organisations pendant plusieurs jours avec des attaques DDoS techniquement simples mais financièrement coûteuses. Le NCSC recommande l'adoption de services tiers de mitigation DDoS et l'utilisation de Content Delivery Networks.
Nous terminons avec le Centre canadien pour la cybersécurité, qui publie son guide ITSAP.00.009 détaillant les mesures critiques suivant la détection d'une compromission. Le document insiste sur le maintien des systèmes en marche pour préserver les preuves forensics éphémères résidant en mémoire vive, l'isolation réseau immédiate, et le respect du cadre légal canadien imposant notification au commissaire à la protection de la vie privée.
 
Sources
Malwarebytes – Under Armour / Everest / 72M : https://www.malwarebytes.com/blog/news/2026/01/under-armour-ransomware-breach-data-of-72-million-customers-appears-on-the-dark-web
Have I Been Pwned – Under Armour breach : https://haveibeenpwned.com/Breach/UnderArmour
Unit 42 – Runtime assembly + LLM phishing JS (22 Jan 2026) : https://unit42.paloaltonetworks.com/real-time-malicious-javascript-through-llms/
SANS ISC – Diary 32648 : https://isc.sans.edu/diary/rss/32648
NCSC UK – Pro-Russia hacktivist activity : https://www.ncsc.gov.uk/news/pro-russia-hacktivist-activity-continues-to-target-uk-organisations
Cyber.gc.ca – ITSAP.00.009 : https://www.cyber.gc.ca/fr/orientation/que-faire-cas-compromission-cyberattaque-itsap00009
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec la CISA, qui annonce l’ajout de quatre vulnérabilités activement exploitées à son catalogue Known Exploited Vulnerabilities (KEV). Les failles concernent Vite.js, Versa Concerto, Prettier (eslint-config-prettier) et Zimbra Collaboration Suite. Ces vulnérabilités couvrent des scénarios de contrôle d’accès défaillant, d’authentification incorrecte, de code malveillant embarqué et d’inclusion de fichiers distants en PHP. Leur exploitation active représente un risque élevé pour les organisations n’ayant pas encore appliqué les correctifs disponibles.
La CISA a également ajouté une vulnérabilité supplémentaire au catalogue KEV, identifiée comme CVE-2026-20045, affectant les produits Cisco Unified Communications. Cette faille permet une injection de code, et s’inscrit dans une catégorie de vulnérabilités fréquemment exploitées par des acteurs malveillants pour compromettre des infrastructures critiques. La directive BOD 22-01 impose aux agences fédérales américaines une remédiation rapide, mais la CISA recommande à l’ensemble des organisations de prioriser également ces corrections.
Troisième sujet, le CERT-FR publie un bulletin d’actualité alertant sur une vulnérabilité critique dans telnetd, référencée CVE-2026-24061. Cette faille permet à un attaquant distant de contourner l’authentification et d’obtenir un accès root sur les systèmes vulnérables. Elle affecte GNU InetUtils versions 1.9.3 à 2.7, est triviale à exploiter, et dispose déjà d’un code d’exploitation public. Aucun correctif officiel n’est disponible à ce stade. Le CERT-FR recommande le décommissionnement immédiat des services telnet, ou à défaut leur isolement strict et leur retrait de toute exposition Internet.
Nous poursuivons avec un avis du CERT-FR concernant une vulnérabilité dans Python, identifiée sous le CVE-2025-12781. La faille affecte les versions de CPython antérieures à 3.15 et permet un contournement de la politique de sécurité. Bien que les détails techniques restent limités, le risque est jugé significatif. Les administrateurs et développeurs sont invités à se référer au bulletin de sécurité officiel de Python pour appliquer les correctifs fournis par l’éditeur.
Sources :
CISA – Four KEV : https://www.cisa.gov/news-events/alerts/2026/01/22/cisa-adds-four-known-exploited-vulnerabilities-catalog
CISA – One KEV : https://www.cisa.gov/news-events/alerts/2026/01/21/cisa-adds-one-known-exploited-vulnerability-catalog
CERT-FR – Telnetd : https://www.cert.ssi.gouv.fr/actualite/CERTFR-2026-ACT-003/
CERT-FR – Python : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0079/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec Microsoft qui publie un workaround officiel suite à des freezes critiques d’Outlook Classic observés après l’installation de la mise à jour Windows KB5074109. Le dysfonctionnement impacte les comptes POP, provoque des blocages applicatifs, des redémarrages forcés et des anomalies sur les messages envoyés. Les environnements concernés incluent Windows 10, Windows 11 24H2/25H2 et plusieurs versions de Windows Server.
GitLab alerte ensuite sur plusieurs vulnérabilités de haute sévérité affectant ses éditions Community et Enterprise. La faille la plus critique permet un 2FA bypass via une mauvaise gestion de la valeur de retour du service d’authentification. D’autres vulnérabilités permettent des attaques Denial of Service à distance via des requêtes API et SSH malformées. Des correctifs sont disponibles dans les versions 18.8.2, 18.7.2 et 18.6.4.
Troisième sujet, une vulnérabilité critique touche le plugin WordPress ACF Extended, largement utilisé pour la gestion avancée de formulaires. La faille permet une privilege escalation en administrateur via l’injection d’un champ role non filtré dans les formulaires Insert/Update User. En présence d’un formulaire exposé, un attaquant non authentifié peut obtenir un contrôle total du site.
Nous poursuivons avec PixelCode, une nouvelle technique d’attaque démontrant la capacité à dissimuler un malware payload directement dans les pixels d’images ou de vidéos. Le binaire est encodé visuellement, hébergé sur une plateforme légitime comme YouTube, puis reconstruit en mémoire sur la machine victime. Cette approche permet de contourner de nombreux mécanismes de détection EDR et de filtrage réseau traditionnels.
Enfin, LastPass confirme une campagne active de phishing dans laquelle des attaquants usurpent l’identité de l’éditeur pour voler les master passwords des utilisateurs. Les e-mails frauduleux exploitent un faux scénario de maintenance et redirigent vers des pages d’authentification hébergées sur des infrastructures cloud légitimes. Cette campagne s’inscrit dans un contexte de menace persistante autour des coffres-forts LastPass précédemment compromis.
Sources :
Microsoft Outlook : https://www.bleepingcomputer.com/news/microsoft/microsoft-shares-workaround-for-outlook-freezes-after-windows-update/
GitLab 2FA & DoS : https://www.bleepingcomputer.com/news/security/gitlab-warns-of-high-severity-2fa-bypass-denial-of-service-flaws/
WordPress ACF Extended : https://thecyberexpress.com/acf-add-on-vulnerability-wordpress/
PixelCode : https://cyberpress.org/new-pixelcode-attack-smuggles-malware-using-image-pixel-encoding-technique/
LastPass Phishing : https://securityaffairs.com/187145/cyber-crime/crooks-impersonate-lastpass-in-campaign-to-harvest-master-passwords.html
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com