Épisodes

  • Ep.695 - RadioCSIRT Flash info cybersécurité du lundi 13 juillet 2026
    Jul 13 2026
    🐧 FOSS Force rapporte la publication de debvulns-exporter par Vasudeva Kamath, un exportateur Prometheus des vulnérabilités Debian bâti sur debsecan. L'outil expose les données de vulnérabilité en métriques Prometheus visualisables dans Grafana, au sein d'un ensemble debvulns qui inclut une CLI et un composant MCP. Le développeur a fait évoluer un serveur MCP expérimental vers cet exportateur, jugeant l'exécution permanente d'un serveur MCP coûteuse en tokens. Disponible sur PyPI.🇫🇷 Le CERT-FR publie le rapport CERTFR-2026-CTI-004 sur le ciblage et la compromission d'entités françaises via le mode opératoire Turla, attribué au 16ème Centre du FSB russe. Actif depuis au moins 2004, ce mode opératoire vise des ministères et des entités des secteurs diplomatique, de la défense, de la justice et des technologies. La France et l'Union européenne ont publié ce 13 juillet 2026 deux déclarations formelles d'attribution à la Russie.🎣 Selon BleepingComputer, Lidl, filiale du groupe Schwarz, a notifié des clients en Allemagne, en Belgique et aux Pays-Bas d'une fuite de données après la compromission d'un prestataire. Les données volées de la boutique en ligne incluent civilité, nom, téléphone, email, date de naissance et numéro client. Lidl n'exclut pas que mots de passe et informations bancaires soient concernés, et met en garde contre le phishing.🚨 The Register rapporte que Progress Software a ordonné l'arrêt d'urgence des serveurs ShareFile Storage Zone Controllers face à une menace externe crédible, sans correctif ni contournement disponible. L'accès au service cloud a été rétabli le 12 juillet, mais les composants sur site doivent rester hors ligne. Progress avait corrigé quelques mois plus tôt deux failles critiques de ce composant chaînables en RCE non authentifiée, sans lien établi.🔓 Le SANS Internet Storm Center documente des scans internet à la recherche de serveurs Model Context Protocol, de configurations d'assistants IA et de points LLM exposés. Les sondes POST /mcp émettent un appel JSON-RPC initialize valide, et la campagne recherche des fichiers comme /.claude/mcp.json ou /.claude/.credentials.json, ainsi que les points /v1/models et /api/tags, avec des tentatives SSRF sur les métadonnées cloud.Sources : Deb Dev Builds Graphical Debian Vulnerability Exporter for Prometheus. FOSS Force : https://fossforce.com/2026/07/deb-dev-builds-graphical-debian-vulnerability-exporter-for-prometheus/Ciblage et compromission d'entités françaises au moyen du mode opératoire d'attaque Turla. CERT-FR : https://www.cert.ssi.gouv.fr/cti/CERTFR-2026-CTI-004/ Lidl discloses online shop breach after service provider hack. BleepingComputer : https://www.bleepingcomputer.com/news/security/lidl-discloses-online-shop-breach-after-service-provider-hack/Progress orders emergency ShareFile server shutdown over mystery security threat. The Register : https://www.theregister.com/security/2026/07/13/progress-orders-emergency-sharefile-server-shutdown-over-mystery-security-threat/5270281 Someone Is Scanning for Your MCP Servers and AI Assistant Credentials. SANS Internet Storm Center : https://isc.sans.edu/diary/rss/33150⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Debian #Prometheus #Grafana #debsecan #OpenSource #MCP #EPSS #Turla #FSB #Russie #Espionnage #CERTFR #France #UE #Lidl #DataBreach #SchwarzGroup #Phishing #Progress #ShareFile #RCE #Clop #SANS #ISC #AISecurity #Ollama #SSRF #LLM #Cursor #RadioCSIRT
    Afficher plus Afficher moins
    9 min
  • Ep.694 - RadioCSIRT Flash info cybersécurité du dimanche 12 juillet 2026
    Jul 12 2026
    🐧 Le projet Debian met fin au suivi de sécurité normal de Debian 12 Bookworm le 12 juillet 2026 et le confie à son équipe de suivi à long terme, jusqu'au 30 juin 2028. Pour la première fois, l'architecture ppc64el entre dans le périmètre LTS. Les utilisateurs sont invités à migrer vers Debian 13 Trixie.🪟 Microsoft Edge basé sur Chromium est affecté par CVE-2026-58596, une élévation de privilèges par déréférencement de pointeur non fiable, notée 8,3 en CVSS. L'exploitation requiert une interaction de l'utilisateur, et un correctif officiel est disponible.🚨 L'ACSC alerte sur une campagne mondiale déployant des webshells contre des CMS et des plugins vulnérables, dont de nombreux modules WordPress, Craft CMS avec CVE-2025-32432 et Joomla JCE avec CVE-2026-48907. De nombreuses PME australiennes sont déjà touchées.🔐 Dell est concerné par CVE-2026-40639, un stockage des mots de passe BIOS reposant sur un XOR défaillant qui permet de récupérer les identifiants en clair depuis la SPI flash, sans force brute. Les Latitude, le XPS 15 9560 et le client léger Wyse 5070 sont confirmés vulnérables.🐛 Un cheval de Troie documenté par Doctor Web infecte les fichiers de projet Visual Studio en C++ et C sharp via des pre-build events, propageant Backdoor, voleur d'identifiants et cryptomineur dans la chaîne de développement, avec un C2 hébergé sur GitHub, Steam et YouTube.🔓 Squidbleed, CVE-2026-47729, est une lecture hors limites du proxy Squid qui divulgue les requêtes HTTP en clair d'autres utilisateurs, identifiants compris. Présente depuis 1997 dans la configuration par défaut et notée 6,5, elle se neutralise en désactivant le FTP.🔒 L'Unit 42 documente le Ransomware-as-a-Service The Gentlemen, deuxième programme le plus actif de 2026 avec 580 victimes dans 77 pays, un partage de 90 pour cent pour les affiliés et un EDR killer maison. Les CVE-2024-55591, CVE-2025-32433 et CVE-2025-7771 figurent parmi les accès exploités.Sources :La prise en charge de sécurité de Bookworm transmise à l'équipe LTS. Debian : https://www.debian.org/News/2026/20260712CVE-2026-58596 : Microsoft Edge (Chromium-based) Elevation of Privilege Vulnerability. CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-58596Australia warns of global campaign targeting vulnerable CMS platforms. BleepingComputer : https://www.bleepingcomputer.com/news/security/australia-warns-of-global-campaign-targeting-vulnerable-cms-platforms/Dell BIOS Flaw Lets Attackers Recover Passwords From SPI Flash. Cyber Press : https://cyberpress.org/dell-bios-recover-passwords-spi-flash/Hackers Infect C++ and C# Project Files to Spread Multi-Stage Windows Backdoor. GBHackers : https://gbhackers.com/c-c-project-files-windows-backdoor/29-Year-Old Squid Proxy Bug Squidbleed Can Leak Cleartext HTTP Requests. The Hacker News : https://thehackernews.com/2026/06/29-year-old-squid-proxy-bug-squidbleed.htmlNo Manners Here: The Ruthless Rise of The Gentlemen Ransomware. Unit 42 : https://unit42.paloaltonetworks.com/the-gentlemen-ransomware/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Debian #LTS #Bookworm #MicrosoftEdge #WordPress #CraftCMS #Joomla #ACSC #Dell #BIOS #VisualStudio #DoctorWeb #Squid #Squidbleed #Ransomware #TheGentlemen #Qilin #Unit42 #CVE-2026-58596 #CVE-2026-40639 #CVE-2026-47729 #CVE-2025-32432 #CVE-2026-48907 #CVE-2024-55591 #CVE-2025-32433 #CVE-2025-7771 #RadioCSIRT
    Afficher plus Afficher moins
    12 min
  • RadioCSIRT Épisode 693 : Édition Spéciale Project Glasswing du Samedi 11 Juillet 2026
    Jul 11 2026
    En 2026, un modèle d'intelligence artificielle a poussé son propre créateur à ne pas le publier, puis à bâtir autour de lui un vaste programme de défense, avant de se retrouver deux fois en confrontation directe avec le gouvernement des États-Unis. Ce modèle s'appelle Mythos. Le programme s'appelle Project Glasswing. L'éditeur, c'est Anthropic, la société qui développe Claude.Dans cette édition spéciale, RadioCSIRT prend de la hauteur pour raconter l'une des histoires les plus révélatrices de l'année en cybersécurité. Nous expliquons d'abord, sans jargon et sans emballement, ce que sont Mythos, Fable et Project Glasswing. Nous déroulons ensuite la chronologie du double bras de fer entre Anthropic et l'administration américaine, de la désignation comme risque pour la chaîne d'approvisionnement par le Pentagone jusqu'aux contrôles à l'export qui ont coupé l'accès aux modèles Fable 5 et Mythos 5. Fidèles à notre ligne, nous séparons les faits vérifiables des interprétations, en attribuant chaque position à son auteur : Anthropic, le gouvernement, la justice, les chercheurs.L'épisode se referme sur une question ouverte, que nous laissons à votre jugement : tout cela relève-t-il d'une opération de communication brillamment orchestrée, ou du premier signe d'une arme cyber d'un genre nouveau, celle qui, dans l'imaginaire collectif, annonce Skynet ?Au sommaire :🧩 Mythos, Fable, Glasswing : ce que c'est, et ce que ce n'est pas🛡️ Le programme de défense : partenaires, chiffres revendiqués et critiques⚖️ Le double bras de fer avec le gouvernement américain : supply chain risk et contrôles à l'export🎧 La question de clôture : opération marketing ou arme cyber ?📌 Sources utilisées:Project Glasswing. Anthropic : https://www.anthropic.com/glasswingProject Glasswing, partenaires fondateurs. Anthropic : https://www.anthropic.com/project/glasswingProject Glasswing: An initial update. Anthropic : https://www.anthropic.com/research/glasswing-initial-updateExpanding Project Glasswing. Anthropic : https://www.anthropic.com/news/expanding-project-glasswingStatement on the US government directive to suspend access to Fable 5 and Mythos 5. Anthropic : https://www.anthropic.com/news/fable-mythos-accessAnthropic Project Glasswing: Mythos Preview gets limited release. NBC News : https://www.nbcnews.com/tech/security/anthropic-project-glasswing-mythos-preview-claude-gets-limited-release-rcna267234On Anthropic's Mythos Preview and Project Glasswing. Schneier on Security : https://www.schneier.com/blog/archives/2026/04/on-anthropics-mythos-preview-and-project-glasswing.htmlProject Glasswing: The 10 Consequences Nobody's Writing About Yet. Forrester : https://www.forrester.com/blogs/project-glasswing-the-10-consequences-nobodys-writing-about-yet/Anthropic expands Mythos to 150 additional organizations in more than 15 countries. CNBC : https://www.cnbc.com/2026/06/02/anthropic-mythos-ai-project-glasswing.htmlAnthropic scales Claude Mythos to critical infrastructure in 15+ countries. TechCrunch : https://techcrunch.com/2026/06/02/anthropic-scales-claude-mythos-to-critical-infrastructure-in-15-countries/Judge temporarily blocks Trump administration's Anthropic ban. NPR : https://www.npr.org/2026/03/26/nx-s1-5762971/judge-temporarily-blocks-anthropic-banJudge blocks Trump administration from limiting Anthropic's contracts with federal government. NBC News : https://www.nbcnews.com/news/us-news/anthropic-trump-national-security-rcna265399Judge blocks Pentagon's effort to punish Anthropic by labeling it a supply chain risk. CNN Business : https://edition.cnn.com/2026/03/26/business/anthropic-pentagon-injunction-supply-chain-riskAnthropic loses appeals court bid to temporarily block Pentagon blacklisting. CNBC : https://www.cnbc.com/2026/04/08/anthropic-pentagon-court-ruling-supply-chain-risk.htmlFederal Government and Anthropic: Considerations for AI Innovation and Competition. Congressional Research Service, Congress.gov : https://www.congress.gov/crs-product/IF13217Anthropic Disabled Fable 5 And Mythos 5 After A U.S. Export-Control Order. Forbes : https://www.forbes.com/sites/anishasircar/2026/06/16/anthropic-disabled-fable-5-and-mythos-5-after-a-us-export-control-order-heres-what-happened/Anthropic disables Fable and Mythos AI models after U.S. government bars foreign access. Fortune : https://fortune.com/2026/06/13/anthropic-disables-fable-mythos-export-controls-national-security-threat/US lifts restrictions on Anthropic's powerful AI models Fable and Mythos. Al Jazeera : https://www.aljazeera.com/economy/2026/7/1/us-lifts-restrictions-on-powerful-ai-models-fable-mythos-anthropic-saysAnthropic says Trump admin has lifted export controls on Claude Fable 5 and Mythos 5. CNBC : https://www.cnbc.com/2026/06/30/anthropic-says-trump-admin-has-lifted-export-controls-on-claude-fable-5-and-mythos-5.htmlUS Lifts Export Curbs on Anthropic AI Models. BankInfoSecurity : https://...
    Afficher plus Afficher moins
    30 min
  • Ep.692 - RadioCSIRT Flash info cybersécurité du vendredi 10 juillet 2026
    Jul 10 2026
    🔑 La CISA publie le retour d'expérience d'un incident interne du 15 mai 2026 : un prestataire avait copié un dépôt de build et de déploiement, avec des identifiants d'administration, vers son GitHub personnel, exposant des clés AWS GovCloud. Dépôt retiré, identifiants réinitialisés, accès révoqués. Les journaux confirment aucune utilisation externe des clés ni compromission de données client ou de mission.🐧 FOSS Force rapporte le sabotage de l'infrastructure d'OpenMandriva par le développeur Davide Beatrici, qui conservait des droits d'administration après avoir migré les dépôts vers son instance privée OneDev. À la suite d'un conflit interne, il a supprimé une partie du dépôt GitHub et publié un paquet vide rendant obsolètes tous les paquets Gnome et Cosmic. L'équipe restaure les dépôts et renonce à des poursuites.🐧 Le CERT-FR publie deux avis Linux datés du 10 juillet. CERTFR-2026-AVI-0862 couvre de multiples vulnérabilités du noyau Linux de Debian LTS (bookworm, bullseye, trixie), avec élévation de privilèges, atteinte à la confidentialité et déni de service. CERTFR-2026-AVI-0866 porte sur Microsoft Azure Linux, impact non spécifié, composants azl3 kernel, libarchive, libreswan, libtiff et nginx.🪟 Le chercheur NightmareEclipse détaille une découverte dans Windows Defender sur le blog ProjectNightcrawler. Les mitigations récentes de mpengine.dll peuvent provoquer une fuite de huit octets vers les pilotes. Il décrit surtout un contournement de la limite de taille via les fichiers ADS Zone.Identifier : un serveur SMB malveillant qui bloque ses réponses provoque le blocage de Defender et l'épuisement de l'espace disque, reproduit sur Windows 11 25H2 et Windows Server 2025. Référence au correctif CVE-2026-50656 lié à RoguePlanet.🔓 BleepingComputer rapporte que Zimbra corrige une faille critique stored XSS du Classic Web Client, sans identifiant CVE à ce jour, via la version 10.1.19. L'exploitation repose sur des courriels conçus dont le code s'exécute à l'ouverture, permettant le vol de données de session. Signalée par le Google Threat Analysis Group. Rappel des campagnes russes visant Zimbra, dont CVE-2025-66376 et CVE-2025-48700.📱 Cyber Press relaie une étude des universités du Michigan et du Nouveau-Mexique : sur 281 applications VPN Android gratuites auditées avec le cadre MVPNalyzer, 61 transmettent des données en clair et 5 leur fichier de configuration en clair, ouvrant à une attaque de détournement de tunnel démontrée. 29 applications laissent fuir du trafic hors tunnel, dont 24 des requêtes DNS cumulant 360 millions d'installations.☁️ AWS introduit la prise en charge d'OAuth pour l'AWS MCP Server, réutilisant les identifiants IAM existants via le navigateur. Nouveaux contrôles de gouvernance : clés de condition globales OAuth, introspection et révocation de jetons, Dynamic Client Registration, éléments CloudTrail. Deux modèles d'autorisation, interactif et headless. L'implémentation s'appuie sur les RFC 9728, 8414 et 7591.🐛 Cisco Talos divulgue des vulnérabilités corrigées dans plusieurs produits. WolfSSL : CVE-2026-28739, CVE-2026-25106 et CVE-2026-33091. GeoVision : quatorze avis couvrant trente-sept CVE, dont injections de commandes, dépassements de tampon, élévations de privilèges et XSS. VTK-DICOM : CVE-2026-22879, dépassement de tampon dans le tas. Détection possible via règles Snort.🚨 La CISA ajoute deux vulnérabilités à son catalogue KEV sur preuves d'exploitation active : CVE-2026-48939 dans iCagenda et CVE-2026-56291 dans Balbooa Forms, toutes deux des téléversements sans restriction de fichier de type dangereux. La directive BOD 26-04 impose aux agences fédérales civiles la remédiation prioritaire des failles à haut risque du KEV sur les actifs exposés.Sources : Lessons from CISA's Cyber Incident. CISA : https://www.cisa.gov/news-events/news/lessons-cisas-cyber-incidentIn an Angry Fit, Dev Sabotages OpenMandriva Repository. FOSS Force : https://fossforce.com/2026/07/in-an-angry-fit-dev-sabotages-openmandriva-repository/Multiples vulnérabilités dans le noyau Linux de Debian LTS. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0862/Multiples vulnérabilités dans Microsoft Azure Linux. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0866/July updates. ProjectNightcrawler : https://blog.projectnightcrawler.dev/posts/2026-07-03-july-updates/Ranting Post. ProjectNightcrawler : https://blog.projectnightcrawler.dev/posts/2026-07-07-ranting-post/Some Interesting Findings in Windows Defender. ProjectNightcrawler : https://blog.projectnightcrawler.dev/posts/2026-07-09-some-interesting-findings-in-windows-defender/Zimbra urges customers to patch critical web client XSS flaw. BleepingComputer : https://www.bleepingcomputer.com/news/security/zimbra-urges-customers-to-patch-critical-web-client-xss-flaw/281 Google Play VPN Apps Expose Sensitive ...
    Afficher plus Afficher moins
    16 min
  • Ep.691 - RadioCSIRT Édition Française - Flash info cybersécurité du jeudi 9 juillet 2026
    Jul 9 2026
    🛡️ Red Hat et IBM lancent commercialement Lightwell, défense de la chaîne d'approvisionnement open source assistée par IA, élargie à Palo Alto Networks pour le virtual patching, avec Lightwell Network (dépôts signés, backports) et Lightwell Clearinghouse (correctifs sous embargo).📡 Le CERT-FR publie l'avis CERTFR-2026-AVI-0852 sur de multiples vulnérabilités Juniper Networks (Junos OS, cRPD, CTPView, Junos Space, Network Director), dont CVE-2026-33801, CVE-2026-33799 et CVE-2020-7450, permettant RCE, déni de service et fuite de données.🛡️ Le CERT-FR publie l'avis CERTFR-2026-AVI-0853 sur plusieurs centaines de vulnérabilités Palo Alto Networks (PAN-OS, Prisma Access, Prisma Browser, Cortex XDR Broker VM), avec RCE à distance, élévation de privilèges, SSRF et XSS.🐛 Le CERT-FR publie l'avis CERTFR-2026-AVI-0849 sur de multiples vulnérabilités Wireshark (branches antérieures à 4.6.7 et 4.4.17), référençant CVE-2026-15163 à CVE-2026-15174, permettant déni de service et atteinte à la confidentialité.🪟 Microsoft corrige le zero-day Defender RoguePlanet (CVE-2026-50656), divulgué par Nightmare Eclipse, une race condition donnant les privilèges SYSTEM sur Windows 10 et 11 à jour, corrigée via le Malware Protection Engine 1.1.26060.3008.🇫🇷 Vincent Strubel, DG de l'ANSSI, alerte les sénateurs sur le mur du patch lié aux vulnérabilités découvertes par l'IA, évoque le cas Mythos 5 d'Anthropic et rappelle que cloisonnement, gestion des accès et mises à jour restent la meilleure protection.🕵️ The Register et Proofpoint détaillent la campagne d'espionnage chinoise UNK_MassTraction contre des serveurs Roundcube d'universités, exploitant CVE-2024-42009 et CVE-2025-49113 pour déployer le stealer IceCube, le webshell SquareShell et l'implant VShell.🚨 The Hacker News et Symantec décrivent le ransomware GodDamn, rebranding de Beast, qui utilise le driver noyau signé PoisonX en attaque BYOVD pour désactiver les défenses, avec AnyDesk, NirSoft et PsExec.🎣 KrebsOnSecurity enquête sur IRIS C2 et Calvexa Group, startup de rachat de zero-days offrant jusqu'à 7 millions de dollars, associée à Jack Burkman et Jacob Wohl, aux lourds antécédents judiciaires.Sources :Lightwell: Red Hat's and IBM's AI Defense Against AI-Based Attacks. FOSS Force : https://fossforce.com/2026/07/lightwell-red-hats-and-ibms-ai-defense-against-ai-based-attacks/Multiples vulnérabilités dans les produits Juniper Networks. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0852/Multiples vulnérabilités dans les produits Palo Alto Networks. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0853/Multiples vulnérabilités dans Wireshark. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0849/Microsoft patches RoguePlanet Defender zero-day vulnerability. BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-rogueplanet-defender-zero-day-vulnerability/L'avertissement de Vincent Strubel face au mur du patch. ZDNET : https://www.zdnet.fr/actualites/ca-va-secouer-pendant-les-trois-prochaines-annees-au-moins-lavertissement-de-vincent-strubel-face-au-mur-du-patch-498468.htm Suspected Chinese snoops caught breaking into universities' Roundcube mailservers. The Register : https://www.theregister.com/security/2026/07/08/suspected-chinese-snoops-caught-breaking-into-universities-roundcube-mailservers/GodDamn Ransomware Uses PoisonX Driver to Disable Endpoint Defenses. The Hacker News : https://thehackernews.com/2026/07/goddamn-ransomware-uses-poisonx-driver.htmlFelons, Fraudsters Flog Offensive Cybersecurity Startup. KrebsOnSecurity : https://krebsonsecurity.com/2026/07/felons-fraudsters-flog-offensive-cybersecurity-startup/⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Lightwell #RedHat #IBM #PaloAltoNetworks #SupplyChain #Juniper #JunosOS #Wireshark #Microsoft #Defender #ZeroDay #RoguePlanet #NightmareEclipse #ANSSI #MurDuPatch #Roundcube #Proofpoint #UNKMassTraction #IceCube #VShell #Ransomware #GodDamn #PoisonX #BYOVD #IRISC2 #Krebs #CVE-2026-50656 #CVE-2024-42009 #CVE-2025-49113 #CVE-2026-33801 #CVE-2026-33799 #CVE-2020-7450 #CVE-2026-15163 #RadioCSIRT
    Afficher plus Afficher moins
    13 min
  • Ep.690 - RadioCSIRT : Flash info cybersécurité du mercredi 8 juillet 2026
    Jul 8 2026
    🚨 La CISA ajoute au catalogue KEV la vulnérabilité CVE-2026-48282, un Path Traversal dans Adobe ColdFusion activement exploité, dans le cadre de la directive BOD 26-04 de priorisation par le risque.🚨 La CISA ajoute trois vulnérabilités exploitées au catalogue KEV : CVE-2026-48908 dans JoomShaper SP Page Builder (upload de fichier dangereux), CVE-2026-55255 dans Langflow (contournement d'autorisation) et CVE-2026-56290 dans Joomlack Page Builder (contrôle d'accès défaillant).🐧 Canonical fait de l'ARM64 une priorité pour Ubuntu 26.04 LTS : migration des paquets vers archive.ubuntu.com, Livepatch sur ARM64, émulation Steam via FEX, Widevine dans Chrome ARM64 et Secure Boot sur Snapdragon X Elite via stubble.🚔 La police espagnole arrête à Palencia, sur renseignement du FBI, un homme soupçonné de soutenir les groupes hacktivistes pro-russes CARR, Z-Pentest et NoName057(16), et d'avoir aidé un hacker ukrainien à fuir vers la Russie.🐛 Unit 42 analyse une campagne diffusant Vidar Stealer et le mineur XMRig via malvertising et faux cracks : loader Factory-v3 en Go, certificats Authenticode contrefaits (JustWatch, Bleacher Report), inflation de fichiers à 491 Mo, bypass AMSI, notifications Telegram X3D MINER.☁️ Une analyse revient sur la campagne supply chain du groupe TeamPCP (UNC6780) : cascade partie de Trivy vers Checkmarx KICS, LiteLLM et Telnyx à travers PyPI, npm, Docker Hub et OpenVSX, avec CVE-2026-33634 et CVE-2026-45321.🛡️ Le FIRST présente PR3TACK, framework ouvert dévoilé à FIRSTCON26 qui catalogue des TTP plausibles mais non observées et les associe à des contre-mesures préventives, en complément de MITRE ATT&CK et D3FEND.Sources : CISA Adds One Known Exploited Vulnerability to Catalog. CISA : https://www.cisa.gov/news-events/alerts/2026/07/07/cisa-adds-one-known-exploited-vulnerability-catalogCISA Adds Three Known Exploited Vulnerabilities to Catalog. CISA : https://www.cisa.gov/news-events/alerts/2026/07/07/cisa-adds-three-known-exploited-vulnerabilities-catalogLe grand bouleversement d'Ubuntu : ARM64 en priorité. GoodTech : https://goodtech.info/ubuntu-26-04-lts-arm64-canonical-processeur/Spain arrests alleged supporter of pro-Russian hacktivist groups after FBI tip. The Record : https://therecord.media/spain-arrest-alleged-supporter-noname-carr-zpentestVidar Stealer Unmasked: Code Signing Abuse, Go Loaders and File Inflation. Unit 42 : https://unit42.paloaltonetworks.com/vidar-stealer-xmrig-miner-campaign-analysis/TeamPCP : anatomie d'une campagne d'attaques de la chaîne d'approvisionnement logicielle. Blog de Marc-Frédéric Gomez : https://blog.marcfredericgomez.fr/teampcp-anatomie-dune-campagne-dattaques-de-la-chaine-dapprovisionnement-logicielle/PR3TACK: The Preemptive Tactics and Countermeasures Knowledgebase. FIRST : https://www.first.org/blog/20260708-FIRSTCON26-PR3TACK⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #BOD2604 #AdobeColdFusion #Langflow #Joomla #JoomShaper #Ubuntu #ARM64 #Canonical #Hacktivism #NoName05716 #CARR #ZPentest #VidarStealer #XMRig #Malvertising #Factoryv3 #Monero #TeamPCP #UNC6780 #SupplyChain #PR3TACK #FIRSTCON26 #MITRE #CVE-2026-48282 #CVE-2026-48908 #CVE-2026-55255 #CVE-2026-56290 #CVE-2026-33634 #CVE-2026-45321 #RadioCSIRT
    Afficher plus Afficher moins
    11 min
  • Ep.689 - RadioCSIRT - Flash info cybersécurité du mardi 7 juillet 2026
    Jul 7 2026
    🛡️ Une chercheuse a accédé au panneau de gestion du streaming en production de la Coupe du monde 2026 via un simple compte public FIFA. La faille : une autorisation NO_ROLES vérifiée uniquement côté client, tandis que les serveurs répondaient à toutes les requêtes. Étaient exposés les clés de flux RTMP, les contrôles start/stop et le Commentator Information System d'un événement diffusé à trois milliards de téléspectateurs. La faille a été corrigée.🐘 Le CERT-FR publie l'avis CERTFR-2026-AVI-0843 sur de multiples vulnérabilités dans PHP (branches 8.2 à 8.5), référençant CVE-2026-12184 et CVE-2026-14355.📧 Le CERT-FR publie l'avis CERTFR-2026-AVI-0842 sur de multiples vulnérabilités dans Postfix, permettant un déni de service, avec un large éventail de branches affectées jusqu'à postfix-3.11.5.📡 L'Internet Storm Center analyse l'usage croissant des enregistrements DNS NAPTR pour le protocole RCS, avec le service SIPS+D2T et un mécanisme d'expressions régulières encore inexploité.🇨🇦 Le Communications Security Establishment canadien révèle trois opérations cyber offensives menées en 2025 contre un groupe extrémiste, des trafiquants de fentanyl et un gang de ransomware-as-a-service, plus des perturbations contre dix gangs majeurs.🎣 Malwarebytes documente une campagne de phishing usurpant Netflix, Coca-Cola, Adidas et la FIFA, avec au moins 34 domaines et de fausses fenêtres Google, abusant de PeopleForce et Salesforce Marketing Cloud pour cibler le marketing.🐛 Cisco Talos détaille le nouvel arsenal de l'acteur China-nexus UAT-7810 (réseau ORB LapDogs) : LONGLEASH, DOGLEASH et JARLEASH, avec exploitation n-day des routeurs Ruckus et ASUS AiCloud.☁️ AWS présente un modèle d'autorisation least-privilege en trois couches pour les chaînes multi-agents d'IA, basé sur Cedar, OAuth 2.0, HMAC-SHA256 et Amazon Verified Permissions, contre le risque OWASP ASI03.Sources : Une hackeuse a pris le contrôle du streaming du Mondial 2026. Clubic : https://www.clubic.com/actualite-619945-une-hackeuse-a-pris-le-controle-du-streaming-du-mondial-2026-et-a-failli-troller-3-milliards-de-telespectateurs.htmlMultiples vulnérabilités dans PHP. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0843/Multiples vulnérabilités dans Postfix. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0842/RCS and DNS: The NAPTR Record. SANS Internet Storm Center : https://isc.sans.edu/diary/rss/33124Canadian spy agency reports hacking three criminal groups in 2025. The Record : https://therecord.media/canada-cse-2025-cyber-operations-ransomware-drugs-extremismFake Netflix, Coca-Cola, and FIFA job scams target marketers. Malwarebytes : https://www.malwarebytes.com/blog/scams/2026/07/fake-netflix-coca-cola-and-fifa-job-scams-target-marketersUAT-7810 continues building ORB networks using new malware. Cisco Talos : https://blog.talosintelligence.com/uat-7810/Enforce least-privilege authorization in multi-agent AI chains using Cedar. AWS Security Blog : https://aws.amazon.com/fr/blogs/security/enforce-least-privilege-authorization-in-multi-agent-ai-chains-using-cedar/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #FIFA #WorldCup2026 #RTMP #BrokenAccessControl #PHP #Postfix #CERTFR #DNS #NAPTR #RCS #SIP #CSE #Canada #Ransomware #Phishing #JobScam #PeopleForce #UAT7810 #ORB #LapDogs #LONGLEASH #DOGLEASH #JARLEASH #Ruckus #ASUS #AWS #Cedar #OAuth #OWASP #CVE-2026-12184 #CVE-2026-14355 #CVE-2020-22653 #CVE-2020-22658 #CVE-2023-25717 #CVE-2025-2492 #RadioCSIRT
    Afficher plus Afficher moins
    12 min
  • Ep.688 - RadioCSIRT Flash info cybersécurité du lundi 6 juillet 2026
    Jul 6 2026
    🕵️ Check Point Research documente Cavern, framework C2 modulaire opéré par le groupe iranien Cavern Manticore, avec liens vers MuddyWater et Lyceum, contre fournisseurs IT et entités gouvernementales israéliennes. Chaîne via abus de la mise à jour SysAid, DLL side-loading vers uxtheme.dll trojanisée, cinq modules DLL couvrant fichiers, SQL, Active Directory, réseau et tunneling SOCKS5. Trois formats de compilation .NET dont Native AOT comme couche anti-analyse.🖥️ Vulnérabilité use-after-free CVE-2026-53359, baptisée Januscape, dans le shadow MMU de KVM, permettant une évasion guest-to-host sur Intel et AMD. PoC public provoquant un panic de l'hôte, exploit privé menant à l'exécution de code. Passée inaperçue seize ans, corrigée le 19 juin, versions stables publiées le 4 juillet. Contournement : désactiver la virtualisation imbriquée.🇯🇵 La police de Tokyo arrête un lycéen de 15 ans ayant exploité une faille des serveurs de Bandai Channel pour annuler plus de 46 000 abonnements. Il aurait analysé le trafic réseau puis automatisé l'attaque avec ChatGPT. Données frauduleuses envoyées en novembre 2025, service suspendu plus d'un mois. Persistance par changement d'adresse IP après blocage.🔐 L'ANSSI cessera de certifier les produits de sécurité sans chiffrement résistant au quantique dès 2027, avec un objectif d'achats exclusivement quantum-safe d'ici 2030. Mesure motivée par le risque harvest now, decrypt later. Certification requise pour agences et infrastructures critiques françaises. Plan quantique national de trois milliards d'euros ; menace située au milieu des années 2030.🛠️ Flipper Devices maintiendra le firmware du Flipper Zero avec une équipe réduite et davantage de contributions communautaires, le développement de fonctionnalités à temps plein étant terminé. Recentrage sur Flipper One et Busy Bar. Nouvelle approche : demandes évaluées chaque semaine, communication via GitHub Discussions avec votes, pull requests sous revue stricte, tests obligatoires. Vigilance sur le code généré par IA.📱 Qualcomm publie son bulletin de sécurité de juillet 2026. Faille critique CVE-2026-25268 : stack-based buffer overflow dans WLAN Host, CVSS 8,8, vecteur distant. Trois failles élevées : CVE-2026-21379 (buffer over-read, Windows Compute), CVE-2026-21383 (réutilisation de nonce AES-GCM, HLOS), CVE-2026-25271 (race condition TOCTOU, DSP Service). Correctifs partagés avec les OEM.Sources :Iran-Linked Hackers Use New Cavern C2 Framework to Target Israeli Organizations : The Hacker News : https://thehackernews.com/2026/07/iran-linked-hackers-use-new-cavern-c2.html16-Year-Old Linux KVM Flaw Lets Guest VMs Escape to Host on Intel and AMD x86 Systems : The Hacker News : https://thehackernews.com/2026/07/16-year-old-linux-kvm-flaw-lets-guest.htmlJapanese teen arrested over cyberattack that disrupted anime streaming service : The Record : https://therecord.media/japanese-teen-arrested-over-attack-disrupted-streaming-serviceFrance to stop certifying non-quantum-safe encryption : Schneier on Security : https://www.schneier.com/blog/archives/2026/07/france-to-stop-certifying-non-quantum-safe-encryption.htmlFrance to stop certifying products without quantum-safe encryption : Reuters : https://www.reuters.com/legal/litigation/france-stop-certifying-products-without-quantum-safe-encryption-2026-06-16/Flipper Zero firmware development continues with community help : BleepingComputer : https://www.bleepingcomputer.com/news/security/flipper-zero-firmware-development-continues-with-community-help/July 2026 Security Bulletin : Qualcomm : https://docs.qualcomm.com/securitybulletin/july-2026-bulletin.html⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Iran #CavernManticore #MuddyWater #OilRig #KVM #Linux #Januscape #Hyperviseur #Qualcomm #Snapdragon #ANSSI #QuantumSafe #PQC #FlipperZero #ChatGPT #BandaiChannel #CVE-2026-53359 #CVE-2026-25268 #RadioCSIRT
    Afficher plus Afficher moins
    10 min