RadioCSIRT

Marc Frédéric GOMEZ

🎙 Marc Frédéric Gomez, expert en cybersécurité, vous livre chaque jour l’essentiel des menaces, attaques et stratégies de défense à connaître. 🔎 Au programme :✔️ Décryptage des cyberattaques et vulnérabilités critiques✔️ Veille stratégique pour les CSIRT, CERT et pros de la cybersécurité✔️ Sources et références pour approfondir chaque sujet 💡 Pourquoi écouter RadioCSIRT ?🚀 Restez à jour en quelques minutes par jour🛡️ Anticipez les menaces avec des infos fiables et techniques📢 Une veille indispensable pour les pros de l’IT et de la sécurité 🔗 Écoutez, partagez et sécurisez votre environnement !📲 Abonnez-vous et laissez une note ⭐ sur votre plateforme préférée !

  1. Ep.685 : RadioCSIRT Édition Française : Flash info cybersécurité du vendredi 3 juillet 2026

    vor 3 Std.

    Ep.685 : RadioCSIRT Édition Française : Flash info cybersécurité du vendredi 3 juillet 2026

    🇫🇷 Le CERT-FR publie un avis sur une vulnérabilité dans FreeBSD affectant les séries 14.x et 15.0 avec risque d'atteinte à la confidentialité. La CVE-2026-49424 nécessite application des correctifs depuis le bulletin FreeBSD-SA-26:47. 💰 Un développeur accuse Google Cloud d'avoir facturé onze mille dollars de frais frauduleux liés à Gemini après compromission de Firebase Admin SDK, malgré suspension de compte et preuves de piratage. 🕸️ Google et le FBI ont dégradé le botnet NetNut comptant environ deux millions d'appareils proxies résidentiels utilisés par trois cents clusters menaçants distincts durant une seule semaine en juin 2026. 🚨 Citizen Lab révèle qu'un ancien député européen enquêteur sur Pegasus a été hacké avec l'espion NSO Group via zero-click exploit PWNYOURHOME alors qu'il siégeait au comité PEGA entre 2022 et 2023. 🤖 Anthropic précise que Claude Fable 5 sera temporairement restreint aux subscriptions au-delà du 7 juillet pour raisons de capacité, mais promet un retour complet sous forme standard quand les capacités le permettront. Sources : Vulnérabilité dans FreeBSD : CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0830/Dev says Google warned him about account hijack then charged him eleven thousand anyway : The Register : https://www.theregister.com/cyber-crime/2026/07/03/dev-says-google-warned-him-about-account-hijack-then-charged-him-11000-anyway/5266234NetNut cracked as Google and FBI target two million device botnet : The Register : https://www.theregister.com/security/2026/07/03/netnut-cracked-as-google-and-fbi-target-2-million-device-botnet/5266414European Parliament Member Investigating Spyware Was Hacked With Pegasus : The Hacker News : https://thehackernews.com/2026/07/european-parliament-member.htmlClaude Fable 5 isn't permanently leaving subscriptions : BleepingComputer : https://www.bleepingcomputer.com/news/artificial-intelligence/claude-fable-5-isnt-permanently-leaving-subscriptions-anthropic-says/⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #FreeBSD #CVE-2026-49424 #GoogleCloud #Gemini #NetNut #FBI #Botnet #Pegasus #NSOGroup #CitizenLab #PEGA #Anthropic #Claude #Fable #RadioCSIRT

    10 Min.
  2. Ep.684 - RadioCSIRT - Flash info cybersécurité du jeudi 2 juillet 2026

    vor 1 Tag

    Ep.684 - RadioCSIRT - Flash info cybersécurité du jeudi 2 juillet 2026

    🐧 Anthropic publie une version bêta officielle de Claude Desktop pour Linux, prenant en charge Ubuntu 22.04 et supérieur et Debian 12 et supérieur, sur x86_64 et arm64. Installation par dépôt apt ou fichier .deb, avec les environnements Chat, Claude Cowork et Claude Code. La fonction Computer Use, la saisie vocale et les raccourcis Wayland restent exclus de cette préversion. 📱 Clubic rapporte une faille non corrigée dans la fonction Masquer mon e-mail d'Apple. Selon le chercheur Tyler Murphy, une rétro-ingénierie permet de remonter d'une adresse relais au compte Apple d'origine, avec un taux de réussite de cent pour cent selon 404 Media. Signalée en juin 2025, la faille persiste, tandis qu'Apple migre les alias vers @private.icloud.com. 🎣 The Hacker News détaille ChocoPoC, un RAT documenté par YesWeHack et Sekoia. Il se cache dans une dépendance Python (frint puis skytext) de faux dépôts de PoC sur GitHub ciblant les chercheurs. Il vole identifiants, cookies et fichiers, et pilote son C2 via Mapbox, DNS-over-HTTPS et domain fronting. Sept faux dépôts identifiés, liés à une campagne active depuis fin 2025. 🚨 Security Affairs signale l'exploitation active de CVE-2026-46817 dans Oracle E-Business Suite. La faille touche Oracle Payments 12.2.3 à 12.2.15 et permet une prise de contrôle non authentifiée via HTTP. Oracle a corrigé lors de son dernier Critical Patch Update. Shadowserver dénombre environ 950 instances encore exposées, majoritairement aux États-Unis. 🕵️ Schneier on Security décrit une campagne publicitaire fondée sur la surveillance, menée par Papa John's avec NBCUniversal, Instacart et Carat. En s'appuyant sur les achats de produits de base réalisés sur Instacart, l'opération prédit les jours où les consommateurs sont à court de provisions pour diffuser des publicités ciblées sur le streaming NBCUniversal. 🛡️ BleepingComputer relie la campagne FortiBleed aux rançongiciels INC et Lynx. Selon SOCRadar, un outil FortiGate Sniffer interceptait les identifiants VPN sur les pare-feu compromis. La campagne aurait visé plus de 430 000 pare-feu FortiGate et déployé des sniffers sur environ 19 000 équipements. Un Zero-Day Nextcloud non divulgué et des comptes backdoor adminin sont évoqués. 🐛 Check Point Research documente une technique de Ransomware exécutée uniquement dans le navigateur, dérivée d'un échantillon attribué à DeepSeek. Elle exploite la File System Access API des navigateurs Chromium, disponible sous Android depuis Chrome 132, sans payload natif ni exploitation de vulnérabilité. Le PoC, déguisé en outil d'amélioration d'images, cible les répertoires de photos. Sources :  Anthropic déploie l'application Claude Desktop sur Linux : GoodTech : https://goodtech.info/claude-desktop-linux-beta-anthropic-developpeurs/Masquer mon e-mail : la faille d'Apple qui révèle vos vraies adresses : Clubic : https://www.clubic.com/actualite-619570-masquer-mon-e-mail-la-faille-d-apple-qui-revele-vos-vraies-adresses-depuis-plus-d-un-an.htm l New ChocoPoC RAT Targets Vulnerability Researchers via Fake PoC Exploit Repos : The Hacker News : https://thehackernews.com/2026/07/new-chocopoc-rat-targets-vulnerability.htmlOracle E-Business Suite Flaw Under Active Attack, 950 Systems Exposed : Security Affairs : https://securityaffairs.com/194599/security/oracle-e-business-suite-flaw-under-active-attack-950-systems-exposed.htmlPapa Johns Surveillance-Based Advertising : Schneier on Security : https://www.schneier.com/blog/archives/2026/07/papa-johns-surveillance-based-advertising.htmlFortiBleed credential-theft campaign linked to Lynx ransomware : BleepingComputer : https://www.bleepingcomputer.com/news/security/fortibleed-credential-theft-campaign-linked-to-lynx-ransomware/Browser-Only Ransomware: From LLM Hallucinations to a Practical Attack Technique : Check Point Research : https://research.checkpoint.com/2026/browser-only-ransomware-from-llm-hallucinations-to-a-practical-attack-technique/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Anthropic #Claude #Linux #Ubuntu #Debian #Apple #HideMyEmail #ChocoPoC #RAT #SupplyChain #YesWeHack #Sekoia #GitHub #PyPI #Oracle #EBusinessSuite #Shadowserver #Privacy #Surveillance #Instacart #FortiBleed #Fortinet #FortiGate #INCRansom #Lynx #Ransomware #Nextcloud #ZeroDay #CheckPoint #DeepSeek #Chromium #FileSystemAccessAPI #CVE-2026-46817 #RadioCSIRT

    13 Min.
  3. Ep.683 - RadioCSIRT  - Flash info cybersécurité du mercredi 1er juillet 2026

    vor 2 Tagen

    Ep.683 - RadioCSIRT  - Flash info cybersécurité du mercredi 1er juillet 2026

    🔐 Proton met en avant Lumo AI, son assistant conversationnel positionné sur la confidentialité. Selon Proton, le service n'entraîne pas ses modèles sur les données des utilisateurs, ne journalise pas les conversations et ne les partage pas. Code open source, hébergement européen, mode Ghost, historique chiffré de bout en bout et intégration Proton Drive figurent parmi les fonctions annoncées. 🛠️ Git 2.55.0 est disponible. La version apporte la sous-commande git-history fixup, un daemon fsmonitor sous Linux via inotify, la prise en charge des groupes de remotes par git-push, l'option --graph-lane-limit, un batching des blobs pour git-grep et git-cherry en partial clone, et rend Rust requis pour compiler Git depuis les sources. 🐧 Linux Magazine rapporte un gain d'environ 5 pour cent d'IOPS sur ext4 et XFS. Le correctif, signé Fengnan Chang (ByteDance) et intégré par Christian Brauner, déplace un memset de iomap_iter pour l'exécuter après l'itération, supprimant un gaspillage de bande passante mémoire dans les scénarios NVMe io_uring. 🔓 CISA a ajouté le 29 juin 2026 CVE-2026-48558 à son catalogue KEV, sur preuve d'exploitation active. Il s'agit d'un Authentication Bypass affectant SimpleHelp. La Binding Operational Directive 26-04 impose aux agences fédérales civiles une remédiation prioritaire des vulnérabilités KEV sur les actifs exposés. 🚨 CISA a ajouté le 1er juillet 2026 CVE-2026-45659 à son catalogue KEV, également sur preuve d'exploitation active. La faille, de type Deserialization of Untrusted Data, affecte Microsoft SharePoint Server. Elle relève des exigences de remédiation prioritaire prévues par la directive 26-04. 💾 Le CERT-FR publie l'avis CERTFR-2026-AVI-0819 sur de multiples vulnérabilités dans Synology MailPlus Server (CVE-2025-15660, CVE-2026-13135, CVE-2026-13136). Elles permettent déni de service à distance, atteinte à la confidentialité et à l'intégrité des données. Versions antérieures à 4.0.1-21663 (DSM 7.2.1/7.2.2) et 4.0.1-31663 (DSM 7.3) affectées. 🐛 CVEFeed documente CVE-2026-50521, une faille de type Remote Code Execution dans Microsoft Edge basé sur Chromium, publiée le 1er juillet 2026. Score CVSS 3.1 de 8,3 (sévérité élevée), exploitable à distance, sans interaction utilisateur. Le vecteur mentionne un exploit non prouvé et un correctif officiel disponible. Sources : Get 23% off Lumo AI : Proton : https://proton.me/l/lumo/partner-discount What's new in Git 2.55.0? : GitLab : https://about.gitlab.com/blog/whats-new-in-git-2-55-0/Three Lines of Code Improve Linux Storage Performance : Linux Magazine : https://www.linux-magazine.com/Online/News/Three-Lines-of-Code-Improve-Linux-Storage-PerformanceCISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-48558) : CISA : https://www.cisa.gov/news-events/alerts/2026/06/29/cisa-adds-one-known-exploited-vulnerability-catalogCISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-45659) : CISA : https://www.cisa.gov/news-events/alerts/2026/07/01/cisa-adds-one-known-exploited-vulnerability-catalogMultiples vulnérabilités dans Synology MailPlus Server : CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0819/CVE-2026-50521 Microsoft Edge Remote Code Execution : CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-50521⚡️ On ne réfléchit pas, on patch !   📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Proton #Lumo #Git #GitLab #Rust #Linux #ext4 #XFS #NVMe #CISA #KEV #BOD2604 #SimpleHelp #Microsoft #SharePoint #Edge #Chromium #CERTFR #Synology #MailPlus #RCE #AuthenticationBypass #CVE-2026-48558 #CVE-2026-45659 #CVE-2025-15660 #CVE-2026-13135 #CVE-2026-13136 #CVE-2026-50521 #RadioCSIRT

    10 Min.
  4. Ep.682 - RadioCSIRT Édition Française - Flash info cybersécurité du Mardi 30 juin 2026

    vor 3 Tagen

    Ep.682 - RadioCSIRT Édition Française - Flash info cybersécurité du Mardi 30 juin 2026

    🐧 Kali Linux 2026.2 est disponible. La distribution met à niveau GNOME 50 et KDE Plasma 6.6, retire le firmware graphique des images de machine virtuelle pour des démarrages environ trois fois plus rapides sous QEMU, et passe au format deb822 pour les sources APT. Elle embarque le noyau Linux 6.19 et neuf nouveaux outils orientés pentest et OSINT, dont legba, penelope et tookie-osint. 🪟 La CISA signale l'exploitation par des groupes de ransomware de CVE-2026-33825, surnommée BlueHammer, une élévation de privilèges locale dans Microsoft Defender. La faille donne accès à la base SAM puis aux privilèges SYSTEM. Divulguée début avril par Nightmare Eclipse avec un PoC, corrigée le 14 avril, elle avait déjà été exploitée en zero-day et figure au catalogue KEV depuis le 22 avril. 🧩 Microsoft a retiré 119 extensions Edge liées à la campagne StegoAd, jusqu'à 2,6 millions d'utilisateurs potentiellement exposés. Le code malveillant était dissimulé par stéganographie dans des fichiers image et police, restait inactif trois à cinq jours, et ouvrait une porte dérobée. Vol d'identifiants Google avec codes 2FA, identifiants WordPress, cookies de session et fraude publicitaire. Activité attribuée à l'acteur chinois DarkSpectre depuis 2021. 🍎 Apple corrige plus de trente failles dans iOS, iPadOS, macOS et Safari 26.5.2. Quatre vulnérabilités WebKit ont été identifiées via des outils d'IA, Claude d'Anthropic et OpenAI Codex Security. CVE-2026-43715, un use-after-free, est créditée à Anthropic. Aucune des failles n'est décrite comme activement exploitée. Apple dit accélérer ses correctifs face à l'accélération du développement d'exploits par l'IA. 🤖 Le 0DIN de Mozilla documente une attaque par prompt injection indirecte contre Claude Code. Un faux projet GitHub nommé Axiom enchaîne trois éléments anodins, dont un script récupérant une charge via un enregistrement DNS TXT exécuté par bash. La charge Base64 est un reverse shell sans signature sur disque ni réseau. L'agent exécute l'initialisation comme une récupération d'erreur, ouvrant un shell avec les droits du développeur et exposant les secrets d'environnement. 🛡️ CVEFeed documente deux vulnérabilités critiques de contournement d'AWS WAF, CVE-2026-13762 pour Amazon CloudFront et CVE-2026-13763 pour l'Application Load Balancer. Une interprétation incohérente des requêtes HTTP/2 permet de fragmenter le corps pour n'en faire inspecter qu'une partie. Score CVSS 3.1 de 9,8. CloudFront corrigé côté serveur sans action client, ALB nécessitant l'activation de l'inspection après données suffisantes sur les groupes cibles HTTP/2. Sources :  Kali Linux 2026.2 Released With New Tools for Pentesting and OSINT Workflows, CyberPress : https://cyberpress.org/kali-linux-2026-2-released/ CISA: Windows BlueHammer flaw now exploited by ransomware gangs, BleepingComputer : https://www.bleepingcomputer.com/news/security/cisa-windows-bluehammer-flaw-now-exploited-by-ransomware-gangs/ Microsoft retire 119 extensions Edge piégées, jusqu'à 2,6 millions d'utilisateurs exposés, Clubic : https://www.clubic.com/actualite-619159-microsoft-fait-le-menage-et-retire-119-extensions-edge-malveillantes.html Apple Patches 30+ iOS, macOS, Safari Flaws, Including AI-Discovered WebKit Bugs, The Hacker News : https://thehackernews.com/2026/06/apple-patches-30-ios-macos-safari-flaws.htmlClaude Code Attack Uses DNS TXT Payload to Compromise Developer Machines, CyberPress : https://cyberpress.org/claude-code-dns-txt-payload/  CVE-2026-13762 HTTP/2 Body-Inspection Bypass in Amazon CloudFront with AWS WAF, CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-13762 CVE-2026-13763 HTTP/2 Body-Inspection Bypass in AWS Application Load Balancer with AWS WAF, CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-13763  ⚡️ On ne réfléchit pas, on patch !  📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #KaliLinux #Pentest #OSINT #Windows #MicrosoftDefender #Ransomware #KEV #Edge #StegoAd #Apple #WebKit #iOS #macOS #ClaudeCode #Anthropic #PromptInjection #AWS #AWSWAF #CloudFront #HTTP2 #CVE-2026-33825 #CVE-2026-43707 #CVE-2026-43716 #CVE-2026-43745 #CVE-2026-43715 #CVE-2026-13762 #CVE-2026-13763 #RadioCSIRT

    10 Min.
  5. Ep.681 - RadioCSIRT - Flash info cybersécurité du lundi 29 juin 2026

    vor 4 Tagen

    Ep.681 - RadioCSIRT - Flash info cybersécurité du lundi 29 juin 2026

    🚨 La CISA ajoute deux vulnérabilités activement exploitées à son catalogue KEV : la CVE-2026-12569 dans PTC Windchill et FlexPLM, et la CVE-2026-20230, une faille SSRF dans Cisco Unified Communications Manager. Les agences fédérales doivent prioriser la remédiation selon la BOD 26-04. 🛡️ Le CERT-FR publie l'avis CERTFR-2026-AVI-0814 sur la CVE-2026-55204, une vulnérabilité Null Pointer Dereference dans le traitement HPACK de HAProxy, permettant un déni de service à distance. Correctifs disponibles pour les branches ALOHA et Enterprise. 🔐 Le CERT-FR signale cinq vulnérabilités dans Stormshield Management Center (CERTFR-2026-AVI-0816), dont une exécution de code arbitraire. La mise à jour vers la version 3.9.2 corrige les CVE-2026-6473, CVE-2026-6475, CVE-2026-6477, CVE-2026-6637 et CVE-2026-6638. 🔥 Les vagues de chaleur menacent les data centers : 40 % de leur consommation est dédiée au refroidissement, et 79 % des installations mondiales sont exposées à des aléas climatiques graves. L'IA amplifie le défi thermique avec des GPU à haute densité. 🪟 Le chercheur NightmareEclipse annonce pour juillet 2026 la publication de failles dans des composants Microsoft. Il évoque également un contournement facilité de Windows Defender après des modifications récentes du moteur mpengine.dll. 🪟 Microsoft prolonge le hotpatching de Windows Server 2022 Datacenter Azure Edition jusqu'en octobre 2027. Les mises à jour de sécurité continueront à être appliquées sans redémarrage pour les systèmes inscrits. 🐛 La CVE-2026-55200, une faille critique (CVSS v4 : 9.2) dans libssh2, permet une exécution de code à distance via un out-of-bounds write dans ssh2_transport_read(). Toutes les versions jusqu'à 1.11.1 sont affectées. Correctif disponible. 🇨🇳 Mustang Panda cible le gouvernement indien et le secteur hydroélectrique avec trois nouveaux outils : SHARDLOADER, MINIRECON et ZOHOMURK. Ce dernier exploite Zoho WorkDrive comme canal C2 via des identifiants OAuth codés en dur. Activité observée du 12 au 22 juin 2026. Sources : CISA Adds Two Known Exploited Vulnerabilities to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/06/25/cisa-adds-two-known-exploited-vulnerabilities-catalogVulnérabilité dans HAProxy — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0814/Multiples vulnérabilités dans Stormshield Management Center — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0816/Canicule : les vagues de chaleur menacent aussi les data centers — Clubic : https://www.clubic.com/actualite-619033-canicule-les-data-centers-ia-sous-pression-face-au-risque-climatique.htmlMicrosoft is an interesting company — Project Nightcrawler : https://blog.projectnightcrawler.dev/posts/2026-06-22-microsoft-is-an-interesting-company/Microsoft extends Windows Server 2022 hotpatching until October 2027 — BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-extends-windows-server-2022-hotpatching-until-october-2027/CVE-2026-55200: Critical libssh2 Flaw Opens Remote Code Execution Path — TheCyberThrone : https://thecyberthrone.in/2026/06/29/cve-2026-55200-critical-libssh2-flaw-opens-remote-code-execution-path/Mustang Panda Uses Zoho WorkDrive as Command Channel in Indian Government Attacks — The Hacker News : https://thehackernews.com/2026/06/mustang-panda-uses-zoho-workdrive-as.html⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #CVE-2026-12569 #CVE-2026-20230 #PTC #Windchill #Cisco #CERTFR #HAProxy #CVE-2026-55204 #Stormshield #CVE-2026-6473 #CVE-2026-6475 #CVE-2026-6477 #CVE-2026-6637 #CVE-2026-6638 #DataCenter #Canicule #IA #Microsoft #WindowsDefender #WindowsServer #Hotpatch #libssh2 #CVE-2026-55200 #RCE #MustangPanda #Zoho #APT #ThreatIntelligence #Inde #Espionnage #RadioCSIRT

    13 Min.
  6. Ep. 680- RadioCSIRT Édition Spéciale - Réponse à un auditeur : peut-on encore faire confiance à Trivy ?

    vor 5 Tagen

    Ep. 680- RadioCSIRT Édition Spéciale - Réponse à un auditeur : peut-on encore faire confiance à Trivy ?

    🔍 Cet épisode spécial répond à la question d'un auditeur de RadioCSIRT sur la confiance à accorder à Trivy après les deux compromissions de mars 2026. Rappel factuel des incidents TeamPCP : exploitation d'une misconfiguration GitHub Actions, vol de credentials, tag poisoning de 76 tags trivy-action, publication de binaires malveillants (v0.69.4 à v0.69.6) et déploiement du ver auto-propagatif CanisterWorm sur plus de 60 paquets npm. 🛡️ Analyse de la confiance : la faille ne portait pas sur le moteur de scan mais sur l'infrastructure de distribution. Aqua Security a depuis activé les releases immuables, renforcé la signature Cosign/Sigstore et restauré les pipelines de bases de données. La version actuelle 0.71.2 est publiée sous régime immutable. 🔧 Alternatives et diversification : le combo Syft/Grype (Anchore) offre une approche SBOM-first complémentaire à Trivy. Autres options : Clair (Red Hat), Docker Scout, Snyk, Dependency-Track. La diversification des moteurs de scan reste la meilleure stratégie. 🎓 Questions philo/cyber : la transparence post-incident est une nécessité opérationnelle pour les outils open source massivement déployés, mais doit être séquencée (contenir, puis divulguer). L'absence de vulnérabilité connue dans un produit fermé ne signifie pas l'absence de vulnérabilité : un outil attaqué puis durci inspire davantage confiance qu'un produit non veillé. Sources : Aqua Security, Trivy Supply Chain Attack: What You Need to Know : https://www.aquasec.com/blog/trivy-supply-chain-attack-what-you-need-to-know/CrowdStrike, From Scanner to Stealer: Inside the trivy-action Supply Chain Compromise : https://www.crowdstrike.com/en-us/blog/from-scanner-to-stealer-inside-the-trivy-action-supply-chain-compromise/Microsoft, Guidance for detecting, investigating, and defending against the Trivy supply chain compromise : https://www.microsoft.com/en-us/security/blog/2026/03/24/detecting-investigating-defending-against-trivy-supply-chain-compromise/Aikido Security, TeamPCP deploys CanisterWorm on NPM following Trivy compromise : https://www.aikido.dev/blog/teampcp-deploys-worm-npm-trivy-compromiseThe Hacker News, Trivy Supply Chain Attack Triggers Self-Spreading CanisterWorm Across 47 npm Packages : https://thehackernews.com/2026/03/trivy-supply-chain-attack-triggers-self.htmlPalo Alto Networks, When Security Scanners Become the Weapon : https://www.paloaltonetworks.com/blog/cloud-security/trivy-supply-chain-attack/StepSecurity, Trivy Compromised a Second Time : https://www.stepsecurity.io/blog/trivy-compromised-a-second-time---malicious-v0-69-4-releaseGitHub Security Advisory, GHSA-69fq-xp46-6x23 : https://github.com/aquasecurity/trivy/security/advisories/GHSA-69fq-xp46-6x23DPO Partage, Trivy empoisonné : quand l'outil de sécurité devient lui-même la menace : https://www.dpo-partage.fr/trivy-empoisonne-quand-loutil-de-securite-devient-lui-meme-la-menace/Stéphane Robert, Trivy Aqua : réponse supply chain : https://blog.stephane-robert.info/post/trivy-aqua-reponse-supply-chain/⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Trivy #AquaSecurity #SupplyChain #TeamPCP #CanisterWorm #CVE-2026-33634 #GitHubActions #CICD #Syft #Grype #Anchore #SBOM #CycloneDX #SPDX #Cosign #Sigstore #npm #OpenSource #RadioCSIRT

    14 Min.
  7. Ep.679 - Podcast RadioCSIRT  - Flash info cybersécurité du dimanche 28 juin 2026

    vor 5 Tagen

    Ep.679 - Podcast RadioCSIRT - Flash info cybersécurité du dimanche 28 juin 2026

    🤖 Cisco Talos explore l'apport des modèles de langage pour indexer et exploiter le renseignement sur les menaces au-delà des IOC tactiques. La newsletter met également en lumière l'abus du Component Object Model par des malwares comme Qakbot et WarmCookie pour la persistance et l'évasion sous Windows. 📦 Malwarebytes analyse une campagne d'arnaque au « Parcel Expert » diffusée via WhatsApp. Les victimes sont recrutées comme mules logistiques pour réexpédier des colis achetés avec des moyens de paiement volés, avec des risques de poursuites judiciaires et de vol d'identité. 🦈 Kaspersky documente StrikeShark, une campagne utilisant le loader SharkLoader pour déployer Cobalt Strike Beacon via l'exploitation d'applications exposées (Exchange, Openfire, GeoServer, Fortinet). L'acteur, attribué avec faible confiance à un groupe sinophone, cible des entités gouvernementales et des développeurs logiciels dans plus de dix pays. 🔬 VirusTotal publie YARA-X v1.18.0 et v1.19.0, apportant des optimisations de performance de scan, des avertissements pour les patterns problématiques, de nouveaux types d'architecture PE, et des corrections de bugs incluant un comportement indéfini lors de la désérialisation de données non fiables. 🔓 Le FBI et la CISA alertent sur l'évolution d'une campagne de phishing des services de renseignement russes (UNC5792/UNC4221) ciblant les utilisateurs Signal. Les attaquants se font passer pour le support Signal afin de collecter les clés de récupération de sauvegarde et accéder à l'historique complet des conversations. 🐧 La vulnérabilité CVE-2026-46331, baptisée Pedit COW, affecte le sous-système traffic-control du noyau Linux (v5.18 à v7.1-rc7). Un exploit public corrompt l'image ELF de /bin/su dans le page cache sans toucher au disque, contournant les contrôles d'intégrité. RHEL, Debian et Ubuntu sont concernés. Sources : Beyond IOCs: AI-enabled threat intelligence — Cisco Talos : https://blog.talosintelligence.com/beyond-iocs-ai-enabled-threat-intelligence/Beware of "Parcel Expert" job offers: They're parcel mule scams — Malwarebytes : https://www.malwarebytes.com/blog/scams/2026/06/beware-of-parcel-expert-job-offers-theyre-parcel-mule-scamsStrikeShark: investigating a new campaign delivering Cobalt Strike through SharkLoader — Kaspersky Securelist : https://securelist.com/strikeshark-campaign/120326/YARA-X v1.18.0 Release — VirusTotal GitHub : https://github.com/VirusTotal/yara-x/releases/tag/v1.18.0YARA-X v1.19.0 Release — VirusTotal GitHub : https://github.com/VirusTotal/yara-x/releases/tag/v1.19.0FBI: Russian hackers now target Signal backup recovery keys — BleepingComputer : https://www.bleepingcomputer.com/news/security/fbi-russian-hackers-now-target-signal-backup-recovery-keys/New Pedit COW Linux Kernel Flaw Lets Local Users Gain Root Access — Cyber Press : https://cyberpress.org/packet_edit_meme-linux-kernel-flaw/ ⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CiscoTalos #COM #ThreatIntelligence #LLM #Malwarebytes #ParcelMule #Scam #Kaspersky #StrikeShark #SharkLoader #CobaltStrike #APT #YARA #YARAx #VirusTotal #FBI #CISA #Signal #Phishing #UNC5792 #UNC4221 #Linux #Kernel #CVE-2026-46331 #PeditCOW #PrivilegeEscalation #RadioCSIRT

    11 Min.
  8. Ep.678 - RadioCSIRT  - Flash info cybersécurité du jeudi 25 juin 2026

    25. Juni

    Ep.678 - RadioCSIRT - Flash info cybersécurité du jeudi 25 juin 2026

    🇺🇸 Le secrétaire à la Sécurité intérieure Markwayne Mullin révèle devant le Congrès que le président a rencontré un candidat au poste de directeur de la CISA. L'agence, qui a perdu un tiers de ses effectifs, prévoit le recrutement de six cents personnes. La reconstruction est estimée à un an. 🪟 Microsoft prolonge discrètement d'un an le programme gratuit de mises à jour de sécurité étendues pour Windows 10. L'échéance passe du 12 octobre 2026 au 12 octobre 2027. Une licence couvre jusqu'à dix appareils personnels associés au même compte Microsoft. 🌐 Google publie Chrome 149 avec la correction de dix-huit vulnérabilités, dont quatre critiques. Deux Use-after-Free dans WebGL permettent une évasion du Sandbox. Un Use-after-Free dans Autofill touche les données de paiement. Aucune exploitation active confirmée. 🛡️ Cisco Talos publie une recherche approfondie sur l'utilisation de COM par les malwares Windows. Les études de cas couvrent Qakbot, Gh0stRAT, Attor et WarmCookie, montrant comment COM sert au mouvement latéral, à la persistance et à l'évasion de la détection EDR. Sources : DHS chief says president has met with potential CISA nominee; agency plans to hire 600. Recorded Future News : https://therecord.media/cisa-director-nominee-workforce-hires-mullin-house-hearingMicrosoft quietly extends free Windows 10 ESU support to October 2027. BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-quietly-extends-free-windows-10-esu-support-to-october-2027/Google Chrome 149 Security Update: 18 Vulnerabilities Patched. TheCyberThrone : https://thecyberthrone.in/2026/06/25/google-chrome-149-security-update-18-vulnerabilities-patched/Introduction to COM usage by Windows threats. Cisco Talos : https://blog.talosintelligence.com/introduction-to-com-usage-by-windows-threats/⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #DHS #Palantir #Windows10 #ESU #Microsoft #Chrome #Google #Chrome149 #WebGL #UseAfterFree #Autofill #CVE-2026-13028 #CVE-2026-13032 #CVE-2026-13033 #CVE-2026-13038 #COM #DCOM #CiscoTalos #Qakbot #Gh0stRAT #Attor #WarmCookie #BITS #TaskScheduler #MalwareAnalysis #ReverseEngineering #RadioCSIRT

    7 Min.

Info

🎙 Marc Frédéric Gomez, expert en cybersécurité, vous livre chaque jour l’essentiel des menaces, attaques et stratégies de défense à connaître. 🔎 Au programme :✔️ Décryptage des cyberattaques et vulnérabilités critiques✔️ Veille stratégique pour les CSIRT, CERT et pros de la cybersécurité✔️ Sources et références pour approfondir chaque sujet 💡 Pourquoi écouter RadioCSIRT ?🚀 Restez à jour en quelques minutes par jour🛡️ Anticipez les menaces avec des infos fiables et techniques📢 Une veille indispensable pour les pros de l’IT et de la sécurité 🔗 Écoutez, partagez et sécurisez votre environnement !📲 Abonnez-vous et laissez une note ⭐ sur votre plateforme préférée !

Das gefällt dir vielleicht auch