RadioCSIRT

Marc Frédéric GOMEZ

🎙 Marc Frédéric Gomez, expert en cybersécurité, vous livre chaque jour l’essentiel des menaces, attaques et stratégies de défense à connaître. 🔎 Au programme :✔️ Décryptage des cyberattaques et vulnérabilités critiques✔️ Veille stratégique pour les CSIRT, CERT et pros de la cybersécurité✔️ Sources et références pour approfondir chaque sujet 💡 Pourquoi écouter RadioCSIRT ?🚀 Restez à jour en quelques minutes par jour🛡️ Anticipez les menaces avec des infos fiables et techniques📢 Une veille indispensable pour les pros de l’IT et de la sécurité 🔗 Écoutez, partagez et sécurisez votre environnement !📲 Abonnez-vous et laissez une note ⭐ sur votre plateforme préférée !

  1. Ep.688 - RadioCSIRT Flash info cybersécurité du lundi 6 juillet 2026

    3 hr ago

    Ep.688 - RadioCSIRT Flash info cybersécurité du lundi 6 juillet 2026

    🕵️ Check Point Research documente Cavern, framework C2 modulaire opéré par le groupe iranien Cavern Manticore, avec liens vers MuddyWater et Lyceum, contre fournisseurs IT et entités gouvernementales israéliennes. Chaîne via abus de la mise à jour SysAid, DLL side-loading vers uxtheme.dll trojanisée, cinq modules DLL couvrant fichiers, SQL, Active Directory, réseau et tunneling SOCKS5. Trois formats de compilation .NET dont Native AOT comme couche anti-analyse. 🖥️ Vulnérabilité use-after-free CVE-2026-53359, baptisée Januscape, dans le shadow MMU de KVM, permettant une évasion guest-to-host sur Intel et AMD. PoC public provoquant un panic de l'hôte, exploit privé menant à l'exécution de code. Passée inaperçue seize ans, corrigée le 19 juin, versions stables publiées le 4 juillet. Contournement : désactiver la virtualisation imbriquée. 🇯🇵 La police de Tokyo arrête un lycéen de 15 ans ayant exploité une faille des serveurs de Bandai Channel pour annuler plus de 46 000 abonnements. Il aurait analysé le trafic réseau puis automatisé l'attaque avec ChatGPT. Données frauduleuses envoyées en novembre 2025, service suspendu plus d'un mois. Persistance par changement d'adresse IP après blocage. 🔐 L'ANSSI cessera de certifier les produits de sécurité sans chiffrement résistant au quantique dès 2027, avec un objectif d'achats exclusivement quantum-safe d'ici 2030. Mesure motivée par le risque harvest now, decrypt later. Certification requise pour agences et infrastructures critiques françaises. Plan quantique national de trois milliards d'euros ; menace située au milieu des années 2030. 🛠️ Flipper Devices maintiendra le firmware du Flipper Zero avec une équipe réduite et davantage de contributions communautaires, le développement de fonctionnalités à temps plein étant terminé. Recentrage sur Flipper One et Busy Bar. Nouvelle approche : demandes évaluées chaque semaine, communication via GitHub Discussions avec votes, pull requests sous revue stricte, tests obligatoires. Vigilance sur le code généré par IA. 📱 Qualcomm publie son bulletin de sécurité de juillet 2026. Faille critique CVE-2026-25268 : stack-based buffer overflow dans WLAN Host, CVSS 8,8, vecteur distant. Trois failles élevées : CVE-2026-21379 (buffer over-read, Windows Compute), CVE-2026-21383 (réutilisation de nonce AES-GCM, HLOS), CVE-2026-25271 (race condition TOCTOU, DSP Service). Correctifs partagés avec les OEM. Sources : Iran-Linked Hackers Use New Cavern C2 Framework to Target Israeli Organizations : The Hacker News : https://thehackernews.com/2026/07/iran-linked-hackers-use-new-cavern-c2.html16-Year-Old Linux KVM Flaw Lets Guest VMs Escape to Host on Intel and AMD x86 Systems : The Hacker News : https://thehackernews.com/2026/07/16-year-old-linux-kvm-flaw-lets-guest.htmlJapanese teen arrested over cyberattack that disrupted anime streaming service : The Record : https://therecord.media/japanese-teen-arrested-over-attack-disrupted-streaming-serviceFrance to stop certifying non-quantum-safe encryption : Schneier on Security : https://www.schneier.com/blog/archives/2026/07/france-to-stop-certifying-non-quantum-safe-encryption.htmlFrance to stop certifying products without quantum-safe encryption : Reuters : https://www.reuters.com/legal/litigation/france-stop-certifying-products-without-quantum-safe-encryption-2026-06-16/Flipper Zero firmware development continues with community help : BleepingComputer : https://www.bleepingcomputer.com/news/security/flipper-zero-firmware-development-continues-with-community-help/July 2026 Security Bulletin : Qualcomm : https://docs.qualcomm.com/securitybulletin/july-2026-bulletin.html⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Iran #CavernManticore #MuddyWater #OilRig #KVM #Linux #Januscape #Hyperviseur #Qualcomm #Snapdragon #ANSSI #QuantumSafe #PQC #FlipperZero #ChatGPT #BandaiChannel #CVE-2026-53359 #CVE-2026-25268 #RadioCSIRT

    10 min
  2. Ep.687 - RadioCSIRT Flash info cybersécurité du dimanche 5 juillet 2026

    1 day ago

    Ep.687 - RadioCSIRT Flash info cybersécurité du dimanche 5 juillet 2026

    🐧 Seconde vague d'attaques contre le dépôt AUR d'Arch Linux, quelques heures après la clôture d'un incident ayant conduit au retrait de plus de 1 500 paquets malveillants. La nouvelle campagne utilise du code obfusqué exécuté après installation, qui télécharge silencieusement du JavaScript depuis Internet. Plus de 50 paquets infectés recensés, créations de comptes AUR temporairement bloquées. 🖥️ Le projet NsCDE, environnement de bureau rétro reproduisant le Common Desktop Environment des UNIX des années 90 sur base FVWM, annonce le retour de son développement actif à l'automne après trois ans de pause. Au programme : reprise des thèmes Firefox et Thunderbird devenus incompatibles et corrections diverses. Dernière version publiée : 2.3, juin 2023. 🐛 Vulnérabilité critique CVE-2026-59509 dans cve-search, outil open source utilisé par les CERT et CSIRT. Le point de terminaison POST /fetch_cve_data permet à un attaquant distant non authentifié de lire des collections MongoDB arbitraires, dont la collection mgmt_users contenant identifiants administrateurs et empreintes de mots de passe. Score CVSS 4.0 de 9,2. Correctif proposé via pull request sur GitHub. 🔓 The Register publie une tribune sur les banques laissant le MFA optionnel, à travers le récit d'un vol de 30 000 dollars subi par une cliente de 84 ans. Réutilisation de mots de passe, compromission de Gmail avec filtres masquant les alertes bancaires : le FIDO Alliance plaide pour les passkeys résistantes au phishing face aux OTP jugés inadéquats. 🎣 Securelist documente Armored Likho, groupe APT inédit ciblant gouvernements et secteur électrique en Russie, au Brésil et au Kazakhstan. Spear-Phishing avec droppers NSIS et fichiers LNK piégés, déploiement de l'infostealer Python BusySnake protégé par PyArmor, persistance par tâches planifiées et loaders de premier étage générés par IA. Sources :  AUR to Arch: 'Houston, We've Got a Problem…We're Under Attack Again' : FOSS Force : https://fossforce.com/2026/06/aur-to-arch-houston-weve-got-a-problem-were-under-attack-again/ Not so Common Desktop Environment (NsCDE) : GitHub : https://github.com/NsCDE/NsCDE CVE-2026-59509 : Unauthenticated arbitrary MongoDB collection read in cve-search : CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-59509 MFA-optional banks leave safe doors (and accounts) wide open for thieves to pillage : The Register : https://www.theregister.com/security/2026/07/05/mfa-optional-banks-leave-safe-doors-and-accounts-wide-open-for-thieves-to-pillage/5266161 Armored Likho APT Deploys BusySnake Stealer Against Government and Power Sector Targets : GBHackers : https://gbhackers.com/busysnake-stealer-malware/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #ArchLinux #AUR #NsCDE #FVWM #CVESearch #MongoDB #MFA #Passkeys #FIDO #ArmoredLikho #BusySnake #Infostealer #Phishing #APT #Securelist #CVE-2026-59509 #RadioCSIRT

    11 min
  3. Ep.686 - RadioCSIRT : Flash info cybersécurité du samedi 4 juillet 2026

    2 days ago

    Ep.686 - RadioCSIRT : Flash info cybersécurité du samedi 4 juillet 2026

    🛡️ Le Centre canadien pour la cybersécurité publie le bulletin AV26-649 relayant les correctifs WatchGuard du 2 juillet. Plusieurs branches de Fireware OS sont concernées, ainsi que le client Mobile VPN with SSL pour Windows. Les avis couvrent une Race Condition avec Use-After-Free dans Mobile VPN with IKEv2 et une élévation de privilèges locale dans le client SSL Windows. 🔓 Cisco Talos dissèque ARToken, un panneau d'affiliation Phishing-as-a-Service lié à EvilTokens et ciblant Microsoft 365. Plus de 80 points d'API couvrent le Device Code Phishing, la persistance par Primary Refresh Token résistante aux changements de mot de passe et les opérations BEC. Le kit embarque un système anti-analyse en sept couches et des charges chiffrées en XOR. 🎣 Malwarebytes documente une publicité sponsorisée sur X, publiée depuis un compte vérifié, qui imite l'utilitaire macOS DynamicLake pour installer Atomic Stealer via des commandes Terminal. La technique ConsentFix vole en parallèle des jetons de session Microsoft 365 sans malware ni mot de passe, en contournant la MFA par un simple glisser de lien localhost. 🤖 Unit 42 décrit le phantom squatting, l'enregistrement préventif de domaines hallucinés par les LLM. Sur 2,1 millions d'URL générées pour 913 marques, 13 229 étaient déjà malveillantes et 250 000 domaines restent enregistrables par des attaquants. Le cas Montana Empire montre un kit de Phishing développé avec un assistant IA sur un domaine prédit 23 jours avant son enregistrement. 🕵️ WatchGuard analyse une campagne TimbreStealer visant des entreprises mexicaines par DLL side-loading des binaires EdgeUpdate et GoogleUpdater. Les DLL malveillantes de 45 à 50 Mo utilisent des déchiffreurs RC4, un géorepérage UTC-5 à UTC-8 et exfiltrent les données de navigateurs, messageries et dossiers cloud. 💰 Security Affairs relaie le rapport Ransom-ISAC sur une entité gouvernementale américaine ayant versé environ 1 million de dollars en Bitcoin au groupe Kairos, sans qu'aucun Ransomware n'ait jamais été relié au groupe. Extorsion fondée uniquement sur le vol de 2 To de données, preuve de suppression invérifiable et traçage blockchain vers ByBit, OKX et BELQI. 🇰🇵 The Hacker News détaille la campagne nord-coréenne PolinRider, liée à Contagious Interview : 108 paquets et extensions malveillants sur npm, Packagist, Go et Chrome, 1 951 dépôts GitHub compromis, tâches VS Code à exécution automatique, réécriture d'historique Git et charges finales DEV#POPPER RAT et OmniStealer via des infrastructures blockchain. Sources :  Bulletin de sécurité WatchGuard (AV26-649) : Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-watchguard-av26-649 ARToken: Inside an EvilTokens affiliate panel targeting Microsoft 365 : Cisco Talos : https://blog.talosintelligence.com/artoken-inside-an-eviltokens-affiliate-panel-targeting-microsoft-365/Verified X ad spreads Mac malware, while ConsentFix steals Microsoft accounts : Malwarebytes : https://www.malwarebytes.com/blog/news/2026/07/verified-x-ad-spreads-mac-malware-while-consentfix-steals-microsoft-accountsPhantom Squatting: AI-Hallucinated Domains as a Software Supply Chain Vector : Palo Alto Networks Unit 42 : https://unit42.paloaltonetworks.com/phantom-squatting-hallucinated-web-domains/Hackers Abuse EdgeUpdate and GoogleUpdater to Deploy TimbreStealer Infostealer : Cyber Press : https://cyberpress.org/timbrestealer-infostealer-attack/U.S. Government Agency Paid $1M to Data Extortion Group Kairos : Security Affairs : https://securityaffairs.com/194750/security/u-s-government-agency-paid-1m-to-data-extortion-group-kairos.htmlNorth Korean Hackers Publish 108 Malicious Packages and Extensions in PolinRider Campaign : The Hacker News : https://thehackernews.com/2026/07/north-korean-hackers-publish-108.html⚡️ On ne réfléchit pas, on patch !  📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #WatchGuard #Fireware #PhaaS #EvilTokens #ARToken #Microsoft365 #ClickFix #ConsentFix #macOS #AtomicStealer #PhantomSquatting #LLM #SupplyChain #TimbreStealer #Infostealer #Kairos #Extortion #ContagiousInterview #PolinRider #npm #BeaverTail #RadioCSIRT

    15 min
  4. Ep.685 : RadioCSIRT Édition Française : Flash info cybersécurité du vendredi 3 juillet 2026

    3 days ago

    Ep.685 : RadioCSIRT Édition Française : Flash info cybersécurité du vendredi 3 juillet 2026

    🇫🇷 Le CERT-FR publie un avis sur une vulnérabilité dans FreeBSD affectant les séries 14.x et 15.0 avec risque d'atteinte à la confidentialité. La CVE-2026-49424 nécessite application des correctifs depuis le bulletin FreeBSD-SA-26:47. 💰 Un développeur accuse Google Cloud d'avoir facturé onze mille dollars de frais frauduleux liés à Gemini après compromission de Firebase Admin SDK, malgré suspension de compte et preuves de piratage. 🕸️ Google et le FBI ont dégradé le botnet NetNut comptant environ deux millions d'appareils proxies résidentiels utilisés par trois cents clusters menaçants distincts durant une seule semaine en juin 2026. 🚨 Citizen Lab révèle qu'un ancien député européen enquêteur sur Pegasus a été hacké avec l'espion NSO Group via zero-click exploit PWNYOURHOME alors qu'il siégeait au comité PEGA entre 2022 et 2023. 🤖 Anthropic précise que Claude Fable 5 sera temporairement restreint aux subscriptions au-delà du 7 juillet pour raisons de capacité, mais promet un retour complet sous forme standard quand les capacités le permettront. Sources : Vulnérabilité dans FreeBSD : CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0830/Dev says Google warned him about account hijack then charged him eleven thousand anyway : The Register : https://www.theregister.com/cyber-crime/2026/07/03/dev-says-google-warned-him-about-account-hijack-then-charged-him-11000-anyway/5266234NetNut cracked as Google and FBI target two million device botnet : The Register : https://www.theregister.com/security/2026/07/03/netnut-cracked-as-google-and-fbi-target-2-million-device-botnet/5266414European Parliament Member Investigating Spyware Was Hacked With Pegasus : The Hacker News : https://thehackernews.com/2026/07/european-parliament-member.htmlClaude Fable 5 isn't permanently leaving subscriptions : BleepingComputer : https://www.bleepingcomputer.com/news/artificial-intelligence/claude-fable-5-isnt-permanently-leaving-subscriptions-anthropic-says/⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #FreeBSD #CVE-2026-49424 #GoogleCloud #Gemini #NetNut #FBI #Botnet #Pegasus #NSOGroup #CitizenLab #PEGA #Anthropic #Claude #Fable #RadioCSIRT

    10 min
  5. Ep.684 - RadioCSIRT - Flash info cybersécurité du jeudi 2 juillet 2026

    4 days ago

    Ep.684 - RadioCSIRT - Flash info cybersécurité du jeudi 2 juillet 2026

    🐧 Anthropic publie une version bêta officielle de Claude Desktop pour Linux, prenant en charge Ubuntu 22.04 et supérieur et Debian 12 et supérieur, sur x86_64 et arm64. Installation par dépôt apt ou fichier .deb, avec les environnements Chat, Claude Cowork et Claude Code. La fonction Computer Use, la saisie vocale et les raccourcis Wayland restent exclus de cette préversion. 📱 Clubic rapporte une faille non corrigée dans la fonction Masquer mon e-mail d'Apple. Selon le chercheur Tyler Murphy, une rétro-ingénierie permet de remonter d'une adresse relais au compte Apple d'origine, avec un taux de réussite de cent pour cent selon 404 Media. Signalée en juin 2025, la faille persiste, tandis qu'Apple migre les alias vers @private.icloud.com. 🎣 The Hacker News détaille ChocoPoC, un RAT documenté par YesWeHack et Sekoia. Il se cache dans une dépendance Python (frint puis skytext) de faux dépôts de PoC sur GitHub ciblant les chercheurs. Il vole identifiants, cookies et fichiers, et pilote son C2 via Mapbox, DNS-over-HTTPS et domain fronting. Sept faux dépôts identifiés, liés à une campagne active depuis fin 2025. 🚨 Security Affairs signale l'exploitation active de CVE-2026-46817 dans Oracle E-Business Suite. La faille touche Oracle Payments 12.2.3 à 12.2.15 et permet une prise de contrôle non authentifiée via HTTP. Oracle a corrigé lors de son dernier Critical Patch Update. Shadowserver dénombre environ 950 instances encore exposées, majoritairement aux États-Unis. 🕵️ Schneier on Security décrit une campagne publicitaire fondée sur la surveillance, menée par Papa John's avec NBCUniversal, Instacart et Carat. En s'appuyant sur les achats de produits de base réalisés sur Instacart, l'opération prédit les jours où les consommateurs sont à court de provisions pour diffuser des publicités ciblées sur le streaming NBCUniversal. 🛡️ BleepingComputer relie la campagne FortiBleed aux rançongiciels INC et Lynx. Selon SOCRadar, un outil FortiGate Sniffer interceptait les identifiants VPN sur les pare-feu compromis. La campagne aurait visé plus de 430 000 pare-feu FortiGate et déployé des sniffers sur environ 19 000 équipements. Un Zero-Day Nextcloud non divulgué et des comptes backdoor adminin sont évoqués. 🐛 Check Point Research documente une technique de Ransomware exécutée uniquement dans le navigateur, dérivée d'un échantillon attribué à DeepSeek. Elle exploite la File System Access API des navigateurs Chromium, disponible sous Android depuis Chrome 132, sans payload natif ni exploitation de vulnérabilité. Le PoC, déguisé en outil d'amélioration d'images, cible les répertoires de photos. Sources :  Anthropic déploie l'application Claude Desktop sur Linux : GoodTech : https://goodtech.info/claude-desktop-linux-beta-anthropic-developpeurs/Masquer mon e-mail : la faille d'Apple qui révèle vos vraies adresses : Clubic : https://www.clubic.com/actualite-619570-masquer-mon-e-mail-la-faille-d-apple-qui-revele-vos-vraies-adresses-depuis-plus-d-un-an.htm l New ChocoPoC RAT Targets Vulnerability Researchers via Fake PoC Exploit Repos : The Hacker News : https://thehackernews.com/2026/07/new-chocopoc-rat-targets-vulnerability.htmlOracle E-Business Suite Flaw Under Active Attack, 950 Systems Exposed : Security Affairs : https://securityaffairs.com/194599/security/oracle-e-business-suite-flaw-under-active-attack-950-systems-exposed.htmlPapa Johns Surveillance-Based Advertising : Schneier on Security : https://www.schneier.com/blog/archives/2026/07/papa-johns-surveillance-based-advertising.htmlFortiBleed credential-theft campaign linked to Lynx ransomware : BleepingComputer : https://www.bleepingcomputer.com/news/security/fortibleed-credential-theft-campaign-linked-to-lynx-ransomware/Browser-Only Ransomware: From LLM Hallucinations to a Practical Attack Technique : Check Point Research : https://research.checkpoint.com/2026/browser-only-ransomware-from-llm-hallucinations-to-a-practical-attack-technique/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Anthropic #Claude #Linux #Ubuntu #Debian #Apple #HideMyEmail #ChocoPoC #RAT #SupplyChain #YesWeHack #Sekoia #GitHub #PyPI #Oracle #EBusinessSuite #Shadowserver #Privacy #Surveillance #Instacart #FortiBleed #Fortinet #FortiGate #INCRansom #Lynx #Ransomware #Nextcloud #ZeroDay #CheckPoint #DeepSeek #Chromium #FileSystemAccessAPI #CVE-2026-46817 #RadioCSIRT

    13 min
  6. Ep.683 - RadioCSIRT  - Flash info cybersécurité du mercredi 1er juillet 2026

    5 days ago

    Ep.683 - RadioCSIRT  - Flash info cybersécurité du mercredi 1er juillet 2026

    🔐 Proton met en avant Lumo AI, son assistant conversationnel positionné sur la confidentialité. Selon Proton, le service n'entraîne pas ses modèles sur les données des utilisateurs, ne journalise pas les conversations et ne les partage pas. Code open source, hébergement européen, mode Ghost, historique chiffré de bout en bout et intégration Proton Drive figurent parmi les fonctions annoncées. 🛠️ Git 2.55.0 est disponible. La version apporte la sous-commande git-history fixup, un daemon fsmonitor sous Linux via inotify, la prise en charge des groupes de remotes par git-push, l'option --graph-lane-limit, un batching des blobs pour git-grep et git-cherry en partial clone, et rend Rust requis pour compiler Git depuis les sources. 🐧 Linux Magazine rapporte un gain d'environ 5 pour cent d'IOPS sur ext4 et XFS. Le correctif, signé Fengnan Chang (ByteDance) et intégré par Christian Brauner, déplace un memset de iomap_iter pour l'exécuter après l'itération, supprimant un gaspillage de bande passante mémoire dans les scénarios NVMe io_uring. 🔓 CISA a ajouté le 29 juin 2026 CVE-2026-48558 à son catalogue KEV, sur preuve d'exploitation active. Il s'agit d'un Authentication Bypass affectant SimpleHelp. La Binding Operational Directive 26-04 impose aux agences fédérales civiles une remédiation prioritaire des vulnérabilités KEV sur les actifs exposés. 🚨 CISA a ajouté le 1er juillet 2026 CVE-2026-45659 à son catalogue KEV, également sur preuve d'exploitation active. La faille, de type Deserialization of Untrusted Data, affecte Microsoft SharePoint Server. Elle relève des exigences de remédiation prioritaire prévues par la directive 26-04. 💾 Le CERT-FR publie l'avis CERTFR-2026-AVI-0819 sur de multiples vulnérabilités dans Synology MailPlus Server (CVE-2025-15660, CVE-2026-13135, CVE-2026-13136). Elles permettent déni de service à distance, atteinte à la confidentialité et à l'intégrité des données. Versions antérieures à 4.0.1-21663 (DSM 7.2.1/7.2.2) et 4.0.1-31663 (DSM 7.3) affectées. 🐛 CVEFeed documente CVE-2026-50521, une faille de type Remote Code Execution dans Microsoft Edge basé sur Chromium, publiée le 1er juillet 2026. Score CVSS 3.1 de 8,3 (sévérité élevée), exploitable à distance, sans interaction utilisateur. Le vecteur mentionne un exploit non prouvé et un correctif officiel disponible. Sources : Get 23% off Lumo AI : Proton : https://proton.me/l/lumo/partner-discount What's new in Git 2.55.0? : GitLab : https://about.gitlab.com/blog/whats-new-in-git-2-55-0/Three Lines of Code Improve Linux Storage Performance : Linux Magazine : https://www.linux-magazine.com/Online/News/Three-Lines-of-Code-Improve-Linux-Storage-PerformanceCISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-48558) : CISA : https://www.cisa.gov/news-events/alerts/2026/06/29/cisa-adds-one-known-exploited-vulnerability-catalogCISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-45659) : CISA : https://www.cisa.gov/news-events/alerts/2026/07/01/cisa-adds-one-known-exploited-vulnerability-catalogMultiples vulnérabilités dans Synology MailPlus Server : CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0819/CVE-2026-50521 Microsoft Edge Remote Code Execution : CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-50521⚡️ On ne réfléchit pas, on patch !   📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Proton #Lumo #Git #GitLab #Rust #Linux #ext4 #XFS #NVMe #CISA #KEV #BOD2604 #SimpleHelp #Microsoft #SharePoint #Edge #Chromium #CERTFR #Synology #MailPlus #RCE #AuthenticationBypass #CVE-2026-48558 #CVE-2026-45659 #CVE-2025-15660 #CVE-2026-13135 #CVE-2026-13136 #CVE-2026-50521 #RadioCSIRT

    10 min
  7. Ep.682 - RadioCSIRT Édition Française - Flash info cybersécurité du Mardi 30 juin 2026

    6 days ago

    Ep.682 - RadioCSIRT Édition Française - Flash info cybersécurité du Mardi 30 juin 2026

    🐧 Kali Linux 2026.2 est disponible. La distribution met à niveau GNOME 50 et KDE Plasma 6.6, retire le firmware graphique des images de machine virtuelle pour des démarrages environ trois fois plus rapides sous QEMU, et passe au format deb822 pour les sources APT. Elle embarque le noyau Linux 6.19 et neuf nouveaux outils orientés pentest et OSINT, dont legba, penelope et tookie-osint. 🪟 La CISA signale l'exploitation par des groupes de ransomware de CVE-2026-33825, surnommée BlueHammer, une élévation de privilèges locale dans Microsoft Defender. La faille donne accès à la base SAM puis aux privilèges SYSTEM. Divulguée début avril par Nightmare Eclipse avec un PoC, corrigée le 14 avril, elle avait déjà été exploitée en zero-day et figure au catalogue KEV depuis le 22 avril. 🧩 Microsoft a retiré 119 extensions Edge liées à la campagne StegoAd, jusqu'à 2,6 millions d'utilisateurs potentiellement exposés. Le code malveillant était dissimulé par stéganographie dans des fichiers image et police, restait inactif trois à cinq jours, et ouvrait une porte dérobée. Vol d'identifiants Google avec codes 2FA, identifiants WordPress, cookies de session et fraude publicitaire. Activité attribuée à l'acteur chinois DarkSpectre depuis 2021. 🍎 Apple corrige plus de trente failles dans iOS, iPadOS, macOS et Safari 26.5.2. Quatre vulnérabilités WebKit ont été identifiées via des outils d'IA, Claude d'Anthropic et OpenAI Codex Security. CVE-2026-43715, un use-after-free, est créditée à Anthropic. Aucune des failles n'est décrite comme activement exploitée. Apple dit accélérer ses correctifs face à l'accélération du développement d'exploits par l'IA. 🤖 Le 0DIN de Mozilla documente une attaque par prompt injection indirecte contre Claude Code. Un faux projet GitHub nommé Axiom enchaîne trois éléments anodins, dont un script récupérant une charge via un enregistrement DNS TXT exécuté par bash. La charge Base64 est un reverse shell sans signature sur disque ni réseau. L'agent exécute l'initialisation comme une récupération d'erreur, ouvrant un shell avec les droits du développeur et exposant les secrets d'environnement. 🛡️ CVEFeed documente deux vulnérabilités critiques de contournement d'AWS WAF, CVE-2026-13762 pour Amazon CloudFront et CVE-2026-13763 pour l'Application Load Balancer. Une interprétation incohérente des requêtes HTTP/2 permet de fragmenter le corps pour n'en faire inspecter qu'une partie. Score CVSS 3.1 de 9,8. CloudFront corrigé côté serveur sans action client, ALB nécessitant l'activation de l'inspection après données suffisantes sur les groupes cibles HTTP/2. Sources :  Kali Linux 2026.2 Released With New Tools for Pentesting and OSINT Workflows, CyberPress : https://cyberpress.org/kali-linux-2026-2-released/ CISA: Windows BlueHammer flaw now exploited by ransomware gangs, BleepingComputer : https://www.bleepingcomputer.com/news/security/cisa-windows-bluehammer-flaw-now-exploited-by-ransomware-gangs/ Microsoft retire 119 extensions Edge piégées, jusqu'à 2,6 millions d'utilisateurs exposés, Clubic : https://www.clubic.com/actualite-619159-microsoft-fait-le-menage-et-retire-119-extensions-edge-malveillantes.html Apple Patches 30+ iOS, macOS, Safari Flaws, Including AI-Discovered WebKit Bugs, The Hacker News : https://thehackernews.com/2026/06/apple-patches-30-ios-macos-safari-flaws.htmlClaude Code Attack Uses DNS TXT Payload to Compromise Developer Machines, CyberPress : https://cyberpress.org/claude-code-dns-txt-payload/  CVE-2026-13762 HTTP/2 Body-Inspection Bypass in Amazon CloudFront with AWS WAF, CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-13762 CVE-2026-13763 HTTP/2 Body-Inspection Bypass in AWS Application Load Balancer with AWS WAF, CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-13763  ⚡️ On ne réfléchit pas, on patch !  📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #KaliLinux #Pentest #OSINT #Windows #MicrosoftDefender #Ransomware #KEV #Edge #StegoAd #Apple #WebKit #iOS #macOS #ClaudeCode #Anthropic #PromptInjection #AWS #AWSWAF #CloudFront #HTTP2 #CVE-2026-33825 #CVE-2026-43707 #CVE-2026-43716 #CVE-2026-43745 #CVE-2026-43715 #CVE-2026-13762 #CVE-2026-13763 #RadioCSIRT

    10 min
  8. Ep.681 - RadioCSIRT - Flash info cybersécurité du lundi 29 juin 2026

    29 Jun

    Ep.681 - RadioCSIRT - Flash info cybersécurité du lundi 29 juin 2026

    🚨 La CISA ajoute deux vulnérabilités activement exploitées à son catalogue KEV : la CVE-2026-12569 dans PTC Windchill et FlexPLM, et la CVE-2026-20230, une faille SSRF dans Cisco Unified Communications Manager. Les agences fédérales doivent prioriser la remédiation selon la BOD 26-04. 🛡️ Le CERT-FR publie l'avis CERTFR-2026-AVI-0814 sur la CVE-2026-55204, une vulnérabilité Null Pointer Dereference dans le traitement HPACK de HAProxy, permettant un déni de service à distance. Correctifs disponibles pour les branches ALOHA et Enterprise. 🔐 Le CERT-FR signale cinq vulnérabilités dans Stormshield Management Center (CERTFR-2026-AVI-0816), dont une exécution de code arbitraire. La mise à jour vers la version 3.9.2 corrige les CVE-2026-6473, CVE-2026-6475, CVE-2026-6477, CVE-2026-6637 et CVE-2026-6638. 🔥 Les vagues de chaleur menacent les data centers : 40 % de leur consommation est dédiée au refroidissement, et 79 % des installations mondiales sont exposées à des aléas climatiques graves. L'IA amplifie le défi thermique avec des GPU à haute densité. 🪟 Le chercheur NightmareEclipse annonce pour juillet 2026 la publication de failles dans des composants Microsoft. Il évoque également un contournement facilité de Windows Defender après des modifications récentes du moteur mpengine.dll. 🪟 Microsoft prolonge le hotpatching de Windows Server 2022 Datacenter Azure Edition jusqu'en octobre 2027. Les mises à jour de sécurité continueront à être appliquées sans redémarrage pour les systèmes inscrits. 🐛 La CVE-2026-55200, une faille critique (CVSS v4 : 9.2) dans libssh2, permet une exécution de code à distance via un out-of-bounds write dans ssh2_transport_read(). Toutes les versions jusqu'à 1.11.1 sont affectées. Correctif disponible. 🇨🇳 Mustang Panda cible le gouvernement indien et le secteur hydroélectrique avec trois nouveaux outils : SHARDLOADER, MINIRECON et ZOHOMURK. Ce dernier exploite Zoho WorkDrive comme canal C2 via des identifiants OAuth codés en dur. Activité observée du 12 au 22 juin 2026. Sources : CISA Adds Two Known Exploited Vulnerabilities to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/06/25/cisa-adds-two-known-exploited-vulnerabilities-catalogVulnérabilité dans HAProxy — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0814/Multiples vulnérabilités dans Stormshield Management Center — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0816/Canicule : les vagues de chaleur menacent aussi les data centers — Clubic : https://www.clubic.com/actualite-619033-canicule-les-data-centers-ia-sous-pression-face-au-risque-climatique.htmlMicrosoft is an interesting company — Project Nightcrawler : https://blog.projectnightcrawler.dev/posts/2026-06-22-microsoft-is-an-interesting-company/Microsoft extends Windows Server 2022 hotpatching until October 2027 — BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-extends-windows-server-2022-hotpatching-until-october-2027/CVE-2026-55200: Critical libssh2 Flaw Opens Remote Code Execution Path — TheCyberThrone : https://thecyberthrone.in/2026/06/29/cve-2026-55200-critical-libssh2-flaw-opens-remote-code-execution-path/Mustang Panda Uses Zoho WorkDrive as Command Channel in Indian Government Attacks — The Hacker News : https://thehackernews.com/2026/06/mustang-panda-uses-zoho-workdrive-as.html⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #CVE-2026-12569 #CVE-2026-20230 #PTC #Windchill #Cisco #CERTFR #HAProxy #CVE-2026-55204 #Stormshield #CVE-2026-6473 #CVE-2026-6475 #CVE-2026-6477 #CVE-2026-6637 #CVE-2026-6638 #DataCenter #Canicule #IA #Microsoft #WindowsDefender #WindowsServer #Hotpatch #libssh2 #CVE-2026-55200 #RCE #MustangPanda #Zoho #APT #ThreatIntelligence #Inde #Espionnage #RadioCSIRT

    13 min

About

🎙 Marc Frédéric Gomez, expert en cybersécurité, vous livre chaque jour l’essentiel des menaces, attaques et stratégies de défense à connaître. 🔎 Au programme :✔️ Décryptage des cyberattaques et vulnérabilités critiques✔️ Veille stratégique pour les CSIRT, CERT et pros de la cybersécurité✔️ Sources et références pour approfondir chaque sujet 💡 Pourquoi écouter RadioCSIRT ?🚀 Restez à jour en quelques minutes par jour🛡️ Anticipez les menaces avec des infos fiables et techniques📢 Une veille indispensable pour les pros de l’IT et de la sécurité 🔗 Écoutez, partagez et sécurisez votre environnement !📲 Abonnez-vous et laissez une note ⭐ sur votre plateforme préférée !

You Might Also Like