RadioCSIRT - Edition Française

Marc Frédéric GOMEZ
  • 4.5 (2)
  • Tech News
  • Updated Daily

🎙 Marc Frédéric Gomez, expert en cybersécurité, vous livre chaque jour l’essentiel des menaces, attaques et stratégies de défense à connaître. 🔎 Au programme :✔️ Décryptage des cyberattaques et vulnérabilités critiques✔️ Veille stratégique pour les CSIRT, CERT et pros de la cybersécurité✔️ Sources et références pour approfondir chaque sujet 💡 Pourquoi écouter RadioCSIRT ?🚀 Restez à jour en quelques minutes par jour🛡️ Anticipez les menaces avec des infos fiables et techniques📢 Une veille indispensable pour les pros de l’IT et de la sécurité 🔗 Écoutez, partagez et sécurisez votre environnement !📲 Abonnez-vous et laissez une note ⭐ sur votre plateforme préférée !

  1. Ep.657 - RadioCSIRT Édition Française - Flash info cybersécurité du mercredi 3 juin 2026

    16h ago

    Ep.657 - RadioCSIRT Édition Française - Flash info cybersécurité du mercredi 3 juin 2026

    🐧 La CISA ajoute deux vulnérabilités activement exploitées à son catalogue KEV. La CVE-2022-0492 vise le noyau Linux via les cgroups : authentification incorrecte, élévation de privilèges et évasion de conteneurs à la clé. La CVE-2025-48595, elle, frappe l'Android Framework avec un Integer Overflow. 🐬 La fondation OurSQL voit le jour pour porter l'écosystème MySQL. Structure 501(c)(6), indépendante et vendor-neutral, présidée par Vadim Tkachenko de Percona. Au menu : base de bugs publique, transparency log des correctifs et formations. Oracle n'en est pas membre. 🦊 Le CERT-FR signale de multiples vulnérabilités dans Mozilla Firefox (avis AVI-0684). Toutes les versions antérieures à 151.0.3 sont concernées. Risque non spécifié par l'éditeur, deux CVE au compteur. On met à jour le navigateur. 🩺 Un acteur sous le pseudo « Lagui » revendique le vol des données de 34 millions d'assurés via le DMP. Méthode annoncée : usurpation d'une e-CPS de médecin, puis énumération en modifiant un paramètre d'URL. Les chercheurs flairent un agrégat de fuites recyclées ; l'Assurance Maladie dément toute intrusion. 🗂️ Stored XSS dans GLPI, référencée CVE-2026-5385. Un payload persistant se loge dans la base de connaissances, score CVSS 8,4. Correctif en version 11.0.7. D'après l'advisory Fluid Attacks. 🤖 Des attaquants pro-iraniens détournent des comptes Instagram, dont ceux de l'Obama White House et de l'U.S. Space Force. L'astuce : pousser l'assistant IA de support de Meta à relier le compte à une nouvelle adresse, puis déclencher un reset. Les comptes protégés par MFA ont tenu. 🎮 WeedHack, un Malware-as-a-Service ciblant Minecraft, infecte plus de 116 000 systèmes depuis janvier. Distribution par YouTube et SEO poisoning, infostealer gratuit, accès distant en premium dès 5 dollars. McAfee a tracé 3 820 fichiers JAR malveillants. 📶 Acer corrige deux zero-day de sévérité maximale sur ses routeurs Wave 7. La CVE-2026-49200 expose des identifiants en clair sans authentification ; la CVE-2026-49201 repose sur une clé AES codée en dur ouvrant un backdoor persistant. Patch visé fin juin. 🇬🇭 Le FIRST détaille le modèle ghanéen de CERT sectoriels, hébergés au sein des régulateurs pour s'appuyer sur leurs pouvoirs. Le secteur bancaire affiche 100 % de couverture via le FICSOC. Seuls les logs sont collectés, pas les données métier. 🏴‍☠️ Opération KRATOS 2 : Europol et la Bulgarie frappent le streaming illégal. Bilan : 29 arrestations, neuf groupes criminels démantelés, plus de 27 000 URL retirées. Infrastructure éclatée sur plusieurs pays pour échapper à la détection. 🪖 Aux États-Unis, une commission chiffre à 11 milliards de dollars la création d'une Cyber Force militaire dédiée, forte de 30 000 personnels. Première nouvelle branche depuis la Space Force de 2019. Travaux portés par le CSIS et la FDD. Sources : CISA Adds Two Known Exploited Vulnerabilities to Catalog — CISA : https://mail.google.com/mail/u/0/?ogbl#inbox/FMfcgzQgMChRndDxBfJTkBkrWvHzVjGbOurSQL Foundation Launches to Support MySQL Users, Developers, and Companies — OurSQL / GlobeNewswire : https://www.globenewswire.com/news-release/2026/05/27/3302305/0/en/oursql-foundation-launches-to-support-mysql-users-developers-and-companies.htmlMultiples vulnérabilités dans Mozilla Firefox — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0684/Fuite massive ou coup de bluff ? Un pirate revendique le vol des données médicales de 34 millions de Français — 01net : https://www.01net.com/actualites/fuite-massive-coup-bluff-pirate-revendique-vol-donnees-medicales-34-millions-francais-assurance-maladie-dement.htmlCVE-2026-5385 : GLPI Stored XSS in Knowledge Base — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-5385Hackers Used Meta's AI Support Bot to Seize Instagram Accounts — Krebs on Security : https://krebsonsecurity.com/2026/06/hackers-used-metas-ai-support-bot-to-seize-instagram-accounts/Malware Campaign Targeting Minecraft Users Infects Over 116,000 Systems — Help Net Security : https://www.helpnetsecurity.com/2026/06/03/weedhack-minecraft-malware-campaign/Acer Working to Patch Max Severity Zero-Days in Wave 7 Routers — BleepingComputer : https://www.bleepingcomputer.com/news/security/acer-warns-of-max-severity-zero-days-affecting-wave-7-routers/Sector CERTs and How To Build Them — FIRST : https://www.first.org/blog/20260525-Sector-CERTs-and-how-to-build-them29 Arrested as Law Enforcement Strikes Criminal Networks Behind Illegal Streaming — Europol : https://www.europol.europa.eu/media-press/newsroom/news/29-arrested-law-enforcement-strikes-criminal-networks-behind-illegal-streamingNew Cyber Force Would Cost Up to $11 Billion to Start, Commission Says — The Record : https://therecord.media/new-cyber-force-would-cost-11-billion-commission⚡️ On ne réfléchit pas, on patch !  📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #LinuxKernel #CVE20220492 #Android #CVE202548595 #MySQL #OurSQL #OpenSource #CERTFR #Firefox #Mozilla #DMP #AssuranceMaladie #DataBreach #eCPS #GLPI #StoredXSS #CVE20265385 #Meta #Instagram #AISecurity #SocialEngineering #Minecraft #WeedHack #MaaS #Infostealer #Acer #Wave7 #ZeroDay #Router #FIRST #SectorCERT #Ghana #Europol #Kratos2 #IPTV #CyberForce #Pentagon #RadioCSIRT

    18 min
  2. Ep.656 - RadioCSIRT Édition Française - Flash info cybersécurité du lundi 1er juin 2026

    2d ago

    Ep.656 - RadioCSIRT Édition Française - Flash info cybersécurité du lundi 1er juin 2026

    ⚠️ La CISA ajoute la CVE-2024-21182 à son catalogue KEV : une vulnérabilité non spécifiée dans Oracle WebLogic Server, sur preuve d'exploitation active. Peu de détails techniques publiés, mais l'inscription au KEV impose aux agences fédérales de corriger sans délai. 📬 Le CERT-FR alerte sur une vulnérabilité dans Laravel (avis AVI-0670). Contournement de la politique de sécurité référencé CVE-2026-48019. Versions 12.x antérieures à 12.60.0 et 13.x antérieures à 13.10.0 du framework PHP. On patche. 🎮 Près de 2 000 sites WordPress compromis dans une campagne qui planque son command and control dans des commentaires de profils Steam Community. Six caractères Unicode invisibles encodent la charge, parfois maquillée en ASCII art, et reconstruisent une URL vers hello-mywordl[.]info. Une backdoor PHP attend ensuite un cookie tEcaKKXEsb. C2 hébergé chez Valve, détection compliquée. 🚓 Aux Pays-Bas, le FIOD frappe fort. Deux arrestations le 18 mai et plus de 800 serveurs saisis. L'infrastructure visée hébergeait les actifs de Stark Industries Solutions, sanctionné par l'UE, via the[.]hosting et WorkTitans BV. Cyberattaques et désinformation pro-russes au cœur de l'enquête. Sources : CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2024-21182) — CISA : https://www.cisa.gov/news-events/alerts/2026/06/01/cisa-adds-one-known-exploited-vulnerability-catalogVulnérabilité dans Laravel — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0670/WordPress malware campaign hides payloads in Steam profiles — BleepingComputer : https://www.bleepingcomputer.com/news/security/wordpress-malware-campaign-hides-payloads-in-steam-profiles/Netherlands Seizes 800 Servers, Arrests 2 for Aiding Cyberattacks — Krebs on Security : https://krebsonsecurity.com/2026/05/netherlands-seizes-800-servers-arrests-2-for-aiding-cyberattacks/⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #Oracle #WebLogic #CVE202421182 #CERTFR #Laravel #PHP #CVE202648019 #WordPress #Steam #Malware #Backdoor #C2 #GoDaddy #FIOD #StarkIndustries #MIRhosting #WorkTitans #Sanctions #Russia #PatchManagement #RadioCSIRT

    6 min
  3. Ep.655 - RadioCSIRT Édition Française - Flash info cybersécurité du samedi 30 mai 2026

    4d ago

    Ep.655 - RadioCSIRT Édition Française - Flash info cybersécurité du samedi 30 mai 2026

    🐝 Perplexity ouvre le code de Bumblebee, un scanner en lecture seule écrit en Go et sans dépendance. Sur les postes de développeurs macOS et Linux, il traque paquets, extensions et configs d'outils d'IA compromis, là où ni les scanners SBOM ni les EDR ne regardent. Windows non couvert au lancement. ⚠️ La CISA ajoute la CVE-2026-48172 à son catalogue KEV : une élévation de privilèges dans le plugin LiteSpeed pour cPanel. N'importe quel compte cPanel peut exécuter des scripts arbitraires avec les droits root. Déjà activement exploitée. 🔓 Rebelote le 29 mai : la CVE-2026-0257 entre au KEV. Contournement d'authentification dans PAN-OS de Palo Alto, permettant d'établir une connexion VPN non autorisée. Échéance de patch fédérale : 1er juin. 📬 Le CERT-FR alerte sur de multiples vulnérabilités dans Roundcube (avis AVI-0644). Exécution de code à distance, injection SQL et SSRF au menu. Versions 1.6.x antérieures à 1.6.16 et 1.7.x antérieures à 1.7.1. On patche le webmail. 🏗️ Le NCSC publie un guide de conception pour le ZTNA. Le constat qui pique : la plupart des déploiements échouent non par manque de fonctionnalités, mais parce qu'ils reconduisent la vieille hypothèse « position réseau = confiance ». Outils neufs, réflexes anciens. 👻 Nightmare Eclipse remet une pièce contre Microsoft. Après le retrait de son dépôt public, le chercheur annonce « Bitskrieg » : une faille qui briserait les garanties de Secure Boot et contournerait entièrement BitLocker. Divulgation annoncée pour juin. Revendications non confirmées par l'éditeur. ⚽ À l'approche de la Coupe du monde 2026, Group-IB démasque GHOST STADIUM : plus de 4 300 domaines clonant la FIFA au pixel près, avec le SSO PingIdentity détourné via de vrais identifiants clients. Fraude aux billets premium estimée entre 71 et 474 millions de dollars. 📡 ShinyHunters publie les données de Charter Communications après un refus de rançon. L'acteur revendique plus de 42 millions d'enregistrements ; Have I Been Pwned en retient 4,9 millions d'adresses e-mail. Charter confirme l'incident mais dément toute exfiltration de données sensibles ou de CPNI. Sources :  Perplexity Is Open-Sourcing Bumblebee — Perplexity : https://www.perplexity.ai/fr/hub/blog/perplexity-is-open-sourcing-bumblebee CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-48172) — CISA : https://www.cisa.gov/news-events/alerts/2026/05/26/cisa-adds-one-known-exploited-vulnerability-catalog CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-0257) — CISA : https://www.cisa.gov/news-events/alerts/2026/05/29/cisa-adds-one-known-exploited-vulnerability-catalog Multiples vulnérabilités dans Roundcube — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0644/ Designing secure access with ZTNA — NCSC : https://www.ncsc.gov.uk/blogs/designing-secure-access-with-ztna Announcing Bitskrieg / July 14th — Nightmare Eclipse : https://deadeclipse666.blogspot.com/2026/05/announcing-bitskrieg.html 300+ Fake Domains Used in GHOST STADIUM Campaign Targeting World Cup Fans — CyberPress : https://cyberpress.org/ghost-stadium-targets-fans/ ShinyHunters Leaks Charter Communications Data, Potentially Impacting 5 Million Customers — Security Affairs : https://securityaffairs.com/192907/uncategorized/shinyhunters-leaks-charter-communications-data-potentially-impacting-5-million-customers.html⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09 📩 Email : radiocsirt@gmail.com 🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com

    13 min
  4. Ep.654 - RadioCSIRT Édition Française - Flash info cybersécurité du samedi 23 mai 2026

    May 23

    Ep.654 - RadioCSIRT Édition Française - Flash info cybersécurité du samedi 23 mai 2026

    🕹️ 570 systèmes d'exploitation, de 1948 à aujourd'hui, réunis dans une seule VM Linux. Le Virtual OS Museum vous fait passer du Manchester Baby à UNIX System V en un clic. Un voyage temporel dans le silicium, jouable directement depuis votre navigateur. ⚠️ La CISA ajoute la CVE-2026-9082 à son catalogue KEV : une SQL Injection dans le cœur de Drupal, déjà activement exploitée. Le compte à rebours du patch est lancé. 🛠️ Sept bulletins d'un coup pour Mattermost. Le CERT-FR alerte : Desktop App et Server sont touchés. On vérifie sa version, on patche. 💥 CVSS 10. Microsoft publie la CVE-2026-42901 sur Entra ID : Elevation of Privilege, exploitable à distance, sans authentification, et un scope Changed qui déborde du périmètre vulnérable. 🔓 Dans la foulée, la CVE-2026-33843 frappe Azure AD B2C : Elevation of Privilege critique en CVSS 9,1, exploitable à distance et confirmée par Microsoft comme par MITRE. 🤖 Un russophone, un Gemini jailbreaké et 73 clés d'API volées : voilà toute la « stack » d'une campagne qui a vidé le wallet d'au moins une victime MAGA. Faux wallet StellarMonster, RAT GoToResolve, brute-force WordPress assisté par IA. Le cybercrime à acteur unique, dopé au LLM. 🏛️ Comble de l'ironie : l'agence chargée de protéger les États-Unis laisse fuiter ses propres clés AWS GovCloud sur un GitHub public. Le Congrès exige des réponses, la CISA peine encore à révoquer les credentials. Sources :  Hackers Compromise Laravel-Lang Packages via 700 GitHub Repos — GBHackers : https://gbhackers.com/compromise-laravel-lang-packages/L'arche de Noé du code : 570 systèmes d'exploitation dans une seule machine — GoodTech : https://goodtech.info/interim-computer-museum-sdf-570-systemes-exploitation-retro/CISA Adds One Known Exploited Vulnerability to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/05/22/cisa-adds-one-known-exploited-vulnerability-catalogMultiples vulnérabilités dans les produits Mattermost — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0632/CVE-2026-42901 Microsoft Entra ID Elevation of Privilege Vulnerability — CVEFeed.io : https://cvefeed.io/vuln/detail/CVE-2026-42901CVE-2026-33843 Microsoft Azure Active Directory B2C Elevation of Privilege Vulnerability — CVEFeed.io : https://cvefeed.io/vuln/detail/CVE-2026-33843Jailbroken Gemini helped Russian-speaking fraudster target MAGA crypto users — The Register : https://www.theregister.com/cyber-crime/2026/05/22/jailbroken-gemini-helped-russian-speaking-fraudster-target-maga-crypto-users/ Lawmakers Demand Answers as CISA Tries to Contain Data Leak — KrebsOnSecurity : https://krebsonsecurity.com/2026/05/lawmakers-demand-answers-as-cisa-tries-to-contain-data-leak/⚡️ On ne réfléchit pas, on patch !  📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #SupplyChain #LaravelLang #RCE #CredentialStealer #VirtualOSMuseum #RetroComputing #CISA #KEV #Drupal #SQLInjection #CVE20269082 #CERTFR #Mattermost #Microsoft #EntraID #CVE202642901 #CVSS10 #AzureADB2C #CVE202633843 #PrivilegeEscalation #Gemini #LLM #Jailbreak #CryptoFraud #RAT #WordPress #GitHub #GovCloud #DataLeak #PatchManagement #RadioCSIRT

    9 min
  5. Ep.653 - RadioCSIRT Édition Française - Flash info cybersécurité du vendredi 22 mai 2026

    May 22

    Ep.653 - RadioCSIRT Édition Française - Flash info cybersécurité du vendredi 22 mai 2026

    Cisco a publié un correctif pour une vulnérabilité de sévérité maximale affectant Secure Workload, permettant à un attaquant distant non authentifié d'accéder à des données sensibles. Référencée CVE-2026-20223 et scorée 10.0 en CVSS, la faille provient d'une validation et d'une authentification insuffisantes lors de l'accès aux endpoints de l'API REST. En envoyant une requête API spécialement conçue à un endpoint vulnérable, un attaquant peut lire des informations sensibles et modifier des configurations au-delà des frontières entre tenants, avec les privilèges du compte Site Admin. La faille touche Cisco Secure Workload Cluster Software, en déploiement SaaS comme on-prem, indépendamment de la configuration, et aucun workaround n'est disponible. Les versions corrigées sont la 3.10.8.3 et la 4.0.3.17, les branches 3.9 et antérieures devant migrer vers une release corrigée. Cisco indique avoir découvert la faille lors de tests internes, sans exploitation observée à ce jour. La divulgation intervient une semaine après l'exploitation active de la CVE-2026-20182, un contournement d'authentification dans Catalyst SD-WAN Controller, attribuée au threat actor UAT-8616. Flipper Devices a officiellement dévoilé le Flipper One, un cyberdeck modulaire basé sur Linux, distinct du Flipper Zero et destiné aux opérations IP de niveau Layer 1 : networking, transfert de données et tâches de calcul intensives. Le matériel repose sur le SoC Rockchip RK3576, doté d'un CPU ARM 8 cœurs, d'un GPU Mali-G52, d'un NPU pour les charges IA locales et de 8 Go de RAM. Une architecture à co-processeur associe ce CPU à un microcontrôleur RP2350, qui maintient le contrôle bas niveau de l'affichage, des entrées et du boot même lorsque l'environnement Linux est hors ligne. La connectivité inclut deux ports Gigabit Ethernet, du Wi-Fi 6E supportant monitor mode et packet injection, et un slot M.2 acceptant modems 5G/LTE, modules SDR ou stockage NVMe. L'appareil fonctionne en toolkit réseau multi-interfaces avec jusqu'à cinq uplinks simultanés, autorisant le sniffing inline, l'analyse man-in-the-middle, le déploiement de VPN gateway et le multi-WAN. Il embarque Flipper OS, système Debian à profils, et l'interface FlipCTL. Flipper Devices collabore avec Collabora pour intégrer le support du RK3576 au kernel Linux mainline. On apprend que  la CISA, l'agence américiane a mis en ligne le 21 mai 2026 un nouveau Nomination Form permettant aux chercheurs, éditeurs et partenaires industriels de signaler des Known Exploited Vulnerabilities. Ce dispositif vise à renforcer la capacité de la CISA à identifier, valider et diffuser rapidement les KEV. Le formulaire s'inscrit dans le prolongement de la Vulnerability Disclosure Policy Platform et du programme de Coordinated Vulnerability Disclosure de l'agence, qui encadrent la recherche de sécurité de bonne foi et la remédiation coordonnée. Chris Butera, Acting Executive Assistant Director for Cybersecurity, souligne que la détection précoce et la divulgation coordonnée figurent parmi les leviers les plus efficaces pour réduire le risque à grande échelle. Le catalogue KEV demeure la source de référence des vulnérabilités confirmées comme activement exploitées, assorties de consignes de remédiation. La soumission reste possible par e-mail à l'adresse vulnerability@cisa.dhs.gov, en complément du formulaire en ligne accessible depuis le portail KEV de la CISA. D'après une recherche du rnbo, organisme ukrainien de cybersécurité, des groupes russes étatiques et criminels exploitent de manière croissante les services RDP exposés et les VPN gateways vulnérables pour pénétrer discrètement les réseaux cibles, avant de revendre ou d'instrumentaliser cet accès à des fins d'espionnage et de Ransomware. Ces erreurs de configuration d'accès distant deviennent des points d'entrée à forte valeur, négociés par des Initial Access Brokers sur les forums underground russophones. Les chercheurs ont observé des botnets mobilisant plus de 100 000 adresses IP uniques pour mener timing attacks et énumération de logins contre les services RDP, rendant le blocage par IP inopérant. Les opérations combinent credential stuffing, brute-force et exploitation de vulnérabilités connues d'appliances VPN. Une fois l'endpoint compromis, les courtiers taguent les identifiants valides selon la taille, la géographie et les privilèges de la cible, puis les vendent aux affiliés Ransomware et APT. Contre les réseaux gouvernementaux et d'infrastructures critiques européens et ukrainiens, les groupes pro-russes chaînent Phishing, exploitation VPN et abus RDP post-compromission, déployant des familles comme X2 et LockBit 3.0 après plusieurs jours de Lateral Movement silencieux. Sources :  Cisco Patches CVSS 10.0 Secure Workload REST API Flaw Enabling Data Access — The Hacker News : https://thehackernews.com/2026/05/cisco-patches-cvss-100-secure-workload.htmlFlipper Introduces Flipper One as a Modular Linux-Based Cyberdeck — GBHackers : https://gbhackers.com/flipper-introduces-flipper-one-as-a-modular-linux-based-cyberdeck/Flipper One: We Need Your Help — Flipper Devices : https://blog.flipper.net/flipper-one-we-need-your-help/CISA to allow researchers to report vulnerabilities for KEV — The Record : https://therecord.media/cisa-to-allow-researchers-to-report-vulnerabilities-kevCISA Enhances Known Exploited Vulnerabilities Catalog to Include New Nomination Form — CISA : https://www.cisa.gov/news-events/news/cisa-enhances-known-exploited-vulnerabilities-catalog-include-new-nomination-formRussian Hackers Exploit RDP and VPNs to Breach Target Networks — Cyber Press : https://cyberpress.org/russian-hackers-exploit-access/⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Cisco #SecureWorkload #CVE202620223 #CVSS10 #RESTAPI #UAT8616 #CatalystSDWAN #FlipperOne #FlipperDevices #Cyberdeck #Linux #RK3576 #SDR #WiFi6E #PacketInjection #FlipperOS #Collabora #CISA #KEV #NominationForm #CVD #VDP #RDP #VPN #InitialAccessBroker #Ransomware #LockBit #CredentialStuffing #BruteForce #LateralMovement #PatchManagement #RadioCSIRT

    9 min
  6. Ep.652 - RadioCSIRT Édition Française - Flash info cybersécurité du jeudi 21 mai 2026

    May 21

    Ep.652 - RadioCSIRT Édition Française - Flash info cybersécurité du jeudi 21 mai 2026

    Selon le CERT-UA, le cluster UAC-0057, également suivi sous le nom UNC1151, mène depuis le printemps 2026 une campagne de Phishing visant des organisations gouvernementales ukrainiennes. Les courriels, envoyés depuis des comptes compromis, exploitent la thématique de l'obtention de certificats via la plateforme Prometheus. Le vecteur d'Initial Access repose sur un PDF en pièce jointe contenant un lien menant au téléchargement d'une archive ZIP, laquelle embarque un fichier JS identifié comme OYSTERFRESH. Ce Loader affiche un document leurre, inscrit dans le registre une version obfusquée du Payload OYSTERBLUES, puis télécharge OYSTERSHUCK, son décodeur. Le décodage combine un reverse de chaîne, une transformation ROT13 et un URL-decoding. OYSTERBLUES collecte ensuite le nom de la machine, le compte utilisateur, la version de l'OS et la liste des processus, données transmises au serveur C2 par requête HTTP POST. En retour, le serveur renvoie du code JS exécuté via la fonction eval. À l'étape suivante, un composant Cobalt Strike peut être déployé. L'infrastructure reste masquée derrière Cloudflare, avec une forte proportion de domaines en TLD .icu. Selon le blog du chercheur opérant sous le pseudonyme Nightmare Eclipse, un conflit ouvert oppose ce dernier au MSRC autour de la divulgation de vulnérabilités Windows. Le chercheur a publié plusieurs Proof of Concept en Full Disclosure sur GitHub, dont les exploits baptisés BlueHammer et RedSun, ce dernier répondant au correctif de la CVE-2026-33825. Le différend cristallise autour de la CVE-2026-45585, surnommée YellowKey, un security feature bypass affectant Windows. Microsoft affirme que la publication du Proof of Concept enfreint les bonnes pratiques de Coordinated Vulnerability Disclosure. Le chercheur conteste cette qualification, qu'il juge diffamatoire, et accuse l'éditeur d'avoir révoqué puis intégralement supprimé son compte MSRC, sans réponse de la direction à ses demandes d'explication. Il évoque par ailleurs un silent patch appliqué par Microsoft sur la vulnérabilité YellowKey, sans attribution de CVE initiale. Les publications, signées en PGP avec un hash SHA512, s'inscrivent dans une série d'au moins sept billets diffusés en mai 2026, marquant une escalade revendiquée du mode de divulgation. Selon BleepingComputer, Google a accidentellement exposé les détails d'une faille Chromium non corrigée permettant à du JavaScript de continuer à s'exécuter en arrière-plan après la fermeture du navigateur, ouvrant la voie à une exécution de code à distance. Rapportée par la chercheuse Lyra Rebane et reconnue dès décembre 2022, la vulnérabilité repose sur l'abus d'un Service Worker qui ne se termine jamais, transformant le navigateur en membre permanent d'un botnet relié à un C2. Tous les navigateurs basés sur Chromium sont concernés : Chrome, Edge, Brave, Opera, Vivaldi et Arc. Le 20 mai, les restrictions d'accès sur le Chromium Issue Tracker ont été levées automatiquement, le bug ayant été marqué comme corrigé, alors qu'aucun patch n'avait été livré. En testant, Rebane a constaté que l'exploit fonctionne toujours sur Chrome Dev 150 et Edge 148. Sur Edge, l'exécution est désormais totalement silencieuse, la fenêtre de téléchargement ayant disparu. Les scénarios incluent attaques DDoS distribuées, proxy de trafic malveillant et redirection arbitraire. La faille ne franchit pas les barrières de sécurité du navigateur. Selon Cyber Security News, une vulnérabilité zero-day d'exécution de code à distance, baptisée nginx-poolslip, affecterait NGINX 1.31.0, dernière version stable du serveur web. La découverte est attribuée à un chercheur opérant sous le nom Vega, au sein de l'équipe NebSec, et a été divulguée publiquement via X le 21 mai 2026. La faille viserait le mécanisme interne de gestion du memory pool de NGINX et permettrait une exécution de code à distance sans authentification préalable, via un contournement de l'ASLR. NebSec indique que le correctif d'une vulnérabilité antérieure, nginx-rift, n'a pas traité la surface d'attaque désormais exploitée. NGINX équipant 30 à 40 % des serveurs web mondiaux, reverse proxies, load balancers et API gateways inclus, les organisations ayant migré vers 1.31.0 resteraient exposées. À la publication, aucun CVE n'est attribué et aucun patch F5/NGINX n'est disponible. NebSec applique une responsible disclosure de 30 jours et retient les détails techniques du contournement ASLR jusqu'à correctif officiel. Cette information demeure non confirmée par F5 et appelle vérification. Selon le SANS Internet Storm Center, dans une note signée Johannes Ullrich, il n'existe pas encore d'équivalent générique sous Linux à Proxifier, l'outil capable d'intercepter le trafic de processus spécifiques sous Windows, macOS et Android, utile pour le debugging et le reverse engineering en limitant le bruit d'analyse. Trois méthodes permettent toutefois de cibler le proxying par processus sous Linux. La première s'appuie sur les variables d'environnement http_proxy et https_proxy, définies dans un shell avant de lancer le logiciel à inspecter. La deuxième repose sur iptables, qui peut rediriger le trafic d'un utilisateur donné via l'option owner et le ciblage par UID, plutôt que par PID, ces derniers étant trop instables et multiples pour les processus multithreadés. La troisième utilise les network namespaces, qui créent des tables de routage distinctes par processus, en assignant explicitement les interfaces réseau au namespace. Ullrich qualifie cette dernière approche de plus polyvalente, notamment lorsque les variables d'environnement échouent, la solution iptables restant plus simple mais susceptible de générer du trafic résiduel non désiré. Sources :  Оновлений інструментарій UAC-0057 : OYSTERFRESH, OYSTERSHUCK та OYSTERBLUES — CERT-UA : https://cert.gov.ua/article/6315762I have been profusely crying — Nightmare Eclipse : https://deadeclipse666.blogspot.com/2026/05/i-have-been-profusely-crying-i-will.htmlDear Microsoft — Nightmare Eclipse : https://deadeclipse666.blogspot.com/2026/05/dear-microsoft.htmlGoogle accidentally exposed details of unfixed Chromium flaw — BleepingComputer : https://www.bleepingcomputer.com/news/security/google-accidentally-exposed-details-of-unfixed-chromium-flaw/Selective HTTP Proxying in Linux — SANS Internet Storm Center : https://isc.sans.edu/diary/rss/33002New NGINX 0-Day RCE nginx-poolslip Affects Millions of NGINX Servers — Cyber Security News : https://cybersecuritynews.com/nginx-0-day-rce-nginx-poolslip/⚡️ On ne réfléchit pas, on patch !  📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CERTUA #UAC0057 #UNC1151 #OYSTERFRESH #OYSTERSHUCK #OYSTERBLUES #CobaltStrike #Phishing #Cloudflare #NightmareEclipse #ChaoticEclipse #Microsoft #MSRC #YellowKey #CVE202645585 #BlueHammer #RedSun #FullDisclosure #CVD #Google #Chromium #Chrome #Edge #ServiceWorker #Botnet #DDoS #JavaScript #SANS #ISC #Linux #Proxy #NetworkNamespaces #iptables #NGINX #nginxpoolslip #ZeroDay #RCE #ASLR #F5 #PatchManagement #RadioCSIRT

    12 min
  7. Ep.651 - RadioCSIRT Édition Française - Flash info cybersécurité du mercredi 20 mai 2026

    May 20

    Ep.651 - RadioCSIRT Édition Française - Flash info cybersécurité du mercredi 20 mai 2026

    Selon la CISA, sept vulnérabilités ont été ajoutées au catalogue Known Exploited Vulnerabilities ce 20 mai 2026. Le lot mêle cinq failles Windows datant de 2008 à 2010 et deux vulnérabilités très récentes touchant Microsoft Defender : CVE-2026-41091, élévation de privilèges, et CVE-2026-45498, déni de service. D'après Barracuda Networks, ces deux failles s'inscrivent dans la campagne ouverte depuis avril 2026 par le chercheur Chaotic Eclipse, alias Nightmare-Eclipse, auteur de six zero-days successifs visant Microsoft en représailles d'un différend avec le MSRC. Les premiers exploits du même auteur, BlueHammer, RedSun et UnDefend, ont déjà été observés en exploitation hands-on-keyboard par Huntress, après initial access via SSL-VPN compromis. L'infrastructure observée est géolocalisée en Russie. D'après le Drupal Security Team, l'avis SA-CORE-2026-004 corrige CVE-2026-9082, une injection SQL critique scorée 20 sur 25 dans l'API d'abstraction de base de données du core. La faille permet à un utilisateur anonyme de déclencher une injection SQL arbitraire conduisant à divulgation d'information, escalade de privilèges ou exécution de code à distance. Seuls les sites utilisant PostgreSQL sont exposés au vecteur SQL. Les releases intègrent toutefois des correctifs upstream coordonnés Symfony et Twig qui concernent l'ensemble du parc, indépendamment du moteur de base de données. Les versions corrigées sont 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 et 10.4.10. L'Internet Systems Consortium publie un lot de quatre vulnérabilités affectant BIND 9, relayé par le Centre canadien pour la cybersécurité sous la référence AV26-490. La plus notable est CVE-2026-3593, une heap use-after-free dans l'implémentation DNS-over-HTTPS, exploitable à distance via du trafic HTTP/2 spécialement conçu, et scorée 7.4. La corruption mémoire touche serveurs autoritaires et résolveurs, sans authentification. Les versions concernées sont BIND 9.20.0 à 9.20.22 et 9.21.0 à 9.21.21. La branche 9.18 n'est pas affectée. Le bulletin couvre également CVE-2026-3039, CVE-2026-5947 et CVE-2026-5946 portant respectivement sur GSS-API TKEY, SIG(0) sous query flood et la gestion des classes DNS. Le projet OpenBSD publie le 19 mai 2026 la version 7.9, soixantième release du système. Côté OpenSSH, dont OpenBSD est l'amont, sshd_config introduit une pénalité configurable applicable aux tentatives de connexion avec utilisateur invalide, mécanisme natif de mitigation du brute force SSH. Le packet filter pf intègre un limiteur de création d'états par source pour contenir les floods. Le mécanisme pledge, qui restreint les appels système d'un processus, bénéficie de plusieurs améliorations renforçant la mitigation des vulnérabilités exploitables. La version embarque également le support des VLAN dans les ponts Ethernet virtuels veb, le support des certificats par IP dans acme-client et le passage à 255 processeurs amd64. Sources : CISA Adds Seven Known Exploited Vulnerabilities to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/05/20/cisa-adds-seven-known-exploited-vulnerabilities-catalogDrupal core - Highly critical - SQL injection - SA-CORE-2026-004 — Drupal.org : https://www.drupal.org/sa-core-2026-004Bulletin de sécurité ISC BIND (AV26-490) — Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-isc-bind-av26-490Sortie de la 60ᵉ version d'OpenBSD — LinuxFR : https://linuxfr.org/news/sortie-de-la-60-version-d-openbsd⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #ChaoticEclipse #NightmareEclipse #MicrosoftDefender #BlueHammer #RedSun #UnDefend #Huntress #Barracuda #ZeroDay #Drupal #SACORE2026004 #CVE20269082 #SQLInjection #PostgreSQL #Symfony #Twig #ISC #BIND #DNS #DoH #DNSOverHTTPS #UseAfterFree #OpenBSD #OpenSSH #pf #pledge #LibreSSL #PatchManagement #RadioCSIRT

    8 min
  8. Ep.650 - RadioCSIRT Édition Française - Flash info cybersécurité du mardi 19 mai 2026

    May 19

    Ep.650 - RadioCSIRT Édition Française - Flash info cybersécurité du mardi 19 mai 2026

    Linus Torvalds publie Linux 7.1-rc4 et durcit la politique du noyau face à l'afflux massif de rapports de bugs générés par IA. La security list étant submergée par des doublons issus des mêmes outils d'analyse automatisée, Torvalds tranche : les bugs détectés par IA ne sont pas secrets par définition et leur traitement sur une liste privée constitue une perte de temps. Trois patches de Willy Tarreau et Jonathan Corbet clarifient les exigences applicables aux rapports assistés par IA. Canonical publie un avis sur CVE-2026-46333, alias ssh-keysign-pwn, une race condition exploitable via ptrace permettant à un utilisateur local non privilégié de lire les fichiers ouverts par un exécutable suid ou sgid. Le PoC démontre la lecture de /etc/shadow via /usr/bin/chage et des clés privées hôtes OpenSSH via /usr/lib/openssh/ssh-keysign. Score CVSS 5.5, priorité Ubuntu High. Toutes les LTS sont affectées, mitigation par sysctl kernel.yama.ptrace_scope=2. Selon Socket, une nouvelle vague Shai-Hulud a compromis 639 versions malveillantes sur 323 packages npm en une heure le 19 mai 2026. L'attaque exploite le compte mainteneur atool de l'écosystème @antv et touche notamment echarts-for-react et jest-canvas-mock. Exfiltration via le réseau P2P Session, génération d'attestations Sigstore valides via abus de tokens OIDC, persistance inédite via backdoors implantés dans les configurations VS Code et Claude Code. INTERPOL annonce les résultats d'Operation Ramz dans la région MENA : plus de 200 arrestations, 382 suspects supplémentaires identifiés sur 13 pays, 53 serveurs phishing et malware saisis, 3 867 victimes confirmées. Collaboration avec Kaspersky, Group-IB, The Shadowserver Foundation, Team Cymru et TrendAI. Démantèlement notable d'une plateforme phishing-as-a-service en Algérie et d'une opération d'investment scam en Jordanie. Selon Recorded Future News, la panne nationale des télécoms luxembourgeois du 23 juillet 2025 résulte d'une attaque zero-day visant les routeurs entreprise Huawei. Un trafic réseau spécialement forgé plaçait les équipements en boucle de redémarrage continue, coupant fixe, 4G et 5G pendant trois heures. Dix mois après les faits, aucun CVE n'a été publié, aucune alerte publique n'a été émise par Huawei. Microsoft démantèle Fox Tempest, une plateforme de malware-signing-as-a-service active depuis mai 2025 qui abusait Microsoft Artifact Signing. Plus de 1 000 certificats révoqués, des centaines de tenants Azure mis hors ligne. Les affiliés Rhysida, INC, Qilin et Akira utilisaient le service pour signer Oyster, Lumma Stealer et Vidar, maquillés en AnyDesk, Teams, PuTTY ou Webex. Cisco Talos divulgue onze vulnérabilités. Huit ciblent le routeur TP-Link Archer AX53, dont CVE-2026-30814, un stack-based buffer overflow conduisant à de l'arbitrary code execution, et plusieurs OS command injection dans les fonctions OpenVPN configuration restore. CVE-2026-34632 vise le processus d'installation d'Adobe Photoshop via Microsoft Store, CVE-2026-35058 frappe OpenVPN via une reachable assertion, et CVE-2025-58074 affecte Norton VPN. Sources : Linus Torvalds, Linux 7.1-rc4, LKML : https://lkml.org/lkml/2026/5/17/896Luci Stanescu, CVE-2026-46333 ssh-keysign-pwn Linux kernel vulnerability mitigations, Canonical : https://ubuntu.com//blog/ssh-keysign-pwn-linux-vulnerability-fixes-availableBill Toulas, New Shai-Hulud malware wave compromises 600 npm packages, BleepingComputer : https://www.bleepingcomputer.com/news/security/new-shai-hulud-malware-wave-compromises-600-npm-packages/Bill Toulas, INTERPOL Operation Ramz seizes 53 malware phishing servers, BleepingComputer : https://www.bleepingcomputer.com/news/security/interpol-operation-ramz-seizes-53-malware-phishing-servers/Huawei zero-day attack behind last year's crash of Luxembourg's entire telecoms network, The Record : https://therecord.media/huawei-zero-day-behind-last-year-luxembourg-telecom-outageMicrosoft disrupts Fox Tempest malware-signing-as-a-service platform tied to ransomware gangs, The Record : https://therecord.media/microsoft-disrupts-fox-tempest-malware-signing-serviceKri Dontje, TP-Link, Photoshop, OpenVPN, Norton VPN vulnerabilities, Cisco Talos : https://blog.talosintelligence.com/tp-link-photoshop-openvpn-norton-vpn-vulnerabilities/⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09 📩 Email : radiocsirt@gmail.com 🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #ThreatIntelligence #LinuxKernel #LinusTorvalds #AI #CVE #ssh-keysign-pwn #ptrace #Ubuntu #Canonical #Qualys #ShaiHulud #npm #SupplyChain #Session #Sigstore #OIDC #VSCode #ClaudeCode #INTERPOL #OperationRamz #MENA #Huawei #ZeroDay #Luxembourg #POST #Microsoft #FoxTempest #MSaaS #ArtifactSigning #Rhysida #Qilin #Akira #LummaStealer #Vidar #CiscoTalos #TPLink #ArcherAX53 #Photoshop #OpenVPN #NortonVPN #PatchManagement #RadioCSIRT

    15 min
See All (659)

Ratings & Reviews

4.5
out of 5
2 Ratings

About

🎙 Marc Frédéric Gomez, expert en cybersécurité, vous livre chaque jour l’essentiel des menaces, attaques et stratégies de défense à connaître. 🔎 Au programme :✔️ Décryptage des cyberattaques et vulnérabilités critiques✔️ Veille stratégique pour les CSIRT, CERT et pros de la cybersécurité✔️ Sources et références pour approfondir chaque sujet 💡 Pourquoi écouter RadioCSIRT ?🚀 Restez à jour en quelques minutes par jour🛡️ Anticipez les menaces avec des infos fiables et techniques📢 Une veille indispensable pour les pros de l’IT et de la sécurité 🔗 Écoutez, partagez et sécurisez votre environnement !📲 Abonnez-vous et laissez une note ⭐ sur votre plateforme préférée !

Information

You Might Also Like