NewsLetter RadioCSIRT N°23

août 9, 2025 marc Revue de presse journalière Commentaires fermés sur NewsLetter RadioCSIRT N°23

🎧 RadioCSIRT – La newsletter cyber hebdo du Podcast RadioCSIRT

Bonjour

Je publie aujourd’hui la newsletter n°23, marquée par une étape importante pour RadioCSIRT : la migration de l’ensemble des serveurs vers OVH est désormais achevée. Tous les services ont été basculés et sont opérationnels sur cette nouvelle infrastructure.

Je tiens également à présenter mes excuses pour une erreur de numérotation des épisodes survenue depuis le 4 Août. La correction a été effectuée sur les sites ; je ne procéderai pas au réenregistrement des épisodes concernés par manque de bande passante.

Dans cette édition, je mets en avant deux lectures techniques dont une sur mon blog : une analyse de la vulnérabilité critique CVE-2025-53786 affectant les déploiements Exchange hybrides, et un rappel structuré des exigences de la directive CISA BOD 23-02 sur les interfaces d’administration exposées à Internet.

Vous trouverez également un récapitulatif des podcasts publiés sur la semaine du 2 au 8 août 2025, couvrant notamment l’activité d’Akira sur des VPN SonicWall, une chaîne d’exploitation SharePoint documentée par la CISA, plusieurs vulnérabilités affectant des composants et plugins largement déployés, les risques liés aux environnements de développement assistés par IA, ainsi que plusieurs incidents et études sectorielles récents.

Je remercie la communauté de RadioCSIRT pour sa fidélité et ses retours, qui m’aident à améliorer en continu le service. Bonne lecture.

Marc Frédéric GOMEZ

🔎 À lire cette semaine sur mon blog

Je vous propose une nouvelle sélection de mes derniers articles publiés sur mon blog.

🔹 Une vulnérabilité de haute gravité CVE-2025-53786 affectant les déploiements Exchange hybrides
Analyse technique détaillée de la faille, ses impacts potentiels, les scénarios d’exploitation, ainsi que les recommandations de mitigation et les liens vers les bulletins de sécurité officiels.
👉 Lire : https://blog.marcfredericgomez.fr/une-vulnerabilite-de-haute-gravite-cve-2025-53786-affectant-les-deploiements-exchange-hybrides/

Focus de la semaine

BOD 23-02 : réduire le risque des interfaces d’administration exposées à Internet

Le 13 juin 2023 oui vous avez bien lu en 2023, la Cybersecurity and Infrastructure Security Agency (CISA) a publié la Binding Operational Directive (BOD) 23-02, qui impose aux agences fédérales civiles américaines de réduire la surface d’attaque créée par des interfaces d’administration réseau accessibles depuis Internet.

Je vous propose un résumé, point par point, ce que la directive exige, à qui elle s’applique et comment elle s’inscrit dans une approche Zero Trust. Si vous avez des filiales aux Etats-Unis c’est un bon rappel des bonnes pratiques fédérales…

Ce qu’est une BOD et à qui s’applique la 23-02

Une BOD est une instruction obligatoire adressée aux départements et agences de l’exécutif fédéral américain pour protéger les systèmes et informations fédéraux (hors « national security systems » et certains systèmes du DoD/Communauté du renseignement). La BOD 23-02 s’applique aux agences du Federal Civilian Executive Branch (FCEB) et aux systèmes qu’elles exploitent directement ou via des tiers.

Contexte de menace

La CISA constate une adaptation des acteurs malveillants : face à l’amélioration de la visibilité réseau et de la détection côté postes, les campagnes récentes ciblent davantage les équipements d’infrastructure (routeurs, pare-feu, commutateurs, proxys, etc.). Des configurations inadéquates, des logiciels obsolètes et, surtout, des interfaces d’administration exposées au public ont déjà conduit à des compromissions complètes. Ces interfaces sont en principe conçues pour être jointes via des réseaux dédiés et non depuis Internet.

Périmètre exact

La BOD 23-02 vise les « networked management interfaces » : interfaces dédiées accessibles par des protocoles réseau et réservées aux opérations administratives sur un équipement, un groupe d’équipements ou le réseau. Deux critères cumulatifs définissent le périmètre :

  1. Classes d’équipements : routeurs, commutateurs, pare-feu, concentrateurs VPN, proxys, répartiteurs de charge (load balancers) et interfaces d’administration « out-of-band » de serveurs (par ex. iLO, iDRAC).
  2. Exposition via protocoles réseau depuis Internet : HTTP/HTTPS, FTP, SNMP, Telnet, TFTP, RDP, rlogin, RSH, SSH, SMB, VNC, X11, etc.

Ne sont pas concernés : les portails/API d’administration des fournisseurs cloud (CSP).

Articulation avec le Zero Trust

La directive autorise, dans certains cas, le maintien d’une accessibilité Internet uniquement si l’accès est médié par un point d’application de politiques distinct de l’interface elle-même, conformément à l’orientation Zero Trust (OMB M-22-09, NIST SP 800-207, TIC 3.0, CISA Zero Trust Maturity Model). Autrement dit : pas d’accès direct, mais un contrôle d’accès centralisé et indépendant, par exemple via une passerelle d’accès conforme aux principes Zero Trust.

Exigences opérationnelles (agences FCEB)

  • Sous 14 jours après notification par la CISA ou découverte interne d’une interface dans le périmètre, l’agence doit réaliser au moins une des actions suivantes :
    1. Retirer l’interface d’Internet (la rendre accessible uniquement depuis le réseau interne ; CISA recommande un réseau d’administration isolé) ; ou
    2. Déployer des capacités Zero Trust qui imposent un contrôle d’accès via un point d’application de politiques séparé (action privilégiée).
  • De façon durable, toutes les interfaces concernées, existantes comme nouvelles, doivent être protégées par au moins une des deux protections ci-dessus.

Actions et suivi côté CISA

La CISA s’engage à :

  • Scanner les équipements et interfaces dans le périmètre de la directive et notifier les agences de ses constats ;
  • Mettre à disposition une interface de reporting et des modèles de plans de remédiation si les délais ne peuvent être tenus ;
  • Accompagner techniquement le durcissement des équipements et échanger avec les DSI, RSSI et SAORM des agences en cas d’escalade ;
  • Réviser la directive dans les deux ans suivant sa publication, au besoin, pour refléter l’évolution du risque ;
  • Publier un rapport de statut au Secrétaire du DHS et au Directeur de l’OMB dans les 6 mois, puis annuellement ;
  • Actualiser la page publique et l’Implementation Guidance en continu.

Mise en œuvre : guidance disponible

La CISA publie un document d’Implementation Guidance qui détaille l’application pratique des exigences (principalement pour les agences FCEB, mais utile au-delà). Il répond aux questions récurrentes et sera mis à jour au fil des retours terrain.

Ce que je retiens pour mes propres environnements

Même si la BOD 23-02 est juridiquement contraignante pour le périmètre FCEB, son contenu fournit un socle minimal de contrôle transposable à tout environnement :

  • Supprimer l’exposition directe à Internet des interfaces d’administration, ou imposer une médiation Zero Trust par un composant séparé ;
  • Inventorier et surveiller en continu ces interfaces (y compris OOB type iLO/iDRAC) ;
  • Réagir sous 14 jours en cas de découverte d’une interface exposée ;
  • S’aligner sur les références publiques (OMB M-22-09, NIST SP 800-207, TIC 3.0, modèle de maturité Zero Trust de la CISA) pour cadrer l’architecture et la trajectoire de remédiation.
    Ces points reprennent strictement les exigences et références de la directive.

Sources

  • CISA — Binding Operational Directive 23-02: Mitigating the Risk from Internet-Exposed Management Interfaces : https://www.cisa.gov/news-events/directives/binding-operational-directive-23-02
  • CISA — BOD 23-02 Implementation Guidance: Mitigating the Risk from Internet-Exposed Management Interfaces : https://www.cisa.gov/news-events/directives/bod-23-02-implementation-guidance-mitigating-risk-internet-exposed-management-interfaces
  • OMB — M-22-09 : Moving the U.S. Government Toward Zero Trust Cybersecurity Principles : https://www.whitehouse.gov/wp-content/uploads/2022/01/M-22-09.pdf
  • NIST — SP 800-207 : Zero Trust Architecture (PDF) : https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf
  • CISA — Zero Trust Maturity Model : https://www.cisa.gov/zero-trust-maturity-model

🎙 Récapitulatif des épisodes du podcast de la semaine

Du samedi 02 Août au vendredi 08 Août 2025

📅 Podcast RadioCSIRT du Samedi 2 Août 2025 (Ep.374)

📌 Au programme aujourd’hui :

💸 🇺🇸 États-Unis – 100 M$ pour renforcer la cybersécurité locale
La CISA et la FEMA lancent deux programmes de subvention : 91,7 M$ pour les États via le SLCGP et 12,1 M$ pour les tribus via le TCGP. Objectif : renforcer les défenses cyber locales.
🔗 https://www.cisa.gov/news-events/news/dhs-launches-over-100-million-funding-strengthen-communities-cyber-defenses

🔐 WordPress – CVE critiques dans deux plugins
La CVE-2025-7710 affecte Brave Conversion Engine < 0.7.8 (prise de contrôle de session Facebook, CVSS 9.8).
La CVE-2025-6754 cible SEO Metrics < 1.0.16 (élévation de privilèges via AJAX, CVSS 8.8).
🔗 https://cvefeed.io/vuln/detail/CVE-2025-7710
🔗 https://cvefeed.io/vuln/detail/CVE-2025-6754

🧪 Reverse – Bypass d’un malware bloquant les éditeurs de sécurité
Un chercheur documente une méthode AutoHotkey permettant de contourner la détection des titres de fenêtre utilisés par certains malwares pour fermer automatiquement les navigateurs.
🔗 https://reversethemalware.blogspot.com/2025/07/bypass-mainwindowtitle-techniques.html

🧰 Analyse Forensique – Lancement de la plateforme Thorium
La CISA publie Thorium, un framework open source de sandboxing distribué pour l’analyse de malwares à grande échelle. Basé sur Kubernetes et ScyllaDB.
🔗 https://securityaffairs.com/180649/cyber-crime/cisa-released-thorium-platform-to-support-malware-and-forensic-analysis.html

🏢 PME – Webinaire cybersécurité du NIST le 14 août
Session dédiée aux petites entreprises sur les attaques par phishing et les bonnes pratiques défensives.
🔗 https://www.nist.gov/news-events/events/2025/08/nist-small-business-cybersecurity-webinar-protecting-your-small-business

🛠️ Akira – Le ransomware cible SonicWall VPN
Arctic Wolf signale des compromissions récentes via des appliances SonicWall à jour. Exploitation suspectée d’un 0-day. Le groupe Akira revendique plus de 250 victimes et 42 M$ extorqués depuis 2023.
🔗 https://thehackernews.com/2025/08/akira-ransomware-exploits-sonicwall.html

📅 Podcast RadioCSIRT du Dimanche 3 Août 2025 (Ep.375)

📌 Au programme aujourd’hui :

🎯 CL-STA-0969 – 10 mois d’espionnage furtif dans les télécoms
Implants personnalisés, accès persistants, modules PAM, DNS over ICMP, tunneling GPRS : une campagne attribuée à Liminal Panda, avec des outils tels que AuthDoor, GTPDOOR, ChronosRAT et NoDepDNS. Exploitation des vulnérabilités CVE-2016-5195, CVE-2021-4034 et CVE-2021-3156.
🔗 https://thehackernews.com/2025/08/cl-sta-0969-installs-covert-malware-in.html

🐧 Linux – Plague, un backdoor PAM furtif et évolutif
Découvert par Nextron Systems, ce module PAM intègre des obfuscations DRBG, anti-debugging, et nettoie ses traces SSH. Aucun éditeur identifié, mais une persistance avancée.
🔗 https://securityaffairs.com/180701/malware/new-linux-backdoor-plague-bypasses-auth-via-malicious-pam-module.html

🇺🇸 CISA + USCG – Audit critique d’une infrastructure américaine
L’alerte AA25-212A révèle :
– Comptes admin partagés et mots de passe en clair,
– Segmentation IT/OT inexistante, accès SCADA via FTP (port 21),
– Logs insuffisants, mauvais paramétrage IIS (sslFlags=0),
– Connexions SQL centralisées et mots de passe faibles.
Recommandations : MFA, LAPS, bastions dédiés, audit complet, journaux renforcés.
🔗 https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-212a

📅 Podcast RadioCSIRT du Lundi 4 Août 2025 (Ep.376)

📌 Au programme aujourd’hui :

🏥 Santé – Dispositifs mobiles partagés : sécurité encore négligée
99 % des établissements prévoient d’amplifier leur usage, malgré des lacunes persistantes en cybersécurité.
🔗 https://www.helpnetsecurity.com/2025/08/01/shared-mobile-device-security-healthcare/

💻 Cursor IDE – RCE par prompt injection (CurXecute)
Faille dans l’auto-démarrage MCP permettant l’exécution de code local via une simple invite IA.
🔗 https://www.aim.security/lp/aim-labs-curxecute-blogpost
🔗 https://www.bleepingcomputer.com/news/security/ai-powered-cursor-ide-vulnerable-to-prompt-injection-attacks/
🔗 https://thehackernews.com/2025/08/cursor-ai-code-editor-fixed-flaw.html
🔗 https://cyberscoop.com/cursor-ai-prompt-injection-attack-remote-code-privileges-aimlabs/

🧬 BIOS – Shade BIOS, nouvelle technique indétectable
FFRI Security présente à Black Hat une exécution de malware dans le BIOS sans OS, ni détection possible.
🔗 https://www.darkreading.com/endpoint-security/shade-bios-technique-beats-security

🧊 Akira – Campagne active ciblant les VPN SSL SonicWall
Intrusions malgré MFA et mises à jour : possibilité d’un zero-day toujours inconnu.
🔗 https://arcticwolf.com/resources/blog/arctic-wolf-observes-july-2025-uptick-in-akira-ransomware-activity-targeting-sonicwall-ssl-vpn/
🔗 https://www.bleepingcomputer.com/news/security/surge-of-akira-ransomware-attacks-hits-sonicwall-firewall-devices/
🔗 https://thehackernews.com/2025/08/akira-ransomware-exploits-sonicwall.html
🔗 https://securityaffairs.com/180724/cyber-crime/akira-ransomware-targets-sonicwall-vpns-in-likely-zero-day-attacks.html

🐉 Chine – Accusation contre les USA pour exploitation de zero-day Exchange
Une attaque attribuée à 2022 aurait compromis un serveur militaire chinois pendant un an.
🔗 https://cyberscoop.com/china-accuses-us-of-exploiting-microsoft-zero-day-in-cyberattack/
🔗 https://www.theregister.com/2025/08/01/china_us_intel_attacks/

📦 NPM – Malware généré par IA pour vider des portefeuilles crypto
L’IA sert désormais à produire du code malveillant indétectable et optimisé.
🔗 https://getsafety.com/blog-posts/threat-actor-uses-ai-to-create-a-better-crypto-wallet-drainer
🔗 https://thehackernews.com/2025/08/ai-generated-malicious-npm-package.html
🔗 https://securityaffairs.com/180680/malware/malicious-ai-generated-npm-package-hits-solana-users.html

🌀 SharePoint – 4 CVE exploitées par Storm-2603
CVE‑2025‑49704, CVE‑2025‑49706, CVE‑2025‑53770 et CVE‑2025‑53771. Ciblage APT27 (Linen Typhoon), APT31 (Violet Typhoon) et cluster inconnu.
🔗 https://research.checkpoint.com/2025/before-toolshell-exploring-storm-2603s-previous-ransomware-operations/
🔗 https://thehackernews.com/2025/08/storm-2603-exploits-sharepoint-flaws-to.html
🔗 https://securityaffairs.com/180657/apt/toolshell-under-siege-check-point-analyzes-chinese-apt-storm-2603.html

📶 Luxembourg – Cyberattaque sur équipements Huawei
Panne nationale 4G/5G le 23 juillet. Télécoms et services d’urgence impactés.
🔗 https://therecord.media/luxembourg-telecom-outage-reported-cyberattack-huawei-tech

🪤 REMCOS – Backdoor déployé via fichiers LNK
Campagne d’hameçonnage en plusieurs étapes. Exemple de fichier piégé : “ORDINE-DI-ACQUIST-7263535”.
🔗 https://hackread.com/attack-windows-shortcut-files-install-remcos-backdoor/
🔗 https://www.pointwild.com/threat-intelligence/trojan-winlnk-powershell-runner

🧾 Pi-hole – Données de donateurs exposées
Plugin GiveWP WordPress vulnérable. Signalements d’e-mails suspects à partir du 28 juillet.
🔗 https://www.bleepingcomputer.com/news/security/pi-hole-discloses-data-breach-via-givewp-wordpress-plugin-flaw/
🔗 https://pi-hole.net/blog/2025/07/30/compromised-donor-emails-a-post-mortem/

✈️ Aeroflot – Données publiées, Moscou nie
Fuite présumée des vols du PDG après un incident paralysant.
🔗 https://therecord.media/hackers-leak-purported-aeroflot-data

💡 Veracode – Les LLM génèrent toujours du code vulnérable
Plus de 100 modèles testés : syntaxe en progrès, mais sécurité absente, notamment en Java.
🔗 https://www.darkreading.com/application-security/llms-ai-generated-code-wildly-insecure
🔗 https://www.veracode.com/wp-content/uploads/2025_GenAI_Code_Security_Report_Final.pdf
🔗 https://www.bankinfosecurity.com/ai-still-writing-vulnerable-code-a-29106

📊 SIEM – Vers la fusion avec l’XDR ?
Sondage Dark Reading : 40 % pour l’intégration, 35 % croient encore à leur avenir autonome.
🔗 https://www.darkreading.com/cybersecurity-analytics/siems-dying-slow-death-ai-rebirth

🛠️ Post-mortem cyber – La revue d’incident, levier organisationnel
Analyse des mesures post-attaque : cartographie des lacunes et priorisation des actions.
🔗 https://www.darkreading.com/cybersecurity-operations/perfect-post-security-incident-review-playbook

🧠 Gouvernance IA – Dès la conception des agents autonomes
PwC rappelle les risques réputationnels et opérationnels sans cadre rigoureux.
🔗 https://www.helpnetsecurity.com/2025/08/01/rohan-sen-pwc-us-ai-ecosystems-security/

📉 Infostealers – +800 % de credentials volés
Flashpoint alerte sur 1,8 milliard d’identifiants exfiltrés depuis 5,8 millions d’hôtes.
🔗 https://www.infosecurity-magazine.com/news/staggering-800-rise-infostealer/

🧑‍💼 Génération Z – Nouvelles cibles du cybercrime
Travailleurs multi-emplois surexposés : freelances, side jobs, attaques ciblées.
🔗 https://www.kaspersky.com/blog/polyworking-genz-scams/54010/
🔗 https://www.securityweek.com/gen-z-in-the-crosshairs-cybercriminals-shift-focus-to-young-digital-savvy-workers/

👁️ ASIO – Profils LinkedIn sensibles en danger
L’agence australienne alerte sur l’espionnage des profils travaillant sur des projets de défense.
🔗 https://www.theregister.com/2025/08/01/asio_espionage_social_media_warning/

🛰️ APT – Mise à jour des groupes suivis par Unit 42
Référencement par constellation. Attribution, industries, indicateurs d’activité.
🔗 https://unit42.paloaltonetworks.com/threat-actor-groups-tracked-by-palo-alto-networks-unit-42/

👥 ShinyHunters vs Scattered Spider – Arrestation en France
Des UNCs et identifiants croisés, peu de réponses sur leur structure réelle.
🔗 https://databreaches.net/2025/08/03/are-scattered-spider-and-shinyhunters-one-group-or-two-and-who-did-france-arrest/

📅 Podcast RadioCSIRT du Mardi 5 Août 2025 (Ep.377)

📌 Au programme aujourd’hui :

👜 Chanel – Données clients volées via Salesforce
Violation confirmée le 25 juillet : noms, e-mails, adresses et téléphones subtilisés depuis un prestataire externe.
🔗 https://www.bleepingcomputer.com/news/security/fashion-giant-chanel-hit-in-wave-of-salesforce-data-theft-attacks/

🎣 ClickTok – Campagne massive ciblant TikTok Shop
15 000 domaines frauduleux, IA générative et influenceurs fictifs pour voler identifiants et diffuser des malwares.
🔗 https://thehackernews.com/2025/08/15000-fake-tiktok-shop-domains-deliver.html

🧠 NVIDIA – Vulnérabilité critique dans Triton Server
Chaine d’exploit RCE via la CVE‑2025‑23319. Serveurs IA Windows/Linux compromis avant correctif en version 25.07.
🔗 https://thehackernews.com/2025/08/nvidia-triton-bugs-let-unauthenticated.html

🤖 Cisco – Jailbreak IA : instructional decomposition
Nouvelle méthode présentée à Black Hat. Les garde-fous IA contournés par manipulation contextuelle.
🔗 https://www.securityweek.com/ai-guardrails-under-fire-ciscos-jailbreak-demo-exposes-ai-weak-points/

📱 Android – Failles Qualcomm corrigées
La CVE‑2025‑27038 (CVSS 7.5) activement exploitée dans les pilotes GPU Adreno. Patch publié le 5 août.
🔗 https://www.securityweek.com/androids-august-2025-update-patches-exploited-qualcomm-vulnerability/

📤 Discord – Malware RAT diffusé via liens OneDrive piégés
Double infection via fichier MSI déguisé en .docx, hébergé sur CDN Discord, détectée sur Microsoft 365.
🔗 https://hackread.com/discord-cdn-link-deliver-rat-disguised-onedrive-file/

📧 Phishing interne – Abus du Direct Send Microsoft 365
Des e-mails spoofés passent malgré les échecs SPF/DKIM, grâce à des relais SMTP tiers mal configurés.
🔗 https://www.proofpoint.com/uk/blog/email-and-cloud-threats/attackers-abuse-m365-for-internal-phishing

🕵️ Iran-Israël – Offensive cyber coordonnée
APT Tortoiseshell, proxies et hacktivistes ont lancé des attaques critiques dès les premiers jours du conflit.
🔗 https://www.infosecurity-magazine.com/news/proiran-hackers-aligned-cyber/

🕳️ Zero-day – +46 % d’exploitation en 2025
Microsoft en tête avec 30 %, suivi par Google (11 %) et Apple (8 %). 23 583 vulnérabilités recensées au S1.
🔗 https://www.infosecurity-magazine.com/news/microsoft-google-zero-day-exploits/

📅 Podcast RadioCSIRT du Mercredi 6 Août 2025 (Ep.378)

📌 Au programme aujourd’hui :

🛡️ Akira – Microsoft Defender désactivé via driver Intel
Le ransomware Akira abuse du driver rwdrv.sys pour charger un pilote malveillant (hlpdrv.sys) et désactiver Defender. Attaques actives depuis le 15 juillet.
🔗 https://www.bleepingcomputer.com/news/security/akira-ransomware-abuses-cpu-tuning-tool-to-disable-microsoft-defender/

📄 Adobe – 2 failles critiques dans AEM Forms
La CVE‑2025‑54253 (XXE) et la CVE‑2025‑54254 (config) corrigées en urgence. PoC public actif. Versions ≤ 6.5.23.0 vulnérables en mode JEE standalone.
🔗 https://www.helpnetsecurity.com/2025/08/06/adobe-patches-critical-adobe-experience-manager-forms-vulnerabilities-with-public-poc/

📱 WhatsApp – 6,8 millions de comptes de scam supprimés
Comptes liés à des centres de fraude au Cambodge. Arnaques aux faux jobs, crypto, likes payants. Collaboration entre Meta, OpenAI et WhatsApp.
🔗 https://securityaffairs.com/180864/cyber-crime/whatsapp-cracks-down-on-6-8m-scam-accounts-in-global-takedown.html

📵 App stores – Faux VPN et bloqueurs de spam
Le groupe VexTrio a publié des apps frauduleuses sur Google Play et App Store sous les noms HolaCode, Hugmi, Klover. Objectif : abonnements piégés, pub, vol de données.
🔗 https://thehackernews.com/2025/08/fake-vpn-and-spam-blocker-apps-tied-to.html

📅 Podcast Edition spéciale RadioCSIRT du Jeudi 7 Août 2025 (Ep.379)

📌 Au programme Focus sur :

🗂️ Microsoft SharePoint – Exploitation active par ToolShell
Chaîne d’exploitation documentée par la CISA : CVE‑2025‑49704, CVE‑2025‑49706, CVE‑2025‑53770, CVE‑2025‑53771. Exécution de code, contournement d’authentification, webshells ASPX, DLL, et artefacts identifiés.
🔗 https://www.cisa.gov/news-events/alerts/2025/08/06/cisa-releases-malware-analysis-report-associated-microsoft-sharepoint-vulnerabilities
🔗 https://www.cisa.gov/news-events/analysis-reports/ar25-218a

📅 Podcast RadioCSIRT du Jeudi 7 Août 2025 (Ep.380)

📌 Au programme aujourd’hui :

⚠️ Exchange – Directive d’urgence de la CISA (CVE‑2025‑53786)
Une vulnérabilité critique dans Microsoft Exchange hybride pousse la CISA à déclencher l’Emergency Directive 25-02. Risque d’escalade de privilèges vers les services cloud fédéraux.
🔗 https://www.cisa.gov/news-events/news/cisa-issues-emergency-directive-requiring-federal-agencies-update-systems-prevent-microsoft-exchange
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0659/

🔐 Tenable Identity Exposure – Contournement de politique (CVE‑2025‑27210)
Une faille permet de contourner les politiques de sécurité. Systèmes exposés : versions antérieures à 3.77.13 LTS et 3.93.2.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0660/

🔍 Splunk / AppDynamics – Multiples CVE non spécifiées
Plusieurs vulnérabilités affectent AppDynamics Enterprise Console (< 25.4.0) et Cluster Agent (< 25.6.0). Risques non détaillés par l’éditeur.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0661/

🧱 Centreon – SQLi, contournement et vulnérabilités critiques
Les versions antérieures à 24.04.16, 24.10.9 et 23.10.26 sont affectées. Les failles CVE‑2025‑4650 et CVE‑2025‑6791 sont documentées.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0662/

🧠 CAF 4.0 – Mise à jour du Cyber Assessment Framework (UK)
Nouvelle version du CAF publiée par le NCSC : ajout des risques IA, software supply chain, threat hunting et profilage des attaquants.
🔗 https://www.ncsc.gov.uk/blog-post/caf-v4-0-released-in-response-to-growing-threat

📬 WordPress – Bypass d’authentification sur Post SMTP (CVE‑2025‑24000)
Faille critique CVSS 8.8 dans le plugin Post SMTP jusqu’à la version 3.2.0. Contournement d’auth via canal alternatif.
🔗 https://cvefeed.io/vuln/detail/CVE-2025-24000

📅 Podcast RadioCSIRT du Vendredi 8 Août 2025 (Ep.381)

📌 Au programme aujourd’hui :

🖥️ Cursor IDE – Vulnérabilité MCPoison (CVE-2025-54136)
Une faille dans le mécanisme Model Context Protocol permet une exécution persistante de commandes après une approbation initiale, sans nouvelle validation. Exploitable via des dépôts partagés. Correctif en version 1.3 le 29 juillet 2025.
🔗 https://research.checkpoint.com/2025/cursor-vulnerability-mcpoison/

⚖️ Cybercriminalité – Poursuites aux États-Unis & blanchiment via Samourai Wallet
Extradition d’un ressortissant nigérian pour phishing fiscal et fraude SBA (3,3 M $). Les fondateurs de Samourai Wallet plaident coupable pour blanchiment de plus de 200 M $ via des outils de mixing Bitcoin.
🔗 https://www.sentinelone.com/blog/the-good-the-bad-and-the-ugly-in-cybersecurity-week-32-7/

🎥 YouTube – Arnaques aux faux bots de trading
Des contrats intelligents malveillants diffusés via des comptes YouTube usurpés détournent plus de 900 000 $ en cryptomonnaie. Les codes sont volontairement opaques et redirigent les fonds vers des adresses contrôlées par les attaquants.
🔗 https://www.sentinelone.com/blog/the-good-the-bad-and-the-ugly-in-cybersecurity-week-32-7/

🧱 SonicWall – Potentiel zero-day exploité par Akira
Des attaques ciblant les pare-feu Gen 7 SSLVPN déploient le rançongiciel Akira. Utilisation de techniques BYOVD et de Bumblebee pour l’accès initial.
🔗 https://www.sentinelone.com/blog/the-good-the-bad-and-the-ugly-in-cybersecurity-week-32-7/

📄 EPI PDF Editor – Programme potentiellement indésirable
Derrière un convertisseur PDF se cache un navigateur Chromium modifiant les paramètres de navigation et violant la politique McAfee sur les PUP. Installation masquée et comportement trompeur.
🔗 https://www.mcafee.com/blogs/other-blogs/mcafee-labs/think-before-you-click-epi-pdfs-hidden-extras/

💰 Efimer Trojan – Vol et remplacement d’adresses crypto
ClipBanker diffusé via sites WordPress compromis, phishing et torrents. Communique via Tor, vole phrases mnémoniques et portefeuilles crypto, intègre des modules de brute force WordPress et de collecte d’e-mails.
🔗 https://securelist.com/efimer-trojan/117148/

🇰🇵 ScarCruft – Ajout de rançongiciel VCD
Le groupe nord-coréen intègre pour la première fois un rançongiciel à ses campagnes d’espionnage, avec vol de données via LightPeek, FadeStealer et NubSpy. Utilisation de PubNub pour dissimuler les communications C2.
🔗 https://therecord.media/scarcruft-north-korea-hackers-add-ransomware

🕵️ DarkCloud Stealer – Nouvelle chaîne d’infection
Phishing avec archives JS/WSF/TAR/RAR/7Z menant à un payload VB6 chiffré, injecté via process hollowing depuis un exécutable .NET protégé par ConfuserEx. Chiffrement RC4 des chaînes sensibles et usage d’API Telegram pour le C2.
🔗 https://unit42.paloaltonetworks.com/new-darkcloud-stealer-infection-chain/