Le SANS Internet Storm Center signale une campagne active de brute-force ciblant les instances CrushFTP exposées, testant les identifiants par défaut crushadmin/crushadmin via des requêtes POST. L’ensemble du trafic malveillant est attribué à une IP française, 5.189.139.225, active depuis février 2026.
Europol annonce le démantèlement de LeakBase, forum criminel spécialisé dans le trafic de bases de données volées et de stealer logs, actif depuis 2021 avec plus de 142 000 utilisateurs enregistrés. L’opération coordonnée dans 14 pays a conduit à environ 100 actions coercitives, dont des arrestations et perquisitions visant 37 utilisateurs actifs. Le domaine a été saisi le 4 mars.
Des chercheurs de Socket identifient plusieurs packages PHP malveillants sur Packagist, publiés sous le compte nhattuanbl, déployant un RAT dans les environnements Laravel via les packages lara-helper, simple-queue et lara-swagger. Le Payload établit une connexion C2 chiffrée AES-128-CTR vers helper.leuleu.net sur le port 2096.
OX Security publie les détails de Mail2Shell, CVE-2026-28289, une vulnérabilité zero-click non authentifiée dans FreeScout permettant une RCE complète via un contournement du patch CVE-2026-27636 basé sur un caractère Zero-Width Space. La version 1.8.207 corrige la faille.
Google et Cloudflare présentent leur stratégie de sécurisation post-quantique des certificats HTTPS dans Chrome, reposant sur l’algorithme ML-DSA et les Merkle Tree Certificates pour contenir l’inflation de taille des chaînes cryptographiques. L’IETF coordonne la normalisation internationale via le groupe de travail PKI, Logs, and Tree Signatures.
Cisco divulgue CVE-2026-20131, une vulnérabilité critique CVSS 10.0 dans le Secure Firewall Management Center permettant une RCE non authentifiée via désérialisation Java non sécurisée. Aucun workaround disponible, le patch est distribué via l’advisory mars 2026.
Des frappes de drones iraniennes ont physiquement détruit deux data centers AWS en UAE et endommagé un troisième à Bahreïn les 1er et 2 mars 2026, affectant plus de 60 services cloud dans les régions ME-CENTRAL-1 et ME-SOUTH-1. Amazon conseille la migration des workloads vers des régions Europe, États-Unis ou Asie-Pacifique.
Sources :
- SANS ISC – Bruteforce Scans for CrushFTP : https://isc.sans.edu/diary/rss/32762
- Europol – Major data leak forum dismantled : https://www.europol.europa.eu/media-press/newsroom/news/major-data-leak-forum-dismantled-in-global-action-against-cybercrime-forum
- CyberPress – Malicious Laravel Packages Deploy PHP RAT : https://cyberpress.org/malicious-laravel-packages-deploy-rat/
- CybersecurityNews – Hackers Hijack FreeScout Mail Servers : https://cybersecuritynews.com/hackers-hijack-freescout-mail-servers/
- Clubic – Sécurité quantique, Google et Cloudflare renforcent HTTPS : https://www.clubic.com/actualite-603328-securite-quantique-google-et-cloudflare-renforcent-les-certificats-https-dans-chrome.html
- CyberPress – Critical Cisco Secure Firewall Management Vulnerability : https://cyberpress.org/firewall-management-vulnerability/
- The Record – Iranian drone strikes hit Amazon data centers : https://therecord.media/iran-drone-strikes-hit-amazon-data-centers-gulf
- AWS Health – Service Status : https://health.aws.amazon.com/health/status
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com