Bienvenue dans votre podcast quotidien de cybersécurité.
Le groupe Clop, également suivi sous l’appellation Cl0p, mène une nouvelle campagne d’extorsion par vol de données ciblant des serveurs Gladinet CentreStack exposés sur Internet. Les investigations font état de scans actifs, de compromissions confirmées et de dépôts de notes d’extorsion. Le vecteur d’accès initial reste non identifié à ce stade, laissant ouverte l’hypothèse d’une vulnérabilité zero-day ou d’un correctif non appliqué. Cette campagne s’inscrit dans la continuité des opérations Clop contre des solutions de partage de fichiers et de transfert sécurisé.
La CISA ajoute trois vulnérabilités activement exploitées à son catalogue KEV. La CVE-2025-20393 affecte plusieurs produits Cisco via une validation incorrecte des entrées. La CVE-2025-40602 concerne les appliances SonicWall SMA1000 et repose sur un défaut d’autorisation. La CVE-2025-59374 cible ASUS Live Update avec du code malveillant embarqué dans le mécanisme de mise à jour, illustrant un scénario de compromission de la supply chain.
Le CERT-FR publie l’avis CERTFR-2025-AVI-1116 relatif à plusieurs vulnérabilités dans Google Chrome. Les versions antérieures à 143.0.7499.146 pour Linux et 143.0.7499.146 ou .147 pour Windows et macOS sont concernées. Les CVE CVE-2025-14765 et CVE-2025-14766 sont référencées, sans détails techniques publics sur l’impact exact.
Une vulnérabilité critique FreeBSD, CVE-2025-14558, permet une exécution de code à distance via des Router Advertisement IPv6 forgés dans le cadre du mécanisme SLAAC. Le défaut de validation des messages RA conduit à une injection de commandes dans un script shell interne. L’exploitation nécessite un attaquant présent sur le même segment réseau. Le score CVSS est évalué à 9.8.
Les activités cyber nord-coréennes atteignent un niveau record en 2025 avec plus de 2 milliards de dollars de cryptomonnaies dérobés selon Chainalysis. Les opérations combinent attaques sur services centralisés, compromission de wallets personnels et campagnes d’ingénierie sociale avancée, notamment via de faux recruteurs et investisseurs.
FIRST met en lumière l’importance stratégique des communications en gestion d’incident, soulignant la nécessité de canaux alternatifs sécurisés, de mécanismes de coordination tierce et d’une délégation contrôlée de la communication publique afin de limiter les effets secondaires opérationnels lors d’une crise cyber.
Enfin, une opération coordonnée avec le soutien d’Eurojust a permis le démantèlement de centres d’appels frauduleux en Ukraine. Le réseau, structuré et transnational, reposait sur des TTPs d’ingénierie sociale à grande échelle, avec plus de dix millions d’euros de préjudice identifié et quarante-cinq suspects au total.
On ne réfléchit pas, on patch !
Sources :
Clop / Gladinet : https://www.bleepingcomputer.com/news/security/clop-ransomware-targets-gladinet-centrestack-servers-for-extortion/
CISA KEV : https://www.cisa.gov/news-events/alerts/2025/12/17/cisa-adds-three-known-exploited-vulnerabilities-catalog
CERT-FR Chrome : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1116/
FreeBSD RCE : https://www.security.nl/posting/917946/Kritiek+beveiligingslek+in+FreeBSD+maakt+remote+code+execution+mogelijk?channel=rss
DPRK Crypto : https://www.theregister.com/2025/12/18/north_korea_stole_2b_crypto_2025/
FIRST Comms : https://www.first.org/blog/20251216-upskilling_communications
Eurojust fraude : https://www.eurojust.europa.eu/news/fraudulent-call-centres-ukraine-rolled
France – arrestation : https://therecord.media/france-interior-ministry-hack-arrest
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com