Nous ouvrons cet épisode avec la découverte de VoidLink, un framework malware sophistiqué ciblant les installations Linux hébergées dans le cloud. Check Point Research a identifié cette menace qui se distingue par son architecture modulaire comprenant plus de 30 modules personnalisables. VoidLink intègre des capacités de type rootkit incluant LD_PRELOAD, LKM et eBPF, ainsi qu’un système de plugins en mémoire. Le framework utilise l’API des fournisseurs cloud pour identifier la plateforme d’hébergage, ciblant notamment AWS et Google Cloud. Sa furtivité adaptative ajuste ses techniques d’évasion en fonction des produits de sécurité détectés, privilégiant la sécurité opérationnelle sur les performances. Les indicateurs techniques suggèrent que VoidLink aurait été créé par des développeurs affiliés à la Chine.
Le CERT-FR a émis l’avis CERTFR-2026-AVI-0057 concernant de multiples vulnérabilités dans le noyau Linux de Debian LTS. Le bulletin Debian LTS DLA-4436-1 du 14 janvier 2026 adresse 120 CVE distinctes affectant Debian bullseye. Les versions antérieures à 6.1.159-1 pour Debian 11 sont concernées. Les risques incluent l’élévation de privilèges, l’atteinte à la confidentialité des données et le déni de service. Les CVE corrigées couvrent un large spectre de composants du kernel, incluant la CVE-2024-47666 et l’ensemble des CVE-2025-37899 à CVE-2025-68734. Cette mise à jour représente l’un des patchs kernel les plus volumineux publiés récemment pour une distribution LTS.
CVEFeed.io référence la CVE-2025-10484, une vulnérabilité d’authentication bypass affectant le plugin WordPress Registration & Login with Mobile Phone Number for WooCommerce. Le score CVSS 3.1 atteint 9.8, classant cette faille comme critique. Toutes les versions jusqu’à 1.3.1 sont vulnérables. Le plugin ne vérifie pas correctement l’identité des utilisateurs avant de les authentifier via la fonction fma_lwp_set_session_php_fun. Un attaquant non authentifié peut ainsi s’authentifier comme n’importe quel utilisateur du site, y compris les administrateurs, sans mot de passe valide. La vulnérabilité est classée CWE-288, authentication bypass using an alternate path or channel.
Enfin, Linux Journal annonce le lancement de Loss32, une distribution Linux légère développée pour redonner vie au matériel ancien et aux systèmes à ressources limitées. La distribution supporte les CPU 32 bits et 64 bits avec un minimum de 512 Mo de RAM et 4 Go d’espace disque. Loss32 embarque un environnement de bureau customisé basé sur un hybride Xfce/XF-Lite, offrant une empreinte mémoire réduite. L’installateur utilise une interface guidée facilitant la migration depuis Windows ou macOS. La roadmap inclut l’amélioration du support des adaptateurs wireless, des optimisations pour le gaming sur hardware legacy, et la localisation multilingue.
Sources :
- CERT-FR – Noyau Linux Debian LTS : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0057/
- CVEFeed.io – CVE-2025-10484 : https://cvefeed.io/vuln/detail/CVE-2025-10484
- Linux Journal – Loss32 : https://www.linuxjournal.com/content/introducing-loss32-new-lightweight-linux-distro-focus-legacy-hardware
- CERT-FR – F5 NGINX Ingress Controller : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0047/
- CERT-FR – Wireshark : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0048/
- CERT-FR – Centreon Infra Monitoring : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0054/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com