Episodes

  • RadioCSIRT – Votre actu Cybersécurité du Jeudi 07 Août 2025 (Ép. 379)

    RadioCSIRT – Votre actu Cybersécurité du Jeudi 07 Août 2025 (Ép. 379)
    Aug 7 2025

    📌 Au programme aujourd’hui :

    ⚠️ Exchange – Directive d’urgence de la CISA (CVE‑2025‑53786)
    Une vulnérabilité critique dans Microsoft Exchange hybride pousse la CISA à déclencher l’Emergency Directive 25-02. Risque d’escalade de privilèges vers les services cloud fédéraux.
    🔗 https://www.cisa.gov/news-events/news/cisa-issues-emergency-directive-requiring-federal-agencies-update-systems-prevent-microsoft-exchange
    🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0659/

    🔐 Tenable Identity Exposure – Contournement de politique (CVE‑2025‑27210)
    Une faille permet de contourner les politiques de sécurité. Systèmes exposés : versions antérieures à 3.77.13 LTS et 3.93.2.
    🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0660/

    🔍 Splunk / AppDynamics – Multiples CVE non spécifiées
    Plusieurs vulnérabilités affectent AppDynamics Enterprise Console (< 25.4.0) et Cluster Agent (< 25.6.0). Risques non détaillés par l’éditeur.
    🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0661/

    🧱 Centreon – SQLi, contournement et vulnérabilités critiques
    Les versions antérieures à 24.04.16, 24.10.9 et 23.10.26 sont affectées. Les failles CVE‑2025‑4650 et CVE‑2025‑6791 sont documentées.
    🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0662/

    🧠 CAF 4.0 – Mise à jour du Cyber Assessment Framework (UK)
    Nouvelle version du CAF publiée par le NCSC : ajout des risques IA, software supply chain, threat hunting et profilage des attaquants.
    🔗 https://www.ncsc.gov.uk/blog-post/caf-v4-0-released-in-response-to-growing-threat

    📬 WordPress – Bypass d’authentification sur Post SMTP (CVE‑2025‑24000)
    Faille critique CVSS 8.8 dans le plugin Post SMTP jusqu’à la version 3.2.0. Contournement d’auth via canal alternatif.
    🔗 https://cvefeed.io/vuln/detail/CVE-2025-24000

    📞 Partagez vos retours :
    📱 Répondeur : 07 68 72 20 09
    📧 Email : radiocsirt@gmail.com

    🎧 Disponible sur :
    Apple Podcasts • Deezer • Spotify • YouTube • Amazon Music
    🌐 Site : https://www.radiocsirt.org
    📰 Newsletter : https://radiocsirt.substack.com

    🛡️ On ne réfléchit pas. On patch !™
    Show More Show Less
    9 mins
  • RadioCSIRT - Edition Spéciale du Jeudi 07 Août 2025 (Ép. 378)

    RadioCSIRT - Edition Spéciale du Jeudi 07 Août 2025 (Ép. 378)
    Aug 7 2025

    📌 Au programme Focus sur :

    🗂️ Microsoft SharePoint – Exploitation active par ToolShell
    Chaîne d’exploitation documentée par la CISA : CVE‑2025‑49704, CVE‑2025‑49706, CVE‑2025‑53770, CVE‑2025‑53771. Exécution de code, contournement d’authentification, webshells ASPX, DLL, et artefacts identifiés.
    🔗 https://www.cisa.gov/news-events/alerts/2025/08/06/cisa-releases-malware-analysis-report-associated-microsoft-sharepoint-vulnerabilities
    🔗 https://www.cisa.gov/news-events/analysis-reports/ar25-218a

    📞 Partagez vos retours :
    📱 Répondeur : 07 68 72 20 09
    📧 Email : radiocsirt@gmail.com

    🎧 Disponible sur :
    Apple Podcasts • Deezer • Spotify • YouTube • Amazon Music
    🌐 Site : https://www.radiocsirt.org
    📰 Newsletter : https://radiocsirt.substack.com

    🛡️ On ne réfléchit pas. On patch !™
    Show More Show Less
    27 mins
  • RadioCSIRT – Votre actu Cybersécurité du Mercredi 06 Août 2025 (Ép. 377)

    RadioCSIRT – Votre actu Cybersécurité du Mercredi 06 Août 2025 (Ép. 377)
    Aug 6 2025

    📌 Au programme aujourd’hui :

    🛡️ Akira – Microsoft Defender désactivé via driver Intel
    Le ransomware Akira abuse du driver rwdrv.sys pour charger un pilote malveillant (hlpdrv.sys) et désactiver Defender. Attaques actives depuis le 15 juillet.
    🔗 https://www.bleepingcomputer.com/news/security/akira-ransomware-abuses-cpu-tuning-tool-to-disable-microsoft-defender/

    📄 Adobe – 2 failles critiques dans AEM Forms
    La CVE‑2025‑54253 (XXE) et la CVE‑2025‑54254 (config) corrigées en urgence. PoC public actif. Versions ≤ 6.5.23.0 vulnérables en mode JEE standalone.
    🔗 https://www.helpnetsecurity.com/2025/08/06/adobe-patches-critical-adobe-experience-manager-forms-vulnerabilities-with-public-poc/

    📱 WhatsApp – 6,8 millions de comptes de scam supprimés
    Comptes liés à des centres de fraude au Cambodge. Arnaques aux faux jobs, crypto, likes payants. Collaboration entre Meta, OpenAI et WhatsApp.
    🔗 https://securityaffairs.com/180864/cyber-crime/whatsapp-cracks-down-on-6-8m-scam-accounts-in-global-takedown.html

    📵 App stores – Faux VPN et bloqueurs de spam
    Le groupe VexTrio a publié des apps frauduleuses sur Google Play et App Store sous les noms HolaCode, Hugmi, Klover. Objectif : abonnements piégés, pub, vol de données.
    🔗 https://thehackernews.com/2025/08/fake-vpn-and-spam-blocker-apps-tied-to.html

    📞 Partagez vos retours :
    📱 Répondeur : 07 68 72 20 09
    📧 Email : radiocsirt@gmail.com

    🎧 Disponible sur :
    Apple Podcasts • Deezer • Spotify • YouTube • Amazon Music
    🌐 Site : https://www.radiocsirt.org
    📰 Newsletter : https://radiocsirt.substack.com

    🛡️ On ne réfléchit pas. On patch !™
    Show More Show Less
    10 mins
  • RadioCSIRT – Votre actu Cybersécurité du Mardi 05 Août 2025 (Ép. 376)

    RadioCSIRT – Votre actu Cybersécurité du Mardi 05 Août 2025 (Ép. 376)
    Aug 5 2025
    📌 Au programme aujourd’hui : 👜 Chanel – Données clients volées via Salesforce Violation confirmée le 25 juillet : noms, e-mails, adresses et téléphones subtilisés depuis un prestataire externe. 🔗 https://www.bleepingcomputer.com/news/security/fashion-giant-chanel-hit-in-wave-of-salesforce-data-theft-attacks/ 🎣 ClickTok – Campagne massive ciblant TikTok Shop 15 000 domaines frauduleux, IA générative et influenceurs fictifs pour voler identifiants et diffuser des malwares. 🔗 https://thehackernews.com/2025/08/15000-fake-tiktok-shop-domains-deliver.html 🧠 NVIDIA – Vulnérabilité critique dans Triton Server Chaine d’exploit RCE via la CVE‑2025‑23319. Serveurs IA Windows/Linux compromis avant correctif en version 25.07. 🔗 https://thehackernews.com/2025/08/nvidia-triton-bugs-let-unauthenticated.html 🤖 Cisco – Jailbreak IA : instructional decomposition Nouvelle méthode présentée à Black Hat. Les garde-fous IA contournés par manipulation contextuelle. 🔗 https://www.securityweek.com/ai-guardrails-under-fire-ciscos-jailbreak-demo-exposes-ai-weak-points/ 📱 Android – Failles Qualcomm corrigées La CVE‑2025‑27038 (CVSS 7.5) activement exploitée dans les pilotes GPU Adreno. Patch publié le 5 août. 🔗 https://www.securityweek.com/androids-august-2025-update-patches-exploited-qualcomm-vulnerability/ 📤 Discord – Malware RAT diffusé via liens OneDrive piégés Double infection via fichier MSI déguisé en .docx, hébergé sur CDN Discord, détectée sur Microsoft 365. 🔗 https://hackread.com/discord-cdn-link-deliver-rat-disguised-onedrive-file/ 📧 Phishing interne – Abus du Direct Send Microsoft 365 Des e-mails spoofés passent malgré les échecs SPF/DKIM, grâce à des relais SMTP tiers mal configurés. 🔗 https://www.proofpoint.com/uk/blog/email-and-cloud-threats/attackers-abuse-m365-for-internal-phishing 🕵️ Iran-Israël – Offensive cyber coordonnée APT Tortoiseshell, proxies et hacktivistes ont lancé des attaques critiques dès les premiers jours du conflit. 🔗 https://www.infosecurity-magazine.com/news/proiran-hackers-aligned-cyber/ 🕳️ Zero-day – +46 % d’exploitation en 2025 Microsoft en tête avec 30 %, suivi par Google (11 %) et Apple (8 %). 23 583 vulnérabilités recensées au S1. 🔗 https://www.infosecurity-magazine.com/news/microsoft-google-zero-day-exploits/ 📞 Partagez vos retours : 📱 Répondeur : 07 68 72 20 09 📧 Email : radiocsirt@gmail.com 🎧 Disponible sur : Apple Podcasts • Deezer • Spotify • YouTube • Amazon Music 🌐 Site : https://www.radiocsirt.org 📰 Newsletter : https://radiocsirt.substack.com 🛡️ On ne réfléchit pas. On patch !™
    Show More Show Less
    9 mins
  • RadioCSIRT – Votre actu Cybersécurité du Lundi 04 Août 2025 (Ép. 375)

    RadioCSIRT – Votre actu Cybersécurité du Lundi 04 Août 2025 (Ép. 375)
    Aug 4 2025
    📌 Au programme aujourd’hui : 🏥 Santé – Dispositifs mobiles partagés : sécurité encore négligée 99 % des établissements prévoient d’amplifier leur usage, malgré des lacunes persistantes en cybersécurité. 🔗 https://www.helpnetsecurity.com/2025/08/01/shared-mobile-device-security-healthcare/ 💻 Cursor IDE – RCE par prompt injection (CurXecute) Faille dans l’auto-démarrage MCP permettant l’exécution de code local via une simple invite IA. 🔗 https://www.aim.security/lp/aim-labs-curxecute-blogpost 🔗 https://www.bleepingcomputer.com/news/security/ai-powered-cursor-ide-vulnerable-to-prompt-injection-attacks/ 🔗 https://thehackernews.com/2025/08/cursor-ai-code-editor-fixed-flaw.html 🔗 https://cyberscoop.com/cursor-ai-prompt-injection-attack-remote-code-privileges-aimlabs/ 🧬 BIOS – Shade BIOS, nouvelle technique indétectable FFRI Security présente à Black Hat une exécution de malware dans le BIOS sans OS, ni détection possible. 🔗 https://www.darkreading.com/endpoint-security/shade-bios-technique-beats-security 🧊 Akira – Campagne active ciblant les VPN SSL SonicWall Intrusions malgré MFA et mises à jour : possibilité d’un zero-day toujours inconnu. 🔗 https://arcticwolf.com/resources/blog/arctic-wolf-observes-july-2025-uptick-in-akira-ransomware-activity-targeting-sonicwall-ssl-vpn/ 🔗 https://www.bleepingcomputer.com/news/security/surge-of-akira-ransomware-attacks-hits-sonicwall-firewall-devices/ 🔗 https://thehackernews.com/2025/08/akira-ransomware-exploits-sonicwall.html 🔗 https://securityaffairs.com/180724/cyber-crime/akira-ransomware-targets-sonicwall-vpns-in-likely-zero-day-attacks.html 🐉 Chine – Accusation contre les USA pour exploitation de zero-day Exchange Une attaque attribuée à 2022 aurait compromis un serveur militaire chinois pendant un an. 🔗 https://cyberscoop.com/china-accuses-us-of-exploiting-microsoft-zero-day-in-cyberattack/ 🔗 https://www.theregister.com/2025/08/01/china_us_intel_attacks/ 📦 NPM – Malware généré par IA pour vider des portefeuilles crypto L’IA sert désormais à produire du code malveillant indétectable et optimisé. 🔗 https://getsafety.com/blog-posts/threat-actor-uses-ai-to-create-a-better-crypto-wallet-drainer 🔗 https://thehackernews.com/2025/08/ai-generated-malicious-npm-package.html 🔗 https://securityaffairs.com/180680/malware/malicious-ai-generated-npm-package-hits-solana-users.html 🌀 SharePoint – 4 CVE exploitées par Storm-2603 CVE‑2025‑49704, CVE‑2025‑49706, CVE‑2025‑53770 et CVE‑2025‑53771. Ciblage APT27 (Linen Typhoon), APT31 (Violet Typhoon) et cluster inconnu. 🔗 https://research.checkpoint.com/2025/before-toolshell-exploring-storm-2603s-previous-ransomware-operations/ 🔗 https://thehackernews.com/2025/08/storm-2603-exploits-sharepoint-flaws-to.html 🔗 https://securityaffairs.com/180657/apt/toolshell-under-siege-check-point-analyzes-chinese-apt-storm-2603.html 📶 Luxembourg – Cyberattaque sur équipements Huawei Panne nationale 4G/5G le 23 juillet. Télécoms et services d’urgence impactés. 🔗 https://therecord.media/luxembourg-telecom-outage-reported-cyberattack-huawei-tech 🪤 REMCOS – Backdoor déployé via fichiers LNK Campagne d’hameçonnage en plusieurs étapes. Exemple de fichier piégé : “ORDINE-DI-ACQUIST-7263535”. 🔗 https://hackread.com/attack-windows-shortcut-files-install-remcos-backdoor/ 🔗 https://www.pointwild.com/threat-intelligence/trojan-winlnk-powershell-runner 🧾 Pi-hole – Données de donateurs exposées Plugin GiveWP WordPress vulnérable. Signalements d’e-mails suspects à partir du 28 juillet. 🔗 https://www.bleepingcomputer.com/news/security/pi-hole-discloses-data-breach-via-givewp-wordpress-plugin-flaw/ 🔗 https://pi-hole.net/blog/2025/07/30/compromised-donor-emails-a-post-mortem/ ✈️ Aeroflot – Données publiées, Moscou nie Fuite présumée des vols du PDG après un incident paralysant. 🔗 https://therecord.media/hackers-leak-purported-aeroflot-data 💡 Veracode – Les LLM génèrent toujours du code vulnérable Plus de 100 modèles testés : syntaxe en progrès, mais sécurité absente, notamment en Java. 🔗 https://www.darkreading.com/application-security/llms-ai-generated-code-wildly-insecure 🔗 https://www.veracode.com/wp-content/uploads/2025_GenAI_Code_Security_Report_Final.pdf 🔗 https://www.bankinfosecurity.com/ai-still-writing-vulnerable-code-a-29106 📊 SIEM – Vers la fusion avec l’XDR ? Sondage Dark Reading : 40 % pour l’intégration, 35 % croient encore à leur avenir autonome. 🔗 https://www.darkreading.com/cybersecurity-analytics/siems-dying-slow-death-ai-rebirth 🛠️ Post-mortem cyber – La revue d’incident, levier organisationnel Analyse des mesures post-attaque : cartographie des lacunes et priorisation des actions. 🔗 https://www.darkreading.com/cybersecurity-operations/...
    Show More Show Less
    15 mins
  • RadioCSIRT – Votre actu Cybersécurité du Dimanche 3 Août 2025 (Ép. 375)

    RadioCSIRT – Votre actu Cybersécurité du Dimanche 3 Août 2025 (Ép. 375)
    Aug 3 2025

    📌 Au programme aujourd’hui :

    🎯 CL-STA-0969 – 10 mois d’espionnage furtif dans les télécoms
    Implants personnalisés, accès persistants, modules PAM, DNS over ICMP, tunneling GPRS : une campagne attribuée à Liminal Panda, avec des outils tels que AuthDoor, GTPDOOR, ChronosRAT et NoDepDNS. Exploitation des vulnérabilités CVE-2016-5195, CVE-2021-4034 et CVE-2021-3156.
    🔗 https://thehackernews.com/2025/08/cl-sta-0969-installs-covert-malware-in.html

    🐧 Linux – Plague, un backdoor PAM furtif et évolutif
    Découvert par Nextron Systems, ce module PAM intègre des obfuscations DRBG, anti-debugging, et nettoie ses traces SSH. Aucun éditeur identifié, mais une persistance avancée.
    🔗 https://securityaffairs.com/180701/malware/new-linux-backdoor-plague-bypasses-auth-via-malicious-pam-module.html

    🇺🇸 CISA + USCG – Audit critique d'une infrastructure américaine
    L’alerte AA25-212A révèle :
    – Comptes admin partagés et mots de passe en clair,
    – Segmentation IT/OT inexistante, accès SCADA via FTP (port 21),
    – Logs insuffisants, mauvais paramétrage IIS (sslFlags=0),
    – Connexions SQL centralisées et mots de passe faibles.
    Recommandations : MFA, LAPS, bastions dédiés, audit complet, journaux renforcés.
    🔗 https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-212a

    📞 Partagez vos retours :
    📱 Répondeur : 07 68 72 20 09
    📧 Email : radiocsirt@gmail.com
    🎧 Disponible sur : Apple Podcasts, Deezer, Spotify, YouTube, Amazon Music
    🌐 Site : https://www.radiocsirt.org
    📰 Newsletter : https://radiocsirt.substack.com
    🛡️ On ne réfléchit pas. On patch !™
    Show More Show Less
    10 mins
  • RadioCSIRT – Votre actu Cybersécurité du Samedi 2 Août 2025 (Ép. 374)

    RadioCSIRT – Votre actu Cybersécurité du Samedi 2 Août 2025 (Ép. 374)
    Aug 2 2025

    📌 Au programme aujourd’hui :

    💸 🇺🇸 États-Unis – 100 M$ pour renforcer la cybersécurité locale
    La CISA et la FEMA lancent deux programmes de subvention : 91,7 M$ pour les États via le SLCGP et 12,1 M$ pour les tribus via le TCGP. Objectif : renforcer les défenses cyber locales.
    🔗 https://www.cisa.gov/news-events/news/dhs-launches-over-100-million-funding-strengthen-communities-cyber-defenses

    🔐 WordPress – CVE critiques dans deux plugins
    La CVE-2025-7710 affecte Brave Conversion Engine < 0.7.8 (prise de contrôle de session Facebook, CVSS 9.8).
    La CVE-2025-6754 cible SEO Metrics < 1.0.16 (élévation de privilèges via AJAX, CVSS 8.8).
    🔗 https://cvefeed.io/vuln/detail/CVE-2025-7710
    🔗 https://cvefeed.io/vuln/detail/CVE-2025-6754

    🧪 Reverse – Bypass d’un malware bloquant les éditeurs de sécurité
    Un chercheur documente une méthode AutoHotkey permettant de contourner la détection des titres de fenêtre utilisés par certains malwares pour fermer automatiquement les navigateurs.
    🔗 https://reversethemalware.blogspot.com/2025/07/bypass-mainwindowtitle-techniques.html

    🧰 Analyse Forensique – Lancement de la plateforme Thorium
    La CISA publie Thorium, un framework open source de sandboxing distribué pour l’analyse de malwares à grande échelle. Basé sur Kubernetes et ScyllaDB.
    🔗 https://securityaffairs.com/180649/cyber-crime/cisa-released-thorium-platform-to-support-malware-and-forensic-analysis.html

    🏢 PME – Webinaire cybersécurité du NIST le 14 août
    Session dédiée aux petites entreprises sur les attaques par phishing et les bonnes pratiques défensives.
    🔗 https://www.nist.gov/news-events/events/2025/08/nist-small-business-cybersecurity-webinar-protecting-your-small-business

    🛠️ Akira – Le ransomware cible SonicWall VPN
    Arctic Wolf signale des compromissions récentes via des appliances SonicWall à jour. Exploitation suspectée d’un 0-day. Le groupe Akira revendique plus de 250 victimes et 42 M$ extorqués depuis 2023.
    🔗 https://thehackernews.com/2025/08/akira-ransomware-exploits-sonicwall.html

    📞 Partagez vos retours :
    📱 Répondeur : 07 68 72 20 09
    📧 Email : radiocsirt@gmail.com
    🎧 Disponible sur : Apple Podcasts, Deezer, Spotify, YouTube, Amazon Music
    🌐 Site : https://www.radiocsirt.org
    📰 Newsletter : https://radiocsirt.substack.com
    🛡️ On ne réfléchit pas. On patch !™
    Show More Show Less
    6 mins
  • RadioCSIRT - Votre actu Cybersécurité du Vendredi 1er Août 2025 (Ép. 373)

    RadioCSIRT - Votre actu Cybersécurité du Vendredi 1er Août 2025 (Ép. 373)
    Aug 1 2025

    📌 Au programme aujourd’hui :

    📵 Russie – Record de coupures d’Internet mobile en juillet
    Plus de 2 000 coupures recensées à travers le pays, officiellement en réponse aux attaques de drones ukrainiens. Bilan : près de 26 milliards de roubles de pertes économiques et une multiplication des achats de routeurs Wi-Fi.
    🔗 https://therecord.media/russia-mobile-internet-shutdowns-record

    🇫🇷 Tchap – La messagerie par défaut pour les ministères dès le 1er septembre
    Une circulaire du Premier ministre incite tous les ministères à généraliser l’usage de Tchap pour sécuriser les communications. Olvid reste autorisée, mais Tchap est désormais prioritaire pour les échanges inter-administrations.
    🔗 https://www.zdnet.fr/actualites/tchap-promue-messagerie-instantanee-par-defaut-des-ministeres-et-cabinets-479763.htm

    💧 Secteur de l’eau – Risques cyber majeurs selon les autorités US et européennes
    Rançongiciels, phishing, compromission d’environnements ICS/OT : les incidents se multiplient à l’échelle mondiale. 97 réseaux d’eau américains sont jugés critiques. L’UE renforce via NIS2, mais l’EPA subit des coupes budgétaires historiques.
    🔗 https://www.helpnetsecurity.com/2025/08/01/water-sector-cybersecurity-risk/

    🐧 Debian – la CVE-2025-8454 dans devscripts permet de contourner la vérification OpenPGP
    L’utilitaire uscan ignore la validation PGP si l’archive est déjà présente, même après un échec de vérification antérieur. Vulnérabilité à distance, score CVSS 9.8.
    🔗 https://cvefeed.io/vuln/detail/CVE-2025-8454

    🖥️ Synology – la CVE-2025-54158 dans BeeDrive for Desktop permet une exécution locale de code
    Un attaquant authentifié peut exécuter du code arbitraire sur les versions antérieures à 1.4.2-13960. Pas de contournement disponible. Score CVSS non communiqué.
    🔗 https://cyberveille.esante.gouv.fr/alertes/synology-cve-2025-54158-2025-08-01

    📞 Partagez vos retours :
    📱 Répondeur : 07 68 72 20 09
    📧 Email : radiocsirt@gmail.com🎧 Disponible sur : Apple Podcasts, Deezer, Spotify, YouTube, Amazon Music
    🌐 Site : https://www.radiocsirt.org
    📰 Newsletter : https://radiocsirt.subs

    🛡️ On ne réfléchit pas. On patch !™
    Show More Show Less
    12 mins