Nous ouvrons cet épisode avec une analyse technique publiée par l'ISC SANS sur la manipulation du Process Environment Block. Cette technique exploitée par les malwares permet de masquer les paramètres de lancement des processus via l'API CreateProcess avec le flag CREATE_SUSPENDED. Le PEB, structure user-mode de Windows, peut être modifié en quatre étapes : localisation, lecture, réécriture des paramètres, puis reprise du processus. La technique présente une limitation majeure liée à la longueur des commandes et ne trompe pas les EDR qui journalisent les paramètres originaux à la création.

Trend Micro a déployé le Critical Patch Build 7190 pour corriger le CVE-2025-69258, une vulnérabilité Remote Code Execution dans Apex Central. La faille de type LoadLibraryEX permet l'injection de DLL malveillante dans le processus MsgReceiver.exe sur le port TCP 20001, avec exécution de code sous le contexte SYSTEM. Tenable, qui a découvert la vulnérabilité, a publié les détails techniques et un proof-of-concept. Le patch corrige également deux failles Denial-of-Service.

La CISA procède à sa plus importante clôture groupée avec le retrait de dix Emergency Directives émises entre 2019 et 2024. Les actions requises ont été complétées ou sont désormais couvertes par la Binding Operational Directive 22-01 qui s'appuie sur le catalogue Known Exploited Vulnerabilities. Parmi les directives fermées figurent ED 21-01 sur SolarWinds Orion, ED 21-02 concernant Microsoft Exchange, et ED 24-02 relative à la compromission nation-state du système email corporate de Microsoft.

Une vulnérabilité critique affecte Undertow HTTP server core, composant déployé dans WildFly et JBoss EAP. Le CVE-2025-12543, classé CVSS 9.6, exploite une faiblesse d'Improper Input Validation dans le traitement des HTTP Host headers. Red Hat a publié les patches via RHSA-2026:0386 et RHSA-2026:0383, précisant qu'aucune mitigation alternative ne satisfait les critères de sécurité. Le patching immédiat constitue l'unique mesure recommandée.

Enfin, Security Affairs rapporte qu'un blackout internet national a été imposé en Iran dans un contexte de répression violente des manifestations. NetBlocks confirme que la connectivité est tombée à 1% des niveaux ordinaires. Amnesty International et le groupe Hengaw documentent 42 décès incluant six enfants, avec usage d'armes à feu réelles et arrestations arbitraires massives. Les données Tor Metrics montrent une augmentation significative de l'usage du réseau anonyme par les citoyens iraniens.

Sources :

• ISC SANS – PEB Manipulation : https://isc.sans.edu/diary/rss/32614
• BleepingComputer – Trend Micro Apex Central : https://www.bleepingcomputer.com/news/security/trend-micro-fixes-critical-rce-flaw-in-apex-central-console/
• BleepingComputer – CISA Emergency Directives : https://www.bleepingcomputer.com/news/security/cisa-retires-10-emergency-cyber-orders-in-rare-bulk-closure/
• CyberSecurityNews – Undertow : https://cybersecuritynews.com/undertow-http-server-vulnerability/
• Security Affairs – Iran blackout : https://securityaffairs.com/186718/intelligence/iran-cuts-internet-nationwide-amid-deadly-protest-crackdown.html

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec l'analyse de GoBruteforcer publiée par Check Point Research. Ce botnet modulaire écrit en Go cible les serveurs Linux via brute-force sur FTP, MySQL, PostgreSQL et phpMyAdmin. La variante 2025 introduit un bot IRC réécrit en Go avec obfuscation Garbler et des credentials dynamiques fournies par le Command and Control. Check Point estime que plus de 50 000 serveurs exposés seraient vulnérables. Les chercheurs ont observé une campagne crypto avec récupération d'outils token-sweep pour TRON et Binance Smart Chain sur un hôte compromis, accompagnés d'environ 23 000 adresses TRON. L'analyse on-chain confirme que certaines attaques financières ont réussi.

The Record rapporte des changements à la NSA. David Imbordino assumera les fonctions de directeur par intérim de la cybersecurity directorate fin janvier, avec Holly Baroody comme deputy chief. La directorate est sans chef permanent depuis début 2024. Le lieutenant général Josh Rudd a été désigné pour diriger Cyber Command et la NSA.

Cisco Talos révèle UAT-7290, un acteur China-nexus actif depuis 2022 ciblant les télécoms en Asie du Sud. L'arsenal comprend RushDrop, DriveSwitch, SilentRaid et Bulbature qui convertit les dispositifs en Operational Relay Boxes. Talos observe des chevauchements avec APT10 et Red Foxtrot lié à la PLA Unit 69010.

Enfin, Unit 42 analyse les risques du vibe coding. Les chercheurs documentent plusieurs incidents catastrophiques : compromise d'application, indirect prompt injection avec exfiltration de données, et suppression de base production. Unit 42 propose le framework SHIELD incluant Separation of Duties, Human in the Loop, Input/Output Validation, Security-Focused Helper Models, Least Agency et Defensive Technical Controls.

Sources :

• Check Point Research – GoBruteforcer : https://research.checkpoint.com/2026/inside-gobruteforcer-ai-generated-server-defaults-weak-passwords-and-crypto-focused-campaigns/
• The Record – NSA leadership : https://therecord.media/nsa-cyber-directorate-new-acting-leadership
• Cisco Talos – UAT-7290 : https://blog.talosintelligence.com/uat-7290/
• Unit 42 – Vibe coding : https://unit42.paloaltonetworks.com/securing-vibe-coding-tools/

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec les prévisions de vulnérabilités publiées par FIRST pour 2026. L'organisation anticipe le franchissement du seuil des 50 000 CVE avec une estimation médiane à 59 000 vulnérabilités pour l'année. L'intervalle de confiance à 90% s'établit entre 30 000 et 118 000 CVE, les scénarios les plus probables évoquant une fourchette de 70 000 à 100 000 vulnérabilités. FIRST a revu sa méthodologie en adoptant un nouveau modèle qui intègre le changement structurel observé en 2017 dans les tendances de publication de CVE.

BleepingComputer rapporte la publication de correctifs par Veeam pour trois vulnérabilités dans Backup & Replication. La CVE-2025-59470, initialement classée critique puis réévaluée en haute sévérité, permet à un utilisateur disposant des rôles Backup Operator ou Tape Operator d'exécuter du code distant en tant qu'utilisateur postgres. La version 13.0.1.1071 publiée le 6 janvier corrige également les CVE-2025-55125 et CVE-2025-59468. Les serveurs VBR constituent une cible privilégiée des opérateurs ransomware, plusieurs groupes ayant précédemment exploité des vulnérabilités similaires dans des campagnes documentées.

VulnCheck signale une vulnérabilité critique d'injection de commandes affectant plusieurs modèles de routeurs DSL D-Link. La CVE-2026-0625, avec un score CVSS de 9.3, exploite le endpoint dnscfg.cgi et permet à un attaquant distant non authentifié d'exécuter des commandes shell arbitraires. Les modèles DSL-526B, DSL-2640B, DSL-2740R et DSL-2780B sont concernés. The Shadowserver Foundation a observé des preuves d'exploitation le 27 novembre 2025. D-Link a déclaré l'ensemble des équipements en statut End-of-Life début 2020.

Le CERT-FR a publié l'avis CERTFR-2026-AVI-0010 concernant six vulnérabilités dans Curl. Les versions 7.17 à 8.x antérieures à 8.18.0 sont affectées. L'exploitation permet une atteinte à la confidentialité des données et un contournement de la politique de sécurité. La version 8.18.0 corrige l'ensemble des failles identifiées.

Enfin, la CISA a ajouté deux vulnérabilités à son catalogue KEV le 7 janvier. La CVE-2009-0556 affecte Microsoft Office PowerPoint et la CVE-2025-37164 concerne HPE OneView, toutes deux permettant l'injection de code. L'agence confirme des preuves d'exploitation active dans les deux cas.

Sources :

• FIRST – Prévisions vulnérabilités 2026 : https://www.first.org/blog/20260211-vulnerability-forecast-2026
• BleepingComputer – Vulnérabilités Veeam : https://www.bleepingcomputer.com/news/security/new-veeam-vulnerabilities-expose-backup-servers-to-rce-attacks/
• VulnCheck – D-Link DSL injection : https://www.vulncheck.com/advisories/dlink-dsl-command-injection-via-dns-configuration-endpoint
• CERT-FR – Vulnérabilités Curl : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0010/
• CISA – KEV Catalog : https://www.cisa.gov/news-events/alerts/2026/01/07/cisa-adds-two-known-exploited-vulnerabilities-catalog

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com