Newsletter RadioCSIRT N°21

🎧 RadioCSIRT – La newsletter cyber hebdo du Podcast RadioCSIRT

Bonjour,

Merci à toutes celles et ceux qui suivent fidèlement le podcast RadioCSIRT. Votre soutien constant contribue à faire grandir ce projet indépendant. Les travaux progressent bien, notamment sur la publication de nos contenus hors des réseaux sociaux, avec l’objectif de proposer un accès pérenne via des plateformes on-premise, maîtrisées et souveraines.

La semaine prochaine, si les conditions le permettent, je finaliserai les travaux sur la dalle qui fuit dans le homelab.

Le mois d’août sera entièrement dédié à l’élargissement du format : enregistrement vidéo, mise en place du nouveau studio, tout en maintenant bien sûr le rythme quotidien du podcast.

La fin du mois de juin et ce mois de juillet ont été particulièrement éprouvants sur le plan personnel. Malgré cela, la vie suit son cours, et c’est aussi grâce à votre soutien fidèle depuis près d’un an que je continue d’avancer.

Le 15 août marquera le premier anniversaire de RadioCSIRT. Pour l’occasion, quelques surprises sont en préparation, et peut-être une rencontre conviviale à Paris autour d’un repas — qu’il s’agisse d’un restaurant, d’un fast-food ou d’un kebab. Paris reste un point d’ancrage accessible pour beaucoup d’entre vous.

Je vous souhaite une excellente lecture de cette vingt et unième édition de la newsletter RadioCSIRT.

Prenez soin de vous, rechargez les batteries — même à domicile pour celles et ceux qui ne partent pas — et à très bientôt.

Marc Frédéric GOMEZ

---

Parmi les nombreuses publications de ces dernières semaines, j’ai retenu cet article d’Olivier Ferrand pour sa qualité d’analyse et la rigueur de son approche.

Il s’agit d’un excellent exemple de contenu opérationnel en Cyber Threat Intelligence (CTI), alliant veille technique, automatisation et exploitation concrète des données dans un cadre défensif.

Une lecture fortement recommandée pour celles et ceux qui souhaitent mesurer l’impact réel des campagnes DDoS revendiquées par des acteurs tels que NoName057(16), au-delà du bruit généré sur les réseaux sociaux.

Surveillance passive des campagnes DDoS de NoName057(16) : mesurer l’impact réel

Dans cet article publié le 24 juillet 2025, Olivier Ferrand (Senior Malware Analyst, contributor MISP/Lookyloo/Ransomlook) présente une approche opérationnelle, automatisée et légère de monitoring passif des campagnes DDoS lancées par le groupe pro-russe NoName057(16) via l’outil DDoSia.

🎯 Objectif : passer de la revendication à l’impact réel

L’auteur ne traite ni de la structure du groupe ni de ses canaux de communication, mais se concentre sur la mise en place d’une chaîne de veille automatisée permettant d’observer en temps réel les cibles DDoS réelles, d’en extraire les configurations d’attaque, et de mesurer l’effet réel des campagnes sur la disponibilité des services visés.

---

1. Le flux CTI witha.name : configuration d’attaque live

• Feed open source mis à jour plusieurs fois par heure depuis janvier 2024

• Donne la configuration complète des attaques DDoSia (cibles, méthodes, protocoles)

• Formats JSON et CSV exploitables automatiquement

• Accès :

  • JSON : https://witha.name/data/last.json

  • CSV : https://witha.name/data/last.csv

  • Hash de version : https://witha.name/data/last.txt

• Intégration possible avec Mastodon via le bot @NoName57Bot@social.circl.lu

Des IP de proxy C2 sont également accessibles via ONYPHE pour les CERT et LEA de confiance.

---

2. Uptime-Kuma : monitoring visuel et alerting

• Utilisation d’Uptime-Kuma, un outil open source d’uptime monitoring auto-hébergé

• Surveillance HTTP(S), historique de disponibilité, alertes Telegram/Slack/Email

• Bypass TLS activé pour contourner les erreurs de certificats sur les cibles

• Affichage graphique des indisponibilités constatées

3. Automatisation via un script Python léger

• Script exécuté toutes les 5 minutes (cron ou systemd)

• Tâches :

  • Comparaison de hash

  • Synchronisation des cibles avec Uptime-Kuma

  • Suppression et ajout automatique des moniteurs

• Code d’exemple fourni et adaptable aux environnements SOC ou CERT

4. Cas d’usage CTI concrets

• Validation des revendications DDoS : nombreuses cibles revendiquées restent accessibles malgré les annonces Telegram

• Identification de cibles résilientes ou récurrentes : utile pour orienter la défense ou évaluer des fournisseurs

• Détection de honeypots ou leurres : comportements anormaux, headers suspects, temps de réponse instantanés

• Intégration SOC/SIEM : export possible des données dans des dashboards ou rapports CTI périodiques

5. Pistes d’enrichissement

• Corrélation passive DNS / Shodan / ONYPHE pour attribution

• Intégration Prometheus / Grafana pour analyse de tendance

• Alerte automatique corrélée aux canaux Telegram ou aux événements géopolitiques

Conclusion

Ce retour d’expérience démontre qu’une capacité passive de veille DDoS à faible coût peut produire une forte valeur CTI opérationnelle. Elle permet de distinguer les intentions des effets, de valider les menaces, et de nourrir des processus d’analyse structurés à partir de données fiables et en temps réel.

La source: https://www.linkedin.com/pulse/measuring-real-world-ddos-impact-real-time-monitoring-olivier-ferrand-9fshf

---

🔎 À lire cette semaine sur LinkedIn

Je vous propose une nouvelle sélection de mes derniers articles publiés sur LinkedIn.

🔹 Le forum cybercriminel XSS et l’arrestation de son administrateur
Une plongée dans les coulisses du célèbre forum XSS, son rôle dans l’écosystème cybercriminel russophone, et l’impact de l’arrestation récente de son administrateur par les forces de l’ordre.
👉 Lire : https://www.linkedin.com/pulse/le-forum-cybercriminel-xss-et-larrestation-de-son-marc-fr%C3%A9d%C3%A9ric-gomez-va0pe

🔹 Protéger son organisation contre le ransomware Interlock
Analyse technique et stratégique du ransomware Interlock : vecteurs d’infection, chiffrement, communication, et bonnes pratiques de protection pour les entreprises.
👉 Lire : https://www.linkedin.com/pulse/prot%C3%A9ger-son-organisation-contre-le-ransomware-interlock-gomez-00npe

🔹 Résumé hebdomadaire des vulnérabilités – Semaine du 14 juillet
Les principales vulnérabilités de la semaine analysées : CVE critiques, produits concernés, scores CVSS et recommandations immédiates pour les équipes CERT et SOC.
👉 Lire : https://www.linkedin.com/pulse/r%C3%A9sum%C3%A9-hebdomadaire-des-vuln%C3%A9rabilit%C3%A9s-semaine-du-14-juillet-gomez-e20oe

🔹 SharePoint : une 0day critique activement exploitée sous couverture légale
Zoom sur une vulnérabilité 0day de Microsoft SharePoint exploitée in the wild, les IOCs disponibles, et les contre-mesures à appliquer d’urgence.
👉 Lire : https://www.linkedin.com/pulse/sharepoint-une-0day-critique-activement-exploit%C3%A9e-sous-gomez-sscke

---

🎙 Récapitulatif des épisodes et des sources du podcast de la semaine

Du samedi 19 Juillet au vendredi 25 Juillet 2025

📞 Partagez vos remarques, questions ou retours :
📱 Répondeur : 07 68 72 20 09
📧 Email : radiocsirt@gmail.com

🎧 Disponible sur : Apple Podcasts, Deezer, Spotify, YouTube, Amazon Music
🌐 Site :

https://www.radiocsirt.org

RadioCSIRT’s Substack

🔹 Chaque samedi, recevez directement par email le récapitulatif des actualités cybersécurité de la semaine avec RadioCSIRT, votre podcast quotidien dédié aux experts et professionnels du domaine. Abonnez-vous pour ne rien manquer ! 📩🔥

📅 Podcast RadioCSIRT du Samedi 19 Juillet 2025 (Ep.353)

📌 Au programme aujourd’hui,

12 avis du CERT‑FR concernant des vulnérabilités :

🛠️ SUSE – Multiples vulnérabilités dans le noyau Linux
CERTFR‑2025‑AVI‑0607 | Publié 18 juillet 2025
136 CVE affectant SUSE Linux Enterprise (Server, Desktop, Real Time, Micro, Live Patching), openSUSE Leap, Enterprise Storage, Manager 4.2… Risques : élévation de privilèges, DoS, atteinte à la confidentialité/intégrité, contournement de politique de sécurité. Correctifs dans SUSE‑SU‑2025:02307‑1 à 02335‑1.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0607/

🛠️ Oracle MySQL – Vulnérabilités multiples
CERTFR‑2025‑AVI‑0601 | Publié 18 juillet 2025
Failles permettant exécution de code arbitraire à distance, déni de service et atteinte à la confidentialité des données. Correctifs Oracle publiés.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0601/

---

🛠️ Oracle Java SE – Vulnérabilités détectées
CERTFR‑2025‑AVI‑0600 | Publié 18 juillet 2025
Failles autorisant RCE, DoS et fuite de données. Correctifs Oracle à appliquer.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0600/

---

🛠️ Oracle PeopleSoft – Vulnérabilités signalées
CERTFR‑2025‑AVI‑0602 | Publié 18 juillet 2025
Vulnérabilités provoquant DoS, atteinte à la confidentialité et intégrité. Correctifs disponibles. 🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0602/

🛠️ Oracle Virtualization – Failles critiques
CERTFR‑2025‑AVI‑0603 | Publié 18 juillet 2025
RCE, atteinte à la confidentialité et à l’intégrité des données. Correctifs Oracle publiés.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0603/

🛠️ Oracle WebLogic – Vulnérabilités majeures
CERTFR‑2025‑AVI‑0604 | Publié 18 juillet 2025
Risques : RCE, déni de service, fuite de données. Correctifs disponibles.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0604/

🛠️ IBM QRadar & Cloud Pak
CERTFR‑2025‑AVI‑0608 | 18 juillet 2025
Multiples vulnérabilités entraînant exécution de code à distance, déni de service et atteinte à la confidentialité dans les produits QRadar et Cloud Pak d’IBM. Correctifs disponibles.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0608/

🛠️ Oracle Virtualization
CERTFR‑2025‑AVI‑0603 | 18 juillet 2025
Failles critiques permettant RCE, atteintes confidentialité et intégrité dans les solutions de virtualisation Oracle. Correctifs publiés par l’éditeur.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0603/

🛠️ Ubuntu Kernel
CERTFR‑2025‑AVI‑0605 | 18 juillet 2025
Multiples vulnérabilités découvertes dans le noyau Linux d’Ubuntu : contournement de politique, DoS et atteinte à la confidentialité. Correctifs disponibles.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0605/

🛠️ Red Hat Kernel
CERTFR‑2025‑AVI‑0606 | 18 juillet 2025
Vulnérabilités variées dans le noyau Linux de Red Hat, impactant confidentialité, intégrité et politique de sécurité. Correctifs appliqués.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0606/

🛠️ Oracle Database Server
CERTFR‑2025‑AVI‑0599 | 18 juillet 2025
Multiples failles dans Oracle Database Server conduisant à RCE et compromission de la confidentialité et intégrité des données. Correctifs Oracle diffusés.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0599/

🛠️ Oracle Java SE
CERTFR‑2025‑AVI‑0600 | 18 juillet 2025
Vulnérabilités autorisant exécution de code à distance, DoS et fuite de données dans Java SE. Correctifs disponibles via Oracle.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0600/

📅 Podcast RadioCSIRT du Dimanche 20 Juillet 2025 (Ep.361)

📌 Au programme aujourd’hui :

🚨 Microsoft SharePoint – Faille critique activement exploitée
CVE-2025-53770 | Publié 20 juillet 2025
Nouvelle vulnérabilité RCE dans SharePoint on-premise, variante de la CVE-2025-49706. Exploitation active via l’outil ToolShell, permettant un accès non authentifié, la lecture des contenus, et l’exécution de code. Surveillance réseau, audit des privilèges et application des mises à jour du 8 juillet fortement recommandés.
🔗 https://www.cisa.gov/news-events/alerts/2025/07/20/microsoft-releases-guidance-exploitation-sharepoint-vulnerability-cve-2025-53770

🐍 npm – 5 paquets compromis après vol de jetons de mainteneurs
Publié 20 juillet 2025
Des versions malveillantes de paquets populaires (eslint-config-prettier, eslint-plugin-prettier, synckit, @pkgr/core, napi-postinstall) ont été publiées après compromission de jetons via phishing. Code malveillant injecté visant les systèmes Windows.
🔗 https://thehackernews.com/2025/07/malware-injected-into-6-npm-packages.html

📢 Veeam – Campagne de phishing audio par fichier WAV
Publié 18 juillet 2025
Un faux message vocal usurpe Veeam Software pour signaler une licence expirée. Message joint au format WAV, sans ciblage précis. Exemple disponible en ligne.
🔗 https://isc.sans.edu/diary/rss/32120

🔓 CrushFTP – Exploitation active de la CVE-2025-54309
Publié 20 juillet 2025
Faille critique (CVSS 9.0) affectant CrushFTP <10.8.5 et <11.3.4_23. Exploitable via HTTPS sans proxy DMZ activé. Accès admin, exfiltration et persistance possibles. IoC fournis.
🔗 https://thehackernews.com/2025/07/hackers-exploit-critical-crushftp-flaw.html

🔐 HPE Aruba – Identifiants codés en dur et injection de commande
CVE-2025-37103 & CVE-2025-37102 | Publié 20 juillet 2025
Accès admin possible via identifiants codés en dur dans Aruba Instant On (firmwares ≤3.2.0.1). Deuxième faille permettant une injection de commande via le CLI. Les deux failles sont corrigées dans la version 3.2.1.0.
🔗 https://www.bleepingcomputer.com/news/security/hpe-warns-of-hardcoded-passwords-in-aruba-access-points/

📅 Podcast RadioCSIRT du Lundi 21 Juillet 2025 (Ep.362)

📌 Au programme aujourd’hui :

🚨 CISA – Ajout de la CVE-2025-53770 à la liste KEV
CVE-2025-53770
Vulnérabilité RCE dans Microsoft SharePoint Server activement exploitée. Elle permet un accès non authentifié, l’exécution de commandes à distance et la lecture de contenus internes. Liée à l’outil ToolShell, déjà détecté dans plusieurs campagnes. Correctifs disponibles via Microsoft.
🔗 https://www.cisa.gov/news-events/alerts/2025/07/20/cisa-adds-one-known-exploited-vulnerability-cve-2025-53770-toolshell-catalog

👁️ Pentagone – Risques liés au modèle des “Digital Escorts” de Microsoft
Enquête de ProPublica sur l’exposition de données sensibles du Département de la Défense. Des ingénieurs chinois supervisés par des escortes peu techniques transmettaient des commandes à exécuter sur le cloud fédéral. Pratique en place depuis 10 ans. Réactions préoccupées de plusieurs responsables nationaux.
🔗 https://www.propublica.org/article/microsoft-digital-escorts-pentagon-defense-department-china-hackers

👩‍💻 ONU – Atelier Women of FIRST & avancée diplomatique majeure
Retour sur l’atelier dirigé par Khushali Dalal au siège des Nations Unies, simulant une cyberattaque à l’échelle politique. En parallèle, création du Mécanisme Global Permanent pour la Cybersécurité Internationale par les États membres. Soutenu par FIRST, UNIDIR et GFCE.
🔗 https://www.first.org/blog/20250616-Women-of-FIRST

💻 Dell – Compromission du portail de démonstration produit
Un acteur malveillant a accédé à Dell Solution Center. Données principalement synthétiques ou publiques. Aucune connexion aux réseaux clients ou internes. Revendication par le groupe WorldLeaks. Aucun impact déclaré sur la sécurité client.
🔗 https://therecord.media/hackers-hit-dell-product-demo-platform-limited-impact

🕵️‍♂️ ExpressVPN – Fuite d’IP via RDP sous Windows
Une version vulnérable du client Windows permettait au trafic RDP de contourner le tunnel VPN, exposant l’IP réelle. Versions affectées : 12.97 à 12.101.0.2-beta. Correctif publié dans la version 12.101.0.45.
🔗 https://www.bleepingcomputer.com/news/security/expressvpn-bug-leaked-user-ips-in-remote-desktop-sessions/

⚠️ Intel – Abandon de Clear Linux OS
Intel met fin à Clear Linux, OS lancé en 2015 et optimisé pour ses processeurs. Plus aucun patch ou support à venir. Les dépôts seront archivés en lecture seule. Migration immédiate recommandée.
🔗 https://www.theregister.com/2025/07/21/intel_clear_linux_dead/

📅 Podcast RadioCSIRT du Mardi 22 Juillet 2025 (Ep.363)

📌 Au programme aujourd’hui :

🚨 CISA – Deux nouvelles failles SharePoint ajoutées au KEV
CVE-2025-49704 & CVE-2025-49706
Deux vulnérabilités activement exploitées dans Microsoft SharePoint. L’une permet l’injection de code, l’autre contourne l’authentification. Toutes deux concernent les versions on-premise. Remédiation exigée par la BOD 22-01.
🔗 https://www.cisa.gov/news-events/alerts/2025/07/22/cisa-adds-two-known-exploited-vulnerabilities-catalog

🕵️‍♂️ Microsoft – Trois groupes APT chinois exploitent des vulnérabilités SharePoint
Linen Typhoon, Violet Typhoon et Storm-2603 exploitent des vulnérabilités SharePoint via des correctifs incomplets. Utilisation d’un web shell nommé spinstall0.aspx pour voler les clés MachineKey. Masquage du trafic via le protocole CUP de Google.
🔗 https://thehackernews.com/2025/07/microsoft-links-ongoing-sharepoint.html

📜 USA – La backdoor Dual_EC_PRNG jugée inconstitutionnelle ?
Analyse juridique du backdoor Dual_EC_PRNG par un professeur de droit. Trois doctrines sont analysées puis rejetées : absence de "search", recherche privée, et tierce partie. L’exigence de raisonnabilité du 4e Amendement reste applicable.
🔗 https://www.schneier.com/blog/archives/2025/07/encryption-backdoors-and-the-fourth-amendment.html

📘 NIST – Révision du SP 800-53 : gestion des correctifs
Publication d’un projet de mise à jour du SP 800-53 incluant de nouvelles recommandations sur le déploiement sécurisé des patchs, la résilience logicielle, les tests développeurs et la séparation des rôles. Commentaires ouverts jusqu’au 5 août.
🔗 https://www.nist.gov/news-events/news/2025/07/draft-sp-800-53-controls-secure-and-reliable-patches-available-comment

💣 CERT-FR – Vulnérabilités critiques dans Sophos Firewall
Cinq CVE affectent les versions antérieures à 21.5.0.171 de Sophos Firewall, permettant des RCE et des injections SQL. Correctifs disponibles.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0612/

🎯 Russie – Démantèlement du groupe NyashTeam
Plus de 110 domaines démantelés. Le groupe vendait DCRat et WebRat via Telegram. Distribution déguisée en cracks ou cheats via YouTube et GitHub. Les chercheurs ont également signalé un canal Telegram contenant le code source de WebRat.
🔗 https://therecord.media/russia-hacker-group-disrupted-local-researchers

📅 Podcast RadioCSIRT du Mercredi 23 Juillet 2025 (Ep.364)

📌 Au programme aujourd’hui :

🕵️ FBI – Vigilance face au ransomware Interlock
Le groupe Interlock, actif depuis septembre 2024, cible les infrastructures critiques en Amérique du Nord et en Europe. Exploitation de drive-by downloads, fausses mises à jour Chrome/Edge, techniques ClickFix, ransomwares Windows/Linux et liens possibles avec Rhysida.
🔗 https://therecord.media/fbi-vigilance-interlock-ransomware

🧬 Lumma Stealer – Reprise rapide après la disruption
Malgré la saisie de 2 300 domaines en mai, le MaaS Lumma revient. Nouveau C2 sur Selectel, campagnes via GitHub, YouTube, Telegram, et malvertising. Distribution de fausses apps comme TempSpoofer.exe.
🔗 https://www.bleepingcomputer.com/news/security/lumma-infostealer-malware-returns-after-law-enforcement-disruption/

📱 MuddyWater – Nouvelles variantes Android de DCHSpy
L’APT lié à l’Iran déploie DCHSpy pendant le conflit avec Israël. Espionnage WhatsApp, micro, caméra, fausses apps VPN (Starlink, EarthVPN), diffusion via Telegram. Infrastructure partagée avec SandStrike.
🔗 https://securityaffairs.com/180220/apt/muddywater-deploys-new-dchspy-variants-amid-iran-israel-conflict.html

🛠️ Wireshark 4.4.8 – Nouvelles corrections et protocoles mis à jour
Fixes critiques : crashs Lua, bug DTLS, problèmes UDS et parsing HTTP. Mises à jour pour DTLS, DNP3, UDS, IPsec, URL Encoded Form Data.
🔗 https://www.wireshark.org/docs/relnotes/wireshark-4.4.8.html

🏛️ France – L’État relance le financement des CSIRT régionaux
La revue nationale stratégique prévoit un cofinancement État-régions dès 2026. Pérennité des CSIRT ultramarins incluse. Le filtre anti-arnaques, en attente depuis 2023, devrait être lancé d’ici fin 2025.
🔗 https://www.zdnet.fr/actualites/letat-promet-de-remettre-au-pot-pour-soutenir-les-centres-regionaux-de-reponse-a-incident-479247.htm

👨‍💻 Communauté – 15 ans MVP et 11 ans Microsoft RD
Troy Hunt revient sur son parcours de passionné et ses rôles reconnus dans l’écosystème Microsoft. Témoignage inspirant sur l’engagement communautaire dans la tech.
🔗 https://www.troyhunt.com/11-years-of-microsoft-regional-director-and-15-years-of-mvp/

📅 Podcast RadioCSIRT du Jeudi 24 Juillet 2025 (Ep.365)

📌 Au programme aujourd’hui :

📉 DDoS – Mesurer l’impact réel des campagnes NoName057(16)
Olivier Ferrand propose une méthode passive de suivi via le flux witha.name et Uptime-Kuma. Visualisation en temps réel des cibles de DDoSia, corrélation avec Telegram, et identification des infrastructures résilientes.
🔗 https://www.linkedin.com/pulse/measuring-real-world-ddos-impact-real-time-monitoring-olivier-ferrand-9fshf

🛠️ Microsoft – Warlock ransomware déployé via SharePoint
L’acteur chinois Storm-2603 exploite la CVE-2025-49706 pour diffuser Warlock. Déploiement observé depuis le 18 juillet, avec 400 entités touchées dans le monde, dont l’administration US.
🔗 https://therecord.media/microsoft-says-warlock-ransomware-deployed-in-sharepoint-attacks

📱 Zimperium – Risques mobiles accrus sur les WiFi publics
5 millions de hotspots non sécurisés recensés en 2025. Menaces observées : portails captifs malveillants, faux VPN, malvertising mobile. Vigilance accrue pendant les voyages d’été.
🔗 https://www.cysecurity.news/2025/07/zimperium-warns-of-rising-mobile.html

🏧 Europol – Démantèlement d’un gang de fraudeurs aux DAB
580 000 € volés par TRF (Transaction Reversal Fraud). Arrestations en Roumanie et au Royaume-Uni. Opération soutenue par Europol, Eurojust et le réseau @ON.
🔗 https://www.europol.europa.eu/media-press/newsroom/news/atm-fraudsters-halted-in-europol-supported-operation-led-romanian-and-british-authorities

📦 Mitel – Vulnérabilités critiques dans MiCollab et MiVoice
La CVE-2025-52914 permet des injections SQL et contournements de sécurité. Versions impactées : MiCollab < 10.1.0.10, MiVoice MX-ONE 7.8 sans correctif MXO-15711.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0618/

🌐 Apache – Faille de sécurité dans HTTP Server < 2.4.65
La CVE-2025-54090 permet un contournement de la politique de sécurité. Correctif disponible dans la version 2.4.65.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0620/

📅 Podcast RadioCSIRT du Vendredi 25 Juillet 2025 (Ep.366)

📌 Au programme aujourd’hui :

🕵️ Google – Action judiciaire contre les opérateurs de Badbox 2.0
Google poursuit en justice les cybercriminels derrière le botnet Badbox 2.0. Plus de 10 millions d’appareils Android compromis, préinfectés sans services Google, utilisés pour la fraude publicitaire, les proxies résidentiels et d’éventuelles attaques DDoS ou ransomware.
🔗 https://www.securityweek.com/google-sues-operators-of-10-million-device-badbox-2-0-botnet/

🧬 VMware – L’APT Fire Ant exploite ESXi et vCenter
Campagne d’espionnage sophistiquée exploitant la CVE-2023-34048 (vCenter) et la CVE-2023-20867 (VMware Tools). Persistence via VIB malveillants, tunnel Neo-reGeorg, rootkit Medusa, et exploitation IPv6. Attribution possible au groupe UNC3886.
🔗 https://cybersecuritynews.com/vmware-esxi-and-vcenter-exploited/

🗂️ Fuite massive – Données sensibles chez Gladney Center for Adoption
Plus d’1,1 million d’enregistrements publics, sans mot de passe ni chiffrement. Données exposées : enfants, parents biologiques, familles adoptives, collaborateurs. Découverte par Jeremiah Fowler. Accès restreint depuis, mais durée d’exposition inconnue.
🔗 https://www.cysecurity.news/2025/07/sensitive-records-of-over-1-million.html

🧠 Malware – Coyote abuse du framework UI Automation de Windows
Premier malware bancaire connu à exploiter l’UIA de Microsoft pour interroger et manipuler les interfaces d’applications. Ciblage de 75 banques et plateformes crypto. Déploiement via fichiers LNK et PowerShell. Surveillance des DLL UIAutomationCore.dll recommandée.
🔗 https://securityaffairs.com/180334/malware/coyote-malware-is-first-ever-malware-abusing-windows-ui-automation.html

🛠️ CERT-FR – Vulnérabilités multiples dans Mattermost Server
Versions affectées : 9.11.x à 10.10.x. Sept bulletins de sécurité publiés le 22 juillet. Correctifs disponibles. Aucun détail sur le niveau de criticité.
🔗 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0614/

🌐 Réflexion – DNS et sécurité des fondations d’Internet
Un point de vue critique sur les failles systémiques du DNS, les modèles de confiance implicite et les défis de sécurisation des couches basses du réseau.
🔗 https://www.theregister.com/2025/07/25/systems_approach_column_dns_security/