Newsletter RadioCSIRT N°9
🎧 RadioCSIRT – La newsletter cyber hebdo du Podcast
Bonjour,
Vous êtes de plus en plus nombreux à suivre quotidiennement le podcast RadioCSIRT pour rester informés en temps réel des menaces cyber, des vulnérabilités critiques et des incidents majeurs.
Cette newsletter hebdomadaire vous offre une prise de recul nécessaire pour comprendre les tendances clés et anticiper les évolutions.
Cette semaine, je vous invite à découvrir une série d’analyses publiées récemment sur LinkedIn, consacrées à plusieurs vulnérabilités CVE d’importance. Vous y trouverez un décryptage technique rigoureux, destiné aux professionnels en quête de contexte et d’éclairages précis.
Je vous propose également une interview exclusive d’Alexandre Dulaunoy, responsable du CIRCL (Computer Incident Response Center Luxembourg). Il nous présente le projet européen GCVE, un outil de veille sur les vulnérabilités à fort potentiel, ainsi que les enjeux actuels liés au partage d’indicateurs de compromission.
Merci de lire RadioCSIRT sur Substack.
👉 Abonnez-vous gratuitement pour recevoir chaque nouvelle édition et soutenir ce travail indépendant de veille et d’analyse.
🛡️ Pi-hole : Filtrage DNS au Service de la Sécurité Réseau
Une solution efficace pour bloquer les publicités, trackers et domaines malveillants.
⚙️ Introduction
Pi-hole est une solution open source de filtrage DNS, conçue pour bloquer la publicité, les traqueurs et les domaines nuisibles à l’échelle d’un réseau. Déployé souvent sur un Raspberry Pi ou un serveur léger, il fonctionne comme un DNS intermédiaire, interceptant les requêtes avant qu'elles n'atteignent les serveurs DNS publics.
🧩 Fonctionnement Technique
🔹 Filtrage DNS Centralisé
Interception de toutes les requêtes DNS réseau.
Blocage des domaines figurant sur des blocklists.
Redirection des autres requêtes vers un DNS de confiance (Cloudflare, Google, Quad9...).
🔹 Blocklists Personnalisables
Sources publiques réputées :
https://adaway.org/hosts.txt
https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
https://raw.githubusercontent.com/Spam404/lists/master/adblock-list.txt
Mise à jour automatique.
Gestion fine des listes blanches.
🔹 Interface Web Intuitive
Visualisation en temps réel des requêtes bloquées/autorisées.
Statistiques détaillées : top clients, domaines, fréquence.
Administration centralisée.
🏢 Cas d’Usage Professionnels
🔐 Renforcement Sécuritaire
Blocage des domaines liés aux commandes et contrôles (C2).
Réduction des vecteurs d'attaque basés sur DNS.
Complément efficace aux solutions IDS/IPS.
🚀 Optimisation Réseau
Réduction de la bande passante consommée.
Accélération du chargement des pages web internes/externe.
🕵️ Confidentialité et RGPD
Suppression des requêtes vers des services tiers indésirables.
Protection de la vie privée des utilisateurs réseau.
🔧 Intégrations Avancées
DNS Sécurisés
Support de DNS-over-HTTPS (DoH) via Cloudflared :
https://developers.cloudflare.com/cloudflare-one/connections/connect-devices/warp/setting-up/windows/Intégration avec Stubby :
https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Daemon+-+StubbyUtilisation d’Unbound comme résolveur local :
https://docs.pi-hole.net/guides/dns/unbound/
Supervision SIEM
Export des logs vers :
Graylog : https://docs.graylog.org/en/latest/pages/sending_data.html
ELK Stack : https://www.elastic.co/guide/en/elastic-stack-get-started/current/get-started-elastic-stack.html
Splunk : https://www.splunk.com/en_us/blog/tips-and-tricks/pi-hole-logging-and-splunk-integration.html
Déploiement Réseau
Support multi-VLAN.
Configuration DNS granulaire par sous-réseau.
⚠️ Limites à Connaître
Pas de filtrage IP direct (hors DNS).
Risques de faux positifs si blocklists mal gérées.
Complémentaire, mais ne remplace pas pare-feu ou proxy.
🧠 Conclusion
Pi-hole est un outil incontournable pour toute organisation souhaitant renforcer la sécurité DNS, protéger la vie privée et optimiser son réseau. Facilement intégrable dans un environnement CERT ou SOC, il constitue une brique essentielle d’une architecture de défense en profondeur.
Cette solution est rapidement déployable au sein de structure à taille humaine que vous soyez Freelance, TPE, PME…à mondre coûts (Matériel <100€)
🔗 Sources Complètes
Site officiel Pi-hole :
https://pi-hole.net/
Documentation GitHub : https://github.com/pi-hole/pi-hole
Adaway Blocklist : https://adaway.org/hosts.txt
Steven Black Hosts : https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
Spam404 Blocklist : https://raw.githubusercontent.com/Spam404/lists/master/adblock-list.txt
DNS-over-HTTPS (Cloudflare) : https://developers.cloudflare.com/cloudflare-one/connections/connect-devices/warp/setting-up/windows/
Stubby DNS Privacy : https://dnsprivacy.org/wiki/display/DP/DNS+Privacy+Daemon+-+Stubby
Unbound Guide : https://docs.pi-hole.net/guides/dns/unbound/
Graylog Syslog : https://docs.graylog.org/en/latest/pages/sending_data.html
Elastic Stack : https://www.elastic.co/guide/en/elastic-stack-get-started/current/get-started-elastic-stack.html
Splunk Integration : https://www.splunk.com/en_us/blog/tips-and-tricks/pi-hole-logging-and-splunk-integration.html
📺 Ma participation chez RiskIntel Media
Table ronde sur les API et leurs potentielles menaces
🔎 À lire cette semaine sur LinkedIn
Je vous propose une nouvelle sélection de mes derniers articles publiés sur LinkedIn.
🔹 Vers une gouvernance européenne des vulnérabilités
Analyse des initiatives en cours pour instaurer une gouvernance européenne des vulnérabilités, avec un focus sur la coopération entre les États membres, la gestion coordonnée des CVE et les enjeux de souveraineté numérique.
👉 Lire : https://www.linkedin.com/pulse/vers-une-gouvernance-europ%C3%A9enne-des-vuln%C3%A9rabilit%C3%A9s-gomez-ysovf
🔹 Mise à jour MITRE ATT&CK v17
Présentation des nouveautés de la version 17 de la base de connaissances MITRE ATT&CK, incluant les nouveaux vecteurs d’attaque documentés, les mises à jour sur les techniques d’évasion et les implications pour les analystes SOC et les équipes CTI.
👉 Lire : https://www.linkedin.com/pulse/mise-%C3%A0-jour-mitre-attck-v17-marc-fr%C3%A9d%C3%A9ric-gomez-5icle
🔹 L’Europe face aux vulnérabilités
Réflexion sur la position stratégique de l’Europe face aux vulnérabilités logicielles, avec une analyse des politiques publiques, des capacités techniques des CERT nationaux et des perspectives de coopération renforcée.
👉 Lire : https://www.linkedin.com/pulse/leurope-face-aux-vuln%C3%A9rabilit%C3%A9s-marc-fr%C3%A9d%C3%A9ric-gomez-6blmf
🔹 GCVE : Une alternative ouverte au programme CVE
Présentation du projet GCVE, une initiative ouverte visant à diversifier la gouvernance et la gestion des vulnérabilités, en complément ou en alternative au programme CVE traditionnel. Analyse des objectifs, des partenaires impliqués et des défis à relever.
👉 Lire : https://www.linkedin.com/pulse/gcve-marc-fr%25C3%25A9d%25C3%25A9ric-gomez-qyf8e/?trackingId=BqPckY7UQTKTzLYvAKqhmQ%3D%3D
🎙 Récapitulatif des épisodes du podcast de la semaine
Du samedi 19 Avril au Vendredi 25 Avril 2025
📅 Podcast RadioCSIRT du Samedi 19 avril 2025 (Ep.260)
📌 Au programme aujourd’hui :
🔹 Faut-il abandonner le concept d’« erreur humaine » ?
Bjørn Tore Hellesøy (KraftCERT, FIRST) invite les équipes CERT et CSIRT à repenser l’usage de l’expression « erreur humaine ». Trop floue, peu exploitable, elle détournerait l’attention des causes systémiques ou des biais de conception. Une tribune essentielle pour mieux comprendre l’humain dans la cyber.
📚 Source : https://www.first.org/blog/20250418-Human-Error
🔹 CryptPad 2025.3.0 – Une version plus rapide, modulaire et mobile-friendly
La suite collaborative chiffrée open source reçoit une mise à jour importante : meilleure réactivité sur mobile, chargement optimisé des fichiers, nouvelles fonctions admin et compatibilité Office en bêta.
📚 Source : https://linuxfr.org/news/cryptpad-2025-3-0-est-disponible
🔹 Reprise du financement du programme CVE – Une fondation pour l’avenir
Retour sur les enjeux autour du financement du programme CVE, essentiel pour la gestion des vulnérabilités à l’échelle mondiale.
📚 Article : https://www.linkedin.com/pulse/reprise-du-financement-programme-cve-marc-fr%C3%A9d%C3%A9ric-gomez-bbpne/?trackingId=P0XsGDA5RiisYdvZCmC47g%3D%3D
🔹 Threat Hunting – Pourquoi votre CERT doit passer à la chasse proactive
Détection avancée, hypothèses comportementales, contextualisation des attaques : tour d’horizon d’une méthode que les CERT doivent maîtriser.
📚 Article : https://www.linkedin.com/pulse/threat-hunting-ou-la-d%C3%A9tection-proactive-en-marc-fr%C3%A9d%C3%A9ric-gomez-f6fxe/?trackingId=P0XsGDA5RiisYdvZCmC47g%3D%3D
🔹 Boîtes abuse@ : une gestion négligée mais critique
Retour sur les bonnes pratiques de traitement des emails envoyés à abuse@, souvent premières alertes en cas de compromission ou de phishing.
📚 Article : https://www.linkedin.com/pulse/traitement-des-emails-abuse-marc-fr%C3%A9d%C3%A9ric-gomez-w52ee/?trackingId=P0XsGDA5RiisYdvZCmC47g%3D%3D
🔹 Prévisions CVE T2 2025 – +11 000 vulnérabilités attendues
Le FIRST publie ses estimations : jusqu’à 12 800 CVE pourraient être publiées d’ici fin juin. Un indicateur stratégique pour les équipes de veille et de remédiation.
📚 Article : https://www.linkedin.com/pulse/pr%C3%A9visions-des-vuln%C3%A9rabilit%C3%A9s-pour-le-deuxi%C3%A8me-trimestre-gomez-hydwe/?trackingId=P0XsGDA5RiisYdvZCmC47g%3D%3D
🔹 CVE-2025-3404 – WordPress Download Manager : suppression de fichiers
Une faille critique dans le plugin Download Manager permet de supprimer arbitrairement des fichiers via une validation de chemin insuffisante.
📚 Source : https://cvefeed.io/vuln/detail/CVE-2025-3404
🔹 CVE-2021-4455 – Smart Product Review : téléversement arbitraire
Ce plugin WordPress permet l’upload de fichiers sans vérification de type, ouvrant la voie à l’exécution de code.
📚 Source : https://cvefeed.io/vuln/detail/CVE-2021-4455
🔹 CVE-2025-1093 – AIHub Theme : exécution de code via image
Toutes les versions du thème WordPress AIHub sont vulnérables à une attaque par fichier image injecté, par défaut non filtré.
📚 Source : https://cvefeed.io/vuln/detail/CVE-2025-1093
🔹 CVE-2025-3278 – UrbanGo Membership : élévation de privilèges
Jusqu’à la version 1.0.4, une faille permet à un utilisateur authentifié d’acquérir des droits administrateurs.
📚 Source : https://cvefeed.io/vuln/detail/CVE-2025-3278
Episode spécial CVE – La fin du monde ? du Samedi 19 Avril 2025 (Ép. 261)
Édition spéciale avec Wilfried Pascault, Head of Vulnerability Intelligence Watch – CERT Orange Cyberdefense, membre du FIRST sur le SIG CVSS ,
Nous avons échangé sur l’avenir du programme CVE et la situation actuelle du MITRE.
Un entretien exclusif pour mieux comprendre les enjeux de gouvernance, les impacts pour les CERT, et les perspectives d’évolution.
LinkedIN Wilfried Pascault: https://www.linkedin.com/in/wefiwefjiewofijewjfoio/
Lien de l’épisode : https://www.radiocsirt.org/podcast/episode-special-cve-la-fin-du-monde-du-samedi-19-avril-2025-ep-261/
📅 Podcast RadioCSIRT du Dimanche 20 avril 2025 (Ep.262)
📌 Aujourd’hui dans le podcast :
🔹 Microsoft Entra – Vague de verrouillages massifs
Une nouvelle fonctionnalité appelée MACE Credential Revocation a provoqué des blocages de comptes dans de nombreuses organisations. Faux positifs, MFA contourné, alertes erronées… Les retours d’admins système sont unanimes.
📚 https://www.bleepingcomputer.com/news/microsoft/widespread-microsoft-entra-lockouts-tied-to-new-security-feature-rollout/
🔹 Programme CVE – Mise au point de la CISA
La CISA clarifie sa position et réaffirme son soutien à l’avenir du programme CVE. Un point crucial pour l’écosystème vulnérabilités.
📚 https://www.cisa.gov/news-events/news/cisa-statement-cve-program
🍫 À gagner aujourd’hui : 3 tablettes XXL de chocolat Milka
➡️ Pour participer : laissez-moi un message vocal sur le répondeur de RadioCSIRT au +33 (0)7 68 72 20 09
📣 Donnez votre avis sur le podcast, vos critiques constructives, et dites-moi les voix que vous aimeriez entendre ou les sujets à explorer. Les meilleurs messages seront diffusés prochainement !
📅 Podcast RadioCSIRT du Lundi 21 avril 2025 (Ep.263)
📌 Aujourd’hui dans le podcast :
🔹 Proton66 – Hébergeur bulletproof russe sous les radars
Depuis janvier, des campagnes massives d’exploitation, brute-force et phishing s’appuient sur l’infrastructure de Proton66. C2 de GootLoader, SpyNote, XWorm, campagnes ciblant Android et redirections malveillantes par NFC relay… Une infrastructure active et polymorphe.
📚 https://thehackernews.com/2025/04/hackers-abuse-russian-bulletproof-host.html
🔹 SuperCard X – Malware Android de fraude sans contact
Ce malware-as-a-service utilise NFC Relay pour vider les comptes bancaires. Propagé via des fausses apps et du smishing, il capture les données de carte bancaire et les relaye vers des dispositifs contrôlés par les attaquants.
📚 https://thehackernews.com/2025/04/supercard-x-android-malware-enables.html
🔹 AgeoStealer – Quand le jeu devient un piège
Déguisé en jeu vidéo, ce malware cible les gamers par ingénierie sociale. Obfuscation JavaScript, évitement sandbox, exfiltration vers GoFile, collecte de credentials et documents sensibles via navigateur : un stealer discret et redoutable.
📚 https://flashpoint.io/blog/ageostealer-how-social-engineering-targets-gamers/
🔹 Scallywag – 14 milliards de requêtes publicitaires frauduleuses par jour
Une opération d’ad fraud exploitant plus de 800 apps Android générait des volumes de trafic astronomiques, drainant les ressources système et la bande passante à l’insu des utilisateurs.
📚 https://www.bleepingcomputer.com/news/security/scallywag-ad-fraud-operation-generated-14-billion-ad-requests-per-day/
📅 Podcast RadioCSIRT du Lundi 23 Avril - Bande annonces muisicales (Ep.264)
Aujourd’hui, RadioCSIRT frappe fort avec non pas une, mais deux bandes annonces pour un épisode hors-série qui va faire du bruit dans l’univers cyber ! ⚡️
🔊 Bande-Annonce #1 :
Un avant-goût énergique pour vous immerger dans l’ambiance de ce numéro pas comme les autres.
🎧 Bande-Annonce #2 :
Une version plus jazz, pour les passionnés de menaces, d’analyse et d’action cyber !
👂 Pourquoi deux ?
Parce que cet épisode spécial 264 mérite une mise en lumière unique, à la hauteur de son contenu inédit, de son rythme narratif, et de ses révélations.
💥 Ce que vous y trouverez :
✅ Un regard inédit sur les coulisses de RadioCSIRT
✅ Une immersion totale dans l’univers cyber
✅ Des sons, des voix, des indices…
Lien de l’épisode : https://www.radiocsirt.org/podcast/double-bande-annonce-exceptionnelle-episode-special-264/
📅 Podcast RadioCSIRT du Mardi 22 avril 2025 (Ep.265)
📌 Aujourd’hui dans le podcast :
🔹 CVE-2025-3616 – Faille critique dans Greenshift pour WordPress
Des attaquants authentifiés peuvent téléverser des fichiers arbitraires via une absence de validation dans le plugin Greenshift (versions 11.4 à 11.4.5), exposant les serveurs à des risques d’exécution de code à distance.
📚 https://cvefeed.io/vuln/detail/CVE-2025-3616
Des ressources techniques sont disponibles aux adresses suivantes :
https://plugins.trac.wordpress.org/browser/greenshift-animation-and-page-builder-blocks/trunk/init.php#L3340
https://www.wordfence.com/threat-intel/vulnerabilities/id/0db4671e-1989-44a4-babe-ed699c7f3a52?source=cve
🔹 CVE-2025-3854 – Débordement de tampon critique sur les routeurs H3C GR-3000AX
Une vulnérabilité dans le gestionnaire HTTP POST permet des attaques locales par débordement de tampon.
📚 https://cvefeed.io/vuln/detail/CVE-2025-3854
Des ressources supplémentaires sont disponibles, notamment sur :
https://github.com/CH13hh/tmp_store_cc/blob/main/H3C%20GR-3000AX/1.md
https://vuldb.com/?id.305778
🔹 CVE-2024-58250 – Escalade de privilèges dans pppd (Linux)
Une mauvaise gestion des privilèges dans le plugin passprompt de pppd avant la version 2.5.2 permet une élévation locale de privilèges. Correctif disponible.
📚 https://cvefeed.io/vuln/detail/CVE-2024-58250
Le correctif est accessible à l’adresse suivante : https://github.com/ppp-project/ppp/commit/0a66ad22e54c72690ec2a29a019767c55c5281fc.
🔹 Démissions clés à la CISA – Bob Lord et Lauren Zabierek quittent l’agence
Deux figures majeures de la Cybersecurity and Infrastructure Security Agency démissionnent en pleine incertitude sur l’avenir de l’agence. Contexte de réductions massives de personnel et d’évolutions stratégiques.
📚 https://therecord.media/two-top-cyber-officials-resign-from-cisa
🔹 Fraudes cybernétiques – L’industrie d’Asie du Sud-Est se mondialise
Les escroqueries en ligne venues de Birmanie, Laos et Philippines se répandent en Amérique du Sud, Afrique et Pacifique. Réseaux mafieux, blanchiment, outils IA sur Telegram : une menace globale en expansion.
📚 https://therecord.media/southeast-asia-cyber-fraud-at-inflection-point
🔹 Faux certificats SSL pour Alibaba Cloud – Défaillance chez SSL.com
Des certificats TLS ont été émis frauduleusement via une faille dans la validation DNS TXT d’SSL.com, affectant notamment aliyun.com. 11 certificats ont été révoqués en urgence.
📚 https://gbhackers.com/fake-certificate-issued-for-alibaba-cloud/
🔹 Akira Ransomware – Cible les PME avec 42 millions $ de rançons
Le groupe Akira oriente ses attaques vers les petites entreprises, exploitant des identifiants volés pour mener des attaques par double extorsion. Secteurs touchés : santé, finance, éducation, industrie.
📚 https://www.cybersecurity-insiders.com/akira-ransomware-shifts-focus-to-smbs/
🔹 Wireshark 4.4.6 – Correctifs importants pour l’analyse réseau
Nouvelle version avec corrections sur les dissections QUIC, BGP, MQTT-SN, EtherCAT, et divers bugs critiques. Pas de nouveaux protocoles mais des mises à jour majeures pour les pros réseau.
📚 https://www.wireshark.org/docs/relnotes/wireshark-4.4.6.html
📅 Podcast RadioCSIRT du Mercredi 23 avril 2025 (Ep.266)
📌 Au programme aujourd’hui :
🔹 Windows 10 : comment prolonger son support jusqu’en 2032 ?
Les éditions LTSC de Windows 10 offrent des mises à jour jusqu’en 2032. Focus sur ces versions alternatives, souvent méconnues, qui permettent d’éviter une migration vers Windows 11 ou Linux.
📚 Source : https://www.theregister.com/2025/04/22/windows_10_ltsc/
🔹 GCP Cloud Composer : élévation de privilèges via paquets PyPI malveillants
La faille ConfusedComposer permettait à un attaquant d’obtenir des accès élevés sur GCP en modifiant l’environnement Cloud Composer. Corrigée le 13 avril 2025.
📚 Source : https://thehackernews.com/2025/04/gcp-cloud-composer-bug-let-attackers.html
🔹 Tenable Security Center : vulnérabilité critique SQLi – CVE-2025-1094
Une injection SQL affecte les versions 6.5.x antérieures à 6.5.1 sans correctif SC-202504.3.
📚 Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0338/
🔹 54 % des responsables IT prévoient des licenciements en 2025
Les postes automatisables par IA, les compétences obsolètes et les faibles performances figurent parmi les critères les plus évoqués. Les compétences IA, cybersécurité et data restent prioritaires.
📚 Source : https://www.helpnetsecurity.com/2025/04/22/tech-layoffs-2025/
🔹 Japon : 50,6 milliards de yens de transactions frauduleuses sur comptes piratés
La FSA alerte sur l’augmentation massive des accès non autorisés via phishing ciblant les identifiants de courtage.
📚 Source : https://securityaffairs.com/176776/hacking/japan-s-financial-services-agency-warns-of-unauthorized-trades.html
🔹 Cookie-Bite : extension Chrome pour contourner la MFA Microsoft
Varonis dévoile une attaque via extension malveillante, exfiltrant les cookies ESTAUTH et ESTSAUTHPERSISTENT d’Azure Entra ID pour prendre le contrôle de sessions.
📚 Source : https://www.bleepingcomputer.com/news/security/cookie-bite-attack-poc-uses-chrome-extension-to-steal-session-tokens/
🔹 CVE-2025-23176 – Apache Web Server sur Tecnick tcexam : vulnérabilité SQL Injection
Une faille SQLi exploitable à distance affecte le serveur Apache. Aucun produit précis listé à ce jour.
📚 Source : https://cvefeed.io/vuln/detail/CVE-2025-23176
🔹 CVE-2025-1951 – IBM HMC : élévation de privilèges locale
Versions V10.2.1030.0 et V10.3.1050.0 : exécution de commandes avec privilèges excessifs par un utilisateur local.
📚 Source : https://cvefeed.io/vuln/detail/CVE-2025-1951
🔹 CVE-2025-1950 – IBM HMC : exécution locale via bibliothèques non fiables
Exécution locale possible due à une validation incorrecte des bibliothèques externes. Affecte les mêmes versions.
📚 Source : https://cvefeed.io/vuln/detail/CVE-2025-1950
🔹 OCC – Réduction des échanges numériques après une cyberattaque majeure
JPMorgan et BNY Mellon suspendent les partages avec l’OCC après la compromission de 100 comptes email exposant des informations sensibles de sécurité nationale.
📚 Source : https://www.cysecurity.news/2025/04/top-us-banks-cut-off-digital-data.html
📅 Podcast RadioCSIRT du Jeudi 24 avril 2025 (Ep.267)
📌 Au programme aujourd’hui :
🔹 MURKYTOUR : cyber-espionnage iranien via fausse offre d’emploi
Le groupe UNC2428 cible Israël avec un malware dissimulé dans un faux site d’embauche de Rafael. Une fois les informations soumises, la backdoor MURKYTOUR s’installe silencieusement.
📚 Source : https://thehackernews.com/2025/04/iran-linked-hackers-target-israel-with.html
🔹 Android.Spy.1292.origin : espionnage mobile des militaires russes
Un spyware se fait passer pour l’app Alpine Quest et collecte des données sensibles via une fausse chaîne Telegram. Localisation, fichiers, et messages Telegram/WhatsApp sont exfiltrés.
📚 Source : https://thehackernews.com/2025/04/android-spyware-disguised-as-alpine.html
🔹 Grafana : vulnérabilités XSS et contournement de sécurité
Plusieurs failles affectent Grafana < 11.6.0 et versions antérieures non corrigées. Injection XSS et contournement des politiques sont possibles.
📚 Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0344/
🔹 Google Chrome : multiples vulnérabilités non spécifiées
Mise à jour urgente recommandée pour Chrome < 135.0.7049.114 (Linux) et < 135.0.7049.114/.115 (Windows/Mac).
📚 Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0342/
🔹 Spring Security : contournement de la politique de sécurité
Les versions antérieures à 6.4.5 sont vulnérables. Mise à jour indispensable pour bloquer les contournements d’accès.
📚 Source : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0343/
🔹 CVE-2025-34028 : exécution de code à distance via path traversal – Commvault
Une vulnérabilité dans Commvault Command Center Innovation Release 11.38 permet à un attaquant non authentifié d’exploiter un zip malveillant, conduisant à une exécution de code à distance.
📚 Source : https://cvefeed.io/vuln/detail/CVE-2025-34028
📚 Détail éditeur : https://documentation.commvault.com/securityadvisories/CV_2025_04_1.html
🔹 LLM et cybersécurité : IA contre IA sur les réseaux sociaux
Une étude démontre comment des LLM peuvent générer et contrer automatiquement des contenus de phishing.
📚 Source : https://arxiv.org/abs/2504.15499
🔹 ATT&CK v17 : focus sur les techniques ESXi et extensions IDE
Ajout d’une plateforme VMware ESXi, nouvelles techniques : SVG Smuggling, IDE Tunneling, Email Bombing. DLL Side-Loading révoqué et fusionné.
📚 Source : https://attack.mitre.org/resources/updates/updates-april-2025/
📚 Source : https://attack.mitre.org/versions/v17/
📅 Podcast RadioCSIRT du Jeudi 24 avril 2025 (Ep.268)
🔴 Breaking News Cybersécurité 🔴
Le Programme CVE, pilier mondial de la gestion des vulnérabilités, n’a jamais été menacé !
📌 Au programme aujourd’hui :
🔹 Clarification officielle de la CISA
Matt Hartman, Directeur exécutif adjoint par intérim de la CISA, réaffirme que le programme CVE n’a connu aucune interruption. Pas de problème de financement, seulement un dossier contractuel réglé à temps.
📚 Source : https://www.cisa.gov/news-events/news/statement-matt-hartman-cve-program
🔹 Soutien total de la CVE Foundation
La CVE Foundation confirme son alignement avec CISA et annonce sa volonté de soutenir une transition vers un modèle de financement diversifié, garant d’une plus grande stabilité et d’une confiance internationale accrue.
📚 Source : https://www.thecvefoundation.org/news
📅 Podcast RadioCSIRT du Vendredi 25 avril 2025 (Ep.269)
Au programme aujourd’hui :
🔹 159 CVEs exploitées au 1er trimestre 2025 : 28,3 % dans les 24h
Une analyse VulnCheck révèle une accélération alarmante de l’exploitation des vulnérabilités, avec 45 failles activement exploitées dès le jour de leur divulgation. Les CMS, OS et équipements réseau sont les plus touchés.
📚 Source : https://thehackernews.com/2025/04/159-cves-exploited-in-q1-2025-283.html
🔹 SAP NetWeaver : vulnérabilité 0-day et déploiement de webshells
Une faille RFI non documentée est exploitée pour déposer des webshells JSP via l’endpoint /developmentserver/metadatauploader. Brute Ratel et Heaven’s Gate ont été utilisés pour élever les privilèges et échapper à la détection.
📚 Source : https://cybersecuritynews.com/sap-netweaver-0-day-vulnerability/
📅 Podcast RadioCSIRT Edition spéciale du Vendredi 25 avril 2025 (Ep.270)
J’ai eu le privilège d’interviewer Alexandre Dulaunoy, responsable du CIRCL.lu et figure incontournable du renseignement sur les vulnérabilités en Europe.
🔍 Ensemble, nous avons parlé en exclusivité du projet GCVE (Global CVE Enhancements), un chantier européen stratégique pour améliorer l’identification, la classification et le partage des vulnérabilités.
Au programme :
Les limites actuelles du système CVE et comment GCVE veut les dépasser.
Le rôle du CIRCL dans l’innovation sur les données de vulnérabilités.
Les outils concrets pour les équipes CTI, CERT, SOC et RSSI.
Et un focus sur Vulnerability Lookup, un service indispensable pour enrichir votre veille.
👉 Un épisode riche, avec des perspectives concrètes sur l’évolution de la gestion des vulnérabilités.
Vous êtes de plus en plus nombreux à suivre RadioCSIRT chaque jour — et c’est grâce à vous que le podcast existe, grandit, et gagne en impact.
Aujourd’hui, un nouveau cap s’ouvre : passer au format vidéo, pour rendre l'information plus claire, plus visuelle, et plus accessible à tous — vos équipes, vos clients, vos décideurs.
🙏 La cagnotte a déjà franchi les 2500 €. Un grand merci à celles et ceux qui ont soutenu l’élan. on y est presque !
L’objectif reste simple : réunir 5 000€ pour financer la technique, l’équipement, et proposer une version plus aboutie, sans rien perdre de l’indépendance qui fait l’ADN du projet.
💡 Si vous pensez que ce podcast vous est utile, ou qu’il peut l’être pour d’autres, vous pouvez le soutenir ici :
👉 https://www.leetchi.com/fr/c/faire-evoluer-radiocsirt-en-format-video-1290712
Merci pour votre écoute, votre confiance — et pour chaque petit geste qui fait avancer cette aventure collective.
Cette newsletter évolue en fonction de vos retours. N’hésitez pas à partager vos suggestions et à diffuser l’information autour de vous !
🔗 Restez informé, suivez RadioCSIRT ! 🚀
Abonné
📞 Posez vos questions et partagez vos retours :
📞 Répondeur : 07 68 72 20 09
📧 Email : radiocsirt@gmail.com
🎧 Écoutez-nous et abonnez-vous sur vos plateformes préférées :
📱 Apple Podcasts, Deezer, Spotify, YouTube, Amazon Music
🌐 Site officiel RadioCSIRT :
https://www.radiocsirt.org