RadioCSIRT - Edition Française

🛡️ Opération Endgame : Eurojust et Europol coordonnent le démantèlement de SocGholish, StealC et Amadey. 326 serveurs et 142 domaines neutralisés, 27 millions de jeux de données compromis récupérés.🔗 Cordyceps : Novee Security identifie une classe de failles CI/CD exposant plus de 300 dépôts GitHub de Microsoft, Google, Apache, Cloudflare et Python à des attaques Supply Chain.🤖 Technique anti-analyse : des développeurs de spyware insèrent du texte interdit dans les commentaires JavaScript pour bloquer les scanners basés sur des LLM, selon Bruce Schneier.🕸️ Scattered Spider : Thalha Jubair et Owen Flowers plaident coupable à Londres pour des attaques contre Transport for London, des prestataires de santé américains et des enseignes britanniques. Condamnation prévue le 15 juillet 2026.💾 Tata Electronics confirme une cyberattaque revendiquée par World Leaks, avec fuite de données de fabrication liées à Apple, incluant schémas de composants et designs de PCB.🎣 La CNIL alerte sur de faux organismes de protection des données qui contactent des victimes de violations pour leur soutirer des informations personnelles supplémentaires.🚨 La CISA ajoute quatre vulnérabilités activement exploitées au catalogue KEV : CVE-2025-67038 (Lantronix EDS5000), CVE-2026-34908, CVE-2026-34909 et CVE-2026-34910 (Ubiquiti UniFi OS).🔧 Le CERT-FR publie l'avis CERTFR-2026-AVI-0797 couvrant 18 CVE dans cURL et libcurl, corrigées dans la version 8.21.0. Risques de déni de service, atteinte à la confidentialité et contournement de politique de sécurité.🔐 La CISA publie un guide Zero Trust / SASE pour accompagner les agences fédérales dans leur transition depuis les architectures périmètriques TIC 2.0 vers TIC 3.0.🐛 CVE-2026-56351 : injection SQL dans n8n (MySQL, PostgreSQL, Microsoft SQL) permettant l'exécution de commandes non autorisées. Score CVSS 8,2. Correctif en version 2.4.0.Sources :Operation Endgame continues — Eurojust : https://www.eurojust.europa.eu/news/operation-endgame-continues-international-coalition-takes-malware-offlineCordyceps CI/CD Flaws Expose 300+ GitHub Repositories — The Hacker News : https://thehackernews.com/2026/06/cordyceps-cicd-flaws-expose-300-github.htmlEmbedding Forbidden Text in Spyware to Discourage AI Analysis — Schneier on Security : https://www.schneier.com/blog/archives/2026/06/embedding-forbidden-text-in-spyware-to-discourage-ai-analysis-2.htmlScattered Spider Hackers Plead Guilty on Day 1 of Trial — Krebs on Security : https://krebsonsecurity.com/2026/06/scattered-spider-hackers-plead-guilty-on-day-1-of-trial/Tata Electronics confirms cyberattack as hackers leak data — BleepingComputer : https://www.bleepingcomputer.com/news/security/tata-electronics-confirms-cyberattack-as-hackers-leak-data/Des escrocs arnaquent des victimes de violations de données — Clubic : https://www.clubic.com/actualite-618493-des-escrocs-essaient-d-arnaquer-des-victimes-de-violations-de-donnees-et-se-faisant-passer-pour-des-protecteurs-des-donnees.htmlCISA Adds Four Known Exploited Vulnerabilities to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/06/23/cisa-adds-four-known-exploited-vulnerabilities-catalogMultiples vulnérabilités dans cURL et libcurl — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0797/New CISA Guide Zero Trust / SASE — CISA : https://www.cisa.gov/news-events/news/new-cisa-guide-assists-federal-agencies-transitioning-modernized-zero-trust-architecturesCVE-2026-56351 n8n SQL Injection — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-56351⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #OperationEndgame #SocGholish #StealC #Amadey #Cordyceps #SupplyChain #CICD #GitHub #ScatteredSpider #Ransomware #WorldLeaks #TataElectronics #Apple #CNIL #Phishing #DataBreach #CISA #KEV #Ubiquiti #UniFi #CVE-2025-67038 #CVE-2026-34908 #CVE-2026-34909 #CVE-2026-34910 #cURL #libcurl #CERTFR #ZeroTrust #SASE #TIC3 #n8n #SQLInjection #CVE-2026-56351 #RadioCSIRT

🪟 Un youtubeur australien détourne une machine à glaçons et un thermostat de réfrigérateur à bière pour refroidir une RTX 3060 à 22 °C sous Cyberpunk 2077, soit une baisse de 62 % par rapport au refroidissement standard. La condensation sur les composants après dix minutes marque la limite physique de l'expérience. (Clubic)🛡️ Le botnet AryStinger a compromis plus de quatre mille routeurs D-Link DIR-850L et DIR-818LW en exploitant des vulnérabilités anciennes. Les appareils infectés servent de proxys, scanners et tunnels d'attaque distribués. Deux variantes existent, dont une en Go ciblant les systèmes NAS avec des capacités de reconnaissance réseau interne. (BleepingComputer / Qianxin XLab)🔓 L'infostealer Vidar contourne le chiffrement Application-Bound Encryption de Google Chrome en créant un fork silencieux du processus navigateur et en extrayant la clé maîtresse v20 directement en mémoire via injection APC. La technique adapte sa méthode selon l'antivirus présent et rechiffre la clé après extraction pour effacer ses traces. (CyberPress / Gen Threat Labs)🚨 Le CERT-FR publie l'avis CERTFR-2026-AVI-0786 sur treize vulnérabilités dans Node.js affectant les branches 22.x, 24.x et 26.x. Les risques couvrent le déni de service à distance, l'atteinte à la confidentialité et à l'intégrité des données, et le contournement de la politique de sécurité. (CERT-FR)🤖 Linux Journal analyse la montée en puissance du pentest par IA agentique. Ces plateformes autonomes valident en continu l'exploitabilité réelle des vulnérabilités, réduisant le bruit des scanners classiques et remplaçant progressivement les évaluations ponctuelles dans les pipelines DevSecOps. (Linux Journal)Sources : Il détourne une machine à glaçons pour refroidir sa RTX 3060 — Clubic : https://www.clubic.com/actualite-617935-il-detourne-une-machine-a-glacons-pour-refroidir-sa-rtx-3060-thermostat-de-frigo-a-biere-inclusAryStinger botnet infected thousands of D-Link routers worldwide — BleepingComputer : https://www.bleepingcomputer.com/news/security/arystinger-botnet-infected-thousands-of-d-link-routers-worldwide/Vidar Malware Bypasses Chrome Encryption Using CryptUnprotectMemory — CyberPress : https://cyberpress.org/vidar-malware-bypasses-chrome-encryption/Multiples vulnérabilités dans Node.js — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0786/The Growth of Vulnerability Management: The Rise of Agentic AI Pentesting — Linux Journal : https://www.linuxjournal.com/content/growth-vulnerability-management-rise-agentic-ai-pentesting⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #RTX3060 #Modding #Cooling #AryStinger #DLink #Botnet #Vidar #Chrome #Infostealer #NodeJS #CERTFR #CVE-2013-3307 #CVE-2016-5681 #CVE-2025-11837 #CVE-2026-21636 #CVE-2026-48615 #CVE-2026-48617 #CVE-2026-48618 #CVE-2026-48619 #CVE-2026-48928 #CVE-2026-48930 #CVE-2026-48931 #CVE-2026-48933 #CVE-2026-48934 #CVE-2026-48935 #CVE-2026-48936 #CVE-2026-48937 #Pentest #AgenticAI #DevSecOps #RadioCSIRT

📱 Les chercheurs de Paradigm Shift publient usbliter8, un exploit non corrigeable ciblant le SecureROM des puces Apple A12 et A13. La faille, liée au contrôleur USB Synopsys DWC2, permet une exécution de code en mode privilégié EL1 via un accès physique en mode DFU. Les appareils concernés incluent les iPhone XS, XR, 11, SE deuxième génération et plusieurs iPad et Apple Watch. Aucun CVE attribué. (The Hacker News)🐛 VulnCheck référence la CVE-2019-25748, une injection SQL non authentifiée dans JHotelReservation 6.0.7 pour Joomla. Le paramètre rooms du endpoint search-hotels permet d'extraire des données sensibles de la base via une requête POST. Score CVSS 3.1 HIGH. (CVEFeed)☁️ AWS publie un guide d'utilisation de Kiro CLI pour l'investigation d'incidents de sécurité. L'assistant en ligne de commande automatise le triage de findings GuardDuty, le confinement d'instances EC2, l'analyse CloudTrail et la mise en place d'alertes via SNS et EventBridge. (AWS Security Blog)🛡️ Le CERT Santé signale la CVE-2026-55203, un débordement d'entier dans le module FastCGI d'HAProxy. L'exploitation par un backend malveillant peut provoquer du request smuggling ou des problèmes de sécurité mémoire. Toutes versions jusqu'à 3.4.0 affectées, correctif dans le commit 5985276. (CERT Santé)🚨 La CISA confirme l'exploitation active de la CVE-2026-20253 dans Splunk Enterprise et ordonne aux agences fédérales de corriger avant dimanche. La faille dans le service sidecar PostgreSQL permet la création de fichiers arbitraires sans authentification. Plus de 1 400 instances exposées recensées par Shadowserver. (BleepingComputer)Sources : Unpatchable 'usbliter8' Exploit Breaks Apple A12 and A13 SecureROM Boot Chain — The Hacker News : https://thehackernews.com/2026/06/unpatchable-usbliter8-exploit-breaks.htmlCVE-2019-25748 Joomla JHotelReservation SQL Injection — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2019-25748Accelerate security investigations with Kiro CLI — AWS Security Blog : https://aws.amazon.com/fr/blogs/security/accelerate-security-investigations-with-kiro-cli/HAProxy - CVE-2026-55203 — CERT Santé : https://cyberveille.esante.gouv.fr/alertes/haproxy-cve-2026-55203-2026-06-19CISA: Splunk Enterprise flaw actively exploited, patch by Sunday — BleepingComputer : https://www.bleepingcomputer.com/news/security/cisa-splunk-enterprise-flaw-actively-exploited-patch-by-sunday/ ⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Apple #SecureROM #usbliter8 #Joomla #JHotelReservation #CVE-2019-25748 #AWS #KiroCLI #GuardDuty #HAProxy #CVE-2026-55203 #Splunk #CISA #CVE-2026-20253 #RadioCSIRT

🔓 La fuite FortiBleed expose les identifiants VPN de près de 75 000 équipements Fortinet dans 194 pays. La base contient des noms d'utilisateur et des mots de passe en clair d'organisations majeures. Un groupe russophone multi-opérateurs aurait mené plus d'un milliard de tentatives d'authentification. Kevin Beaumont confirme l'authenticité d'une partie des données et estime que la moitié des pare-feu Fortinet exposés sur Internet sont concernés.☁️ Le Centre canadien pour la cybersécurité publie le bulletin AV26-605 relatif au correctif cumulatif trimestriel d'Oracle pour juin 2026. Des correctifs critiques couvrent MySQL, WebLogic, Solaris, VirtualBox, E-Business Suite, PeopleSoft et de nombreux autres produits.💾 Le CERT-FR émet l'avis CERTFR-2026-AVI-0762 sur de multiples vulnérabilités dans les produits Qnap (QTS, QuTS hero, QuTS cloud, License Center, QuMagie, QVP). Les risques incluent l'exécution de code à distance, l'élévation de privilèges et le déni de service. Dix-huit CVE sont référencées, dont CVE-2026-44083 et CVE-2026-26236.🎣 La police néerlandaise interpelle six suspects âgés de 15 à 30 ans opérant un centre d'appels frauduleux à Amsterdam. Les fraudeurs pratiquaient le vishing bancaire et se rendaient au domicile de leurs victimes, principalement des personnes âgées, pour voler leurs fonds.Sources : FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices — BleepingComputer : https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/Bulletin de sécurité Oracle – Correctif cumulatif trimestriel juin 2026 (AV26-605) — Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-oracle-correctif-cumulatif-trimestriel-juin-2026-av26-605Multiples vulnérabilités dans les produits Qnap (CERTFR-2026-AVI-0762) — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0762/Helpdesk scammers are making house calls to make their lies feel more real — The Register : https://www.theregister.com/cyber-crime/2026/06/17/helpdesk-scammers-are-making-house-calls-to-make-their-lies-feel-more-real/5257454⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #FortiBleed #Fortinet #FortiGate #VPN #SSL #Oracle #PatchTuesday #MySQL #WebLogic #Solaris #Qnap #QTS #CERTFR #Vishing #BankFraud #Netherlands #CVE-2026-44083 #CVE-2026-26236 #CVE-2026-26237 #CVE-2026-22893 #CVE-2025-59382 #RadioCSIRT

🇷🇺 Le russe Kaluga Astral confirme une cyberattaque ayant interrompu ses services environ une semaine, touchant déclaration fiscale, GED et messagerie de clients dont des entreprises d'État ; aucune fuite de données clients constatée, aucune attribution (Recorded Future News).🇫🇷 Le CERT-FR publie l'avis CERTFR-2026-AVI-0752 sur de multiples vulnérabilités Mattermost Server (10.11.x < 10.11.20, 11.6.x < 11.6.5, 11.7.x < 11.7.3), risque non spécifié par l'éditeur, neuf bulletins MMSA du 12 juin.🐛 L'acteur chinois UNC6508 a compromis des serveurs REDCap exposés pour déployer InfiniteRed et voler des données d'un établissement médical nord-américain ; persistance > 1 an, exfiltration par courriel via une règle de conformité de contenu détournée (BleepingComputer / GTIG).🚨 La faille critique de désérialisation Jenkins CVE-2026-53435 (CVSS 9.0) est activement exploitée depuis le 15 juin ; correctifs Weekly 2.568 et LTS 2.555.3, deux open-redirect associées corrigées (Cyberpress / DefusedCyber).🎣 La campagne Payroll Pirate utilise du phishing AiTM pour contourner le MFA, détourner les sessions et rerouter les virements de paie via de faux bénéficiaires et paiements hors cycle (GBHackers / BushidoToken).📊 Le FIRST relève sa projection à ~66 000 CVE pour 2026 (+46,3 %), porté par la découverte assistée par IA, mais juge la charge de correctifs stable une fois filtrée par KEV et EPSS > 10 % (FIRST.org).🇵🇱 Le groupe biélorusse GhostWriter (UNC1151 / Storm-0257) étend son phishing aux comptes Gmail personnels de responsables publics polonais et de leurs proches pour voler identifiants et codes 2FA (Recorded Future News / CERT Polska).Sources : Cyberattack on Russian tech firm Astral disrupts business, government services for week — Recorded Future News : https://therecord.media/cyberattack-on-russian-tech-firm-astral-disrupts-business-government-servicesMultiples vulnérabilités dans les produits Mattermost — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0752/Chinese hackers breach REDCap servers, steal medical research — BleepingComputer : https://www.bleepingcomputer.com/news/security/chinese-hackers-breach-redcap-servers-steal-medical-research/Critical Jenkins RCE Vulnerability Under Active Exploitation in the Wild — Cyberpress : https://cyberpress.org/jenkins-rce-vulnerability/Payroll Pirate Campaign Uses AiTM Session Hijacking to Bypass MFA and Redirect Salaries — GBHackers : https://gbhackers.com/payroll-pirate-campaign-uses-aitm/The 2026 Vulnerability Forecast Update: Navigating the AI Epoch — FIRST.org : https://www.first.org/blog/20260615-vulnerability-forecast-updateBelarus-linked hackers target Gmail accounts of Polish public figures and their families — Recorded Future News : https://therecord.media/ghostwriter-targets-personal-gmail-accounts-in-poland⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Astral #Russia #Mattermost #CERTFR #REDCap #InfiniteRed #UNC6508 #GTIG #China #Jenkins #RCE #Deserialization #PayrollPirate #AiTM #MFA #Phishing #FIRST #VulnerabilityForecast #EPSS #KEV #GhostWriter #UNC1151 #Storm0257 #Belarus #Poland #CERTPolska #CVE-2026-53435 #CVE-2026-53436 #CVE-2026-53437 #RadioCSIRT

🐛 GreatXML, code de démonstration publié le 10 juin par le chercheur Nightmare Eclipse, revendique un contournement de BitLocker via l'environnement de récupération WinRE, l'analyse hors ligne de Defender et le traitement des fichiers unattend.xml. Le résultat revendiqué est un shell avec accès au volume chiffré, alors que BitLocker l'affiche comme protégé. Le modèle de menace repose sur un accès physique et vise les configurations TPM seul. La fiabilité est débattue et aucun CVE ni correctif n'existe à ce jour.🚨 La CISA ajoute CVE-2026-35273, faille d'absence d'authentification pour une fonction critique dans Oracle PeopleSoft Enterprise PeopleTools, à son catalogue des vulnérabilités activement exploitées, sous la nouvelle directive BOD 26-04.🔓 La CISA inscrit également CVE-2026-10520, injection de commandes système dans Ivanti Sentry permettant une exécution de code à distance non authentifiée en root, première vulnérabilité traitée sous la BOD 26-04 avec remédiation sous trois jours.🔐 Brian Krebs identifie l'administrateur du ransomware The Gentlemen, deuxième groupe le plus actif par nombre de victimes, qui attire ses affiliés avec un partage de rançon de 90/10. L'enquête OSINT remonte des pseudonymes Zeta88 et Hastalamuerte jusqu'à un homme de 36 ans d'Ijevsk, en Russie.Sources :GreatXML : analyse technique et défensive d'un contournement BitLocker via WinRE — Blog de Marc-Frédéric Gomez : https://blog.marcfredericgomez.fr/greatxml-analyse-technique-et-defensive-dun-contournement-bitlocker-via-winre/CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-35273) — CISA : https://www.cisa.gov/news-events/alerts/2026/06/12/cisa-adds-one-known-exploited-vulnerability-catalogCISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-10520) — CISA : https://www.cisa.gov/news-events/alerts/2026/06/11/cisa-adds-one-known-exploited-vulnerability-catalogWho Runs the Ransomware Group 'The Gentlemen?' — KrebsOnSecurity : https://krebsonsecurity.com/2026/06/who-runs-the-ransomware-group-the-gentlemen/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #GreatXML #BitLocker #WinRE #Microsoft #Windows #ZeroDay #CISA #KEV #BOD2604 #Oracle #PeopleSoft #Ivanti #Sentry #RCE #Ransomware #TheGentlemen #RaaS #CheckPoint #PRODAFT #OSINT #CVE-2026-35273 #CVE-2026-10520 #CVE-2026-45585 #RadioCSIRT

📡 Selon Recorded Future News, le Royaume-Uni allège les mesures de sécurité prévues pour ses réseaux télécoms face à la campagne chinoise Salt Typhoon, après le lobbying des opérateurs sur les coûts. Sont abandonnés ou repoussés la détection d'intrusion indépendante sur la signalisation, le traitement de la signalisation entrante comme non fiable, et le redémarrage mensuel des équipements. La sécurisation des comptes de service glisse de fin 2028 à fin 2029. Le code allégé entre en vigueur mi-juillet sauf opposition du Parlement.🪟 Selon BleepingComputer, Microsoft corrige à son Patch Tuesday de juin trois zero-days divulgués par le chercheur Nightmare Eclipse. GreenPlasma et MiniPlasma, référencés CVE-2026-45586 et CVE-2020-17103, offrent un shell SYSTEM sur Windows pourtant à jour, via CTFMON et le Cloud Files Mini Filter Driver. YellowKey, référencé CVE-2026-45585, agit comme une backdoor dans WinRE et permet, avec accès physique, de contourner BitLocker sur Windows 11 et Server 2022/2025 non corrigés.🐛 Quelques heures après les correctifs, Nightmare Eclipse divulgue un nouveau zero-day Defender, RoguePlanet, ouvrant une invite SYSTEM. D'abord une exécution de code à distance via un fichier .vhd(x) sur partage SMB, la faille a été partiellement neutralisée par un correctif Defender de mi-mai. Le chercheur, déjà à l'origine de BlueHammer, CVE-2026-33825, et de RedSun désormais exploités, indique renoncer à la divulgation massive évoquée pour le 14 juillet.🚨 La CISA ajoute le 8 juin deux vulnérabilités activement exploitées à son catalogue KEV : CVE-2026-42271, une injection de commande dans BerriAI LiteLLM, et CVE-2026-50751, un défaut d'authentification dans Check Point Security Gateway. La directive BOD 22-01 impose leur remédiation aux agences fédérales américaines.📌 La CISA ajoute le 9 juin trois autres failles exploitées : CVE-2026-7473 dans Arista EOS, CVE-2026-11645 dans le moteur V8 de Google Chromium, et CVE-2026-20245 dans Cisco Catalyst SD-WAN Manager. Toutes relèvent de la BOD 22-01 pour les agences fédérales civiles.🛡️ Le CERT-FR publie l'avis CERTFR-2026-AVI-0725 sur de multiples vulnérabilités Fortinet permettant une exécution de code à distance et une atteinte à la confidentialité. Sont visés FortiOS, FortiProxy, FortiPortal et FortiSandbox, via les CVE-2025-67862, CVE-2026-25089 et CVE-2026-49938.🖥️ Le CERT-FR publie l'avis CERTFR-2026-AVI-0716 sur une élévation de privilèges dans FreeBSD, référencée CVE-2026-49413. Les branches 14, 14.3, 14.4, 15, 15.0 et 15.1 sont concernées, en deçà des révisions correctives du projet.🔐 Le CERT-FR publie l'avis CERTFR-2026-AVI-0717 sur de multiples vulnérabilités OpenSSL, dont des exécutions de code à distance et des dénis de service. Dix-sept CVE sont recensées, de CVE-2026-34180 à CVE-2026-34183 et CVE-2026-42764 à CVE-2026-42771, touchant les branches 1.0.x à 4.x.Sources :UK weakens proposed telecoms defenses against Chinese hackers after industry pushback — The Record (Recorded Future News) : https://therecord.media/uk-weakens-telecoms-defenses-after-industry-lobbyingMicrosoft patches YellowKey, GreenPlasma, MiniPlasma zero-days — BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-yellowkey-greenplasma-miniplasma-zero-days/RoguePlanet, nouveau zero-day Defender divulgué par Nightmare Eclipse — couverture BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-yellowkey-greenplasma-miniplasma-zero-days/CISA Adds Two Known Exploited Vulnerabilities to Catalog (08/06/2026) — CISA : https://www.cisa.gov/news-events/alerts/2026/06/08/cisa-adds-two-known-exploited-vulnerabilities-catalogCISA Adds Three Known Exploited Vulnerabilities to Catalog (09/06/2026) — CISA : https://www.cisa.gov/news-events/alerts/2026/06/09/cisa-adds-three-known-exploited-vulnerabilities-catalogCERTFR-2026-AVI-0725 Multiples vulnérabilités dans les produits Fortinet — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0725/CERTFR-2026-AVI-0716 Vulnérabilité dans FreeBSD — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0716/CERTFR-2026-AVI-0717 Multiples vulnérabilités dans OpenSSL — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0717/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com #CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #PatchTuesday #Microsoft #Windows #ZeroDay #YellowKey #GreenPlasma #MiniPlasma #CVE202645585 #CVE202645586 #CVE202017103 #BitLocker #WinRE #NightmareEclipse #RoguePlanet #Defender #CVE202633825 #CISA #KEV #BOD2201 #LiteLLM #CVE202642271 #CheckPoint #CVE202650751 #Arista #CVE20267473 #Chromium #V8 #CVE202611645 #Cisco #SDWAN #CVE202620245 #CERTFR #Fortinet #FortiOS #CVE202567862 #CVE202625089 #CVE202649938 #FreeBSD #CVE202649413 #OpenSSL #SaltTyphoon #Telecoms #NCSC #RadioCSIRT

🪟 Dans le cadre de son Patch Tuesday, Microsoft corrige la CVE-2026-41108, une élévation de privilèges dans le client DNS de Windows reposant sur un Heap-based Buffer Overflow. L'exploitation suppose de remporter une condition de concurrence, d'où une complexité jugée élevée, mais un succès donnerait des droits SYSTÈME. Le parc concerné s'étend de Windows 10 à Windows Server 2025.🎣 Selon la Lloyds Bank, les plateformes de Meta concentrent 68 % des signalements de fraude de ses clients britanniques. Le préjudice atteint 66 millions de livres par an, contre 27 millions en 2023. Fait notable, ce sont les utilisateurs de la fin de la vingtaine et du début de la trentaine qui déclarent le plus de cas, malgré leur aisance numérique supposée.🔓 Le CERT Santé alerte sur la CVE-2026-50751, déjà activement exploitée, dans les passerelles Check Point Security Gateway et Spark. Une faiblesse dans la validation des certificats IKEv1 laisse un attaquant distant non authentifié monter un tunnel VPN sans mot de passe valide. L'exploitation reste conditionnée à l'activation des clients legacy et d'IKEv1, sans certificat machine obligatoire.🇫🇷 La DINUM confirme une compromission de Tchap, la messagerie chiffrée de l'État bâtie sur Matrix. L'ANSSI a détecté l'intrusion via un compte utilisateur compromis, depuis bloqué, et la CNIL a été alertée. Un attaquant revendique l'accès au serveur du ministère de l'Éducation par ingénierie sociale et affirme avoir exfiltré 13,5 Go de documents et près de 650 000 messages.💾 Veeam corrige la CVE-2026-44963, notée 9.4, une exécution de code à distance dans Backup & Replication 12.x. Un simple utilisateur de domaine faiblement privilégié peut exécuter du code sur les serveurs de sauvegarde rattachés à un domaine Active Directory. La branche 13.x n'est pas concernée. Ce type d'infrastructure reste une cible prioritaire des groupes de Ransomware.🛡️ Ivanti publie un avis couvrant deux failles critiques dans Sentry. La CVE-2026-10520, notée au score maximal de 10, est une injection de commande système offrant une exécution de code root non authentifiée. Elle se double de la CVE-2026-10523, un contournement d'authentification permettant de créer des comptes administrateurs arbitraires. Les versions antérieures à R10.5.2, R10.6.2 et R10.7.1 sont concernées.📱 Apple dévoile iOS 27 à la WWDC et reconduit la liste des modèles compatibles avec iOS 26. Le suivi de l'iPhone 11, lancé en 2019, atteint ainsi sept ans, une longévité record pour la marque. Avec seulement 4 Go de RAM, l'appareil peine toutefois déjà sous iOS 26, et la majorité des fonctions d'Apple Intelligence reste réservée aux iPhone 15 Pro et ultérieurs.Sources :CVE-2026-41108 — MSRC : https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41108Scammers love Meta, according to Lloyds Bank — Malwarebytes : https://www.malwarebytes.com/blog/scams/2026/06/scammers-love-meta-according-to-lloyds-bankCheck Point - CVE-2026-50751 — CERT Santé : https://cyberveille.esante.gouv.fr/alertes/check-point-cve-2026-50751-2026-06-09French govt messaging service breached in account hijacking attack — BleepingComputer : https://www.bleepingcomputer.com/news/security/french-govt-messaging-service-breached-in-account-hijacking-attack/Critical Veeam RCE Flaw Lets Low-Privilege Users Take Over Backup Servers — Security Affairs : https://securityaffairs.com/193385/uncategorized/critical-veeam-rce-flaw-lets-low-privilege-users-take-over-backup-servers.htmlCVE-2026-10520 (Ivanti Sentry OS Command Injection) — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-10520CVE-2026-10523 (Ivanti Sentry Authentication Bypass) — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-10523Pourquoi Apple donne une leçon de support logiciel étendu avec iOS 27 — Clubic : https://www.clubic.com/actualite-616093-pourquoi-apple-donne-une-lecon-de-support-logiciel-etendu-avec-ios-27.html⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #PatchTuesday #Microsoft #WindowsDNS #CVE202641108 #ElevationOfPrivilege #Meta #Phishing #Fraud #LloydsBank #CheckPoint #CVE202650751 #VPN #IKEv1 #Tchap #DINUM #ANSSI #Matrix #DataBreach #Veeam #BackupReplication #CVE202644963 #RCE #Ransomware #Ivanti #Sentry #CVE202610520 #CVE202610523 #CommandInjection #AuthBypass #iOS27 #Apple #PatchManagement #RadioCSIRT

🤖 Une nouvelle variante du botnet Gafgyt, baptisée C0XMO, cible le Firmware des routeurs DD-WRT et se propage vers d'autres architectures. Selon Fortinet, l'infection repose sur la CVE-2021-27137, un buffer overflow exploitable sans authentification. Un script Python scanne Internet, brute-force les identifiants faibles et déploie le binaire adapté, avant de traquer et supprimer les botnets concurrents. C0XMO reste un outil de DDoS, supportant dix-neuf méthodes de flood.🔒 OpenAI déploie un Lockdown Mode dans ChatGPT pour réduire le risque d'exfiltration de données lié aux attaques de prompt injection. Selon The Hacker News, le mode ne bloque pas les injections elles-mêmes mais coupe les chemins de fuite, en limitant les requêtes réseau sortantes. Il désactive pour cela la navigation web en direct, le support des images, la recherche approfondie, le mode agent, l'accès réseau du Canvas et le téléchargement de fichiers.🛡️ Une faille de déni de service à distance touche le pare-feu de Comodo Internet Security. La CVE-2026-49494, notée 8,7, se loge dans le pilote Inspect.sys, dont l'analyseur IPv6 souffre d'un integer underflow. Comme le détaille VulnCheck, l'analyse intervenant avant le filtrage, un attaquant non authentifié peut provoquer un écran bleu sous Windows avec un seul paquet IPv6 forgé, même contre une machine tous ports fermés.Sources :C0XMO botnet spreads via DD-WRT router flaw, kills rival malware — BleepingComputer : https://www.bleepingcomputer.com/news/security/c0xmo-botnet-spreads-via-dd-wrt-router-flaw-kills-rival-malware/New ChatGPT Lockdown Mode Limits Tools That Could Enable Data Exfiltration — The Hacker News : https://thehackernews.com/2026/06/new-chatgpt-lockdown-mode-limits-tools.htmlCVE-2026-49494 - Comodo Internet Security Inspect.sys IPv6 Integer Underflow Remote Denial of Service — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-49494⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Botnet #Gafgyt #C0XMO #DDWRT #DDoS #CVE202127137 #Fortinet #OpenAI #ChatGPT #LockdownMode #PromptInjection #LLM #AI #Comodo #CVE202649494 #IPv6 #IntegerUnderflow #VulnCheck #Windows #BSOD #PatchManagement #RadioCSIRT

🎯 La CISA ajoute une nouvelle vulnérabilité activement exploitée à son catalogue KEV. La CVE-2026-28318 touche SolarWinds Serv-U et repose sur une faille d'Uncontrolled Resource Consumption, un vecteur régulièrement exploité pour épuiser les ressources des systèmes exposés.🌐 Le CERT-FR publie un correctif massif pour Google Chrome. Plusieurs centaines de CVE sont comblées d'un coup, de la CVE-2026-10881 à la CVE-2026-11309, sur l'un des plus gros bulletins jamais publiés sur le navigateur. Sont concernées les versions antérieures à 149.0.7827.53 sous Linux et Windows, et 149.0.7827.54 sous macOS.☎️ Nouvelle alerte du CERT-FR côté Cisco. La CVE-2026-20245 affecte Catalyst SD-WAN Manager dans toutes ses versions et permet une élévation de privilèges. Cisco confirme une exploitation active, exposant l'orchestrateur qui pilote l'ensemble du réseau SD-WAN.🔊 Un chercheur transforme une enceinte Sound Blaster Katana V2X en relais d'exécution de code à distance. Via le protocole propriétaire CTP, sans appairage ni signature de Firmware, il pousse un Firmware maison par Bluetooth et fait passer l'enceinte pour un clavier. Creative Technologies refuse de qualifier ce comportement de vulnérabilité.🔑 Faille critique notée en CVSS 10 dans UDS Identity Config. La CVE-2026-46389 vise l'authenticator client-kubernetes-secret de Keycloak : le client_secret soumis est écrasé par le secret monté avant comparaison, permettant de s'authentifier avec n'importe quelle valeur et de récupérer des tokens OAuth2. Le client uds-operator ouvre la voie à la compromission d'autres clients.Sources : CISA Adds One Known Exploited Vulnerability to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/06/05/cisa-adds-one-known-exploited-vulnerability-catalogMultiples vulnérabilités dans Google Chrome — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0692/Vulnérabilité dans Cisco Catalyst SD-WAN — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0699/How a USB-connected speaker can infect a PC without ever being touched — Ars Technica : https://arstechnica.com/security/2026/06/highly-reviewed-speaker-can-be-hacked-over-the-air-to-infect-connected-devices/CVE-2026-46389 - UDS Identity Config Client Authentication Bypass — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-46389⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #SolarWinds #ServU #CVE202628318 #GoogleChrome #CERTFR #Cisco #SDWAN #CVE202620245 #PrivilegeEscalation #SoundBlaster #Creative #Bluetooth #Firmware #HID #UDS #Keycloak #CVE202646389 #AuthenticationBypass #OAuth2 #Kubernetes #PatchManagement #RadioCSIRT

🐧 La CISA ajoute deux vulnérabilités activement exploitées à son catalogue KEV. La CVE-2022-0492 vise le noyau Linux via les cgroups : authentification incorrecte, élévation de privilèges et évasion de conteneurs à la clé. La CVE-2025-48595, elle, frappe l'Android Framework avec un Integer Overflow.🐬 La fondation OurSQL voit le jour pour porter l'écosystème MySQL. Structure 501(c)(6), indépendante et vendor-neutral, présidée par Vadim Tkachenko de Percona. Au menu : base de bugs publique, transparency log des correctifs et formations. Oracle n'en est pas membre.🦊 Le CERT-FR signale de multiples vulnérabilités dans Mozilla Firefox (avis AVI-0684). Toutes les versions antérieures à 151.0.3 sont concernées. Risque non spécifié par l'éditeur, deux CVE au compteur. On met à jour le navigateur.🩺 Un acteur sous le pseudo « Lagui » revendique le vol des données de 34 millions d'assurés via le DMP. Méthode annoncée : usurpation d'une e-CPS de médecin, puis énumération en modifiant un paramètre d'URL. Les chercheurs flairent un agrégat de fuites recyclées ; l'Assurance Maladie dément toute intrusion.🗂️ Stored XSS dans GLPI, référencée CVE-2026-5385. Un payload persistant se loge dans la base de connaissances, score CVSS 8,4. Correctif en version 11.0.7. D'après l'advisory Fluid Attacks.🤖 Des attaquants pro-iraniens détournent des comptes Instagram, dont ceux de l'Obama White House et de l'U.S. Space Force. L'astuce : pousser l'assistant IA de support de Meta à relier le compte à une nouvelle adresse, puis déclencher un reset. Les comptes protégés par MFA ont tenu.🎮 WeedHack, un Malware-as-a-Service ciblant Minecraft, infecte plus de 116 000 systèmes depuis janvier. Distribution par YouTube et SEO poisoning, infostealer gratuit, accès distant en premium dès 5 dollars. McAfee a tracé 3 820 fichiers JAR malveillants.📶 Acer corrige deux zero-day de sévérité maximale sur ses routeurs Wave 7. La CVE-2026-49200 expose des identifiants en clair sans authentification ; la CVE-2026-49201 repose sur une clé AES codée en dur ouvrant un backdoor persistant. Patch visé fin juin.🇬🇭 Le FIRST détaille le modèle ghanéen de CERT sectoriels, hébergés au sein des régulateurs pour s'appuyer sur leurs pouvoirs. Le secteur bancaire affiche 100 % de couverture via le FICSOC. Seuls les logs sont collectés, pas les données métier.🏴‍☠️ Opération KRATOS 2 : Europol et la Bulgarie frappent le streaming illégal. Bilan : 29 arrestations, neuf groupes criminels démantelés, plus de 27 000 URL retirées. Infrastructure éclatée sur plusieurs pays pour échapper à la détection.🪖 Aux États-Unis, une commission chiffre à 11 milliards de dollars la création d'une Cyber Force militaire dédiée, forte de 30 000 personnels. Première nouvelle branche depuis la Space Force de 2019. Travaux portés par le CSIS et la FDD.Sources :CISA Adds Two Known Exploited Vulnerabilities to Catalog — CISA : https://mail.google.com/mail/u/0/?ogbl#inbox/FMfcgzQgMChRndDxBfJTkBkrWvHzVjGbOurSQL Foundation Launches to Support MySQL Users, Developers, and Companies — OurSQL / GlobeNewswire : https://www.globenewswire.com/news-release/2026/05/27/3302305/0/en/oursql-foundation-launches-to-support-mysql-users-developers-and-companies.htmlMultiples vulnérabilités dans Mozilla Firefox — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0684/Fuite massive ou coup de bluff ? Un pirate revendique le vol des données médicales de 34 millions de Français — 01net : https://www.01net.com/actualites/fuite-massive-coup-bluff-pirate-revendique-vol-donnees-medicales-34-millions-francais-assurance-maladie-dement.htmlCVE-2026-5385 : GLPI Stored XSS in Knowledge Base — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-5385Hackers Used Meta's AI Support Bot to Seize Instagram Accounts — Krebs on Security : https://krebsonsecurity.com/2026/06/hackers-used-metas-ai-support-bot-to-seize-instagram-accounts/Malware Campaign Targeting Minecraft Users Infects Over 116,000 Systems — Help Net Security : https://www.helpnetsecurity.com/2026/06/03/weedhack-minecraft-malware-campaign/Acer Working to Patch Max Severity Zero-Days in Wave 7 Routers — BleepingComputer : https://www.bleepingcomputer.com/news/security/acer-warns-of-max-severity-zero-days-affecting-wave-7-routers/Sector CERTs and How To Build Them — FIRST : https://www.first.org/blog/20260525-Sector-CERTs-and-how-to-build-them29 Arrested as Law Enforcement Strikes Criminal Networks Behind Illegal Streaming — Europol : https://www.europol.europa.eu/media-press/newsroom/news/29-arrested-law-enforcement-strikes-criminal-networks-behind-illegal-streamingNew Cyber Force Would Cost Up to $11 Billion to Start, Commission Says — The Record : https://therecord.media/new-cyber-force-would-cost-11-billion-commission⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #LinuxKernel #CVE20220492 #Android #CVE202548595 #MySQL #OurSQL #OpenSource #CERTFR #Firefox #Mozilla #DMP #AssuranceMaladie #DataBreach #eCPS #GLPI #StoredXSS #CVE20265385 #Meta #Instagram #AISecurity #SocialEngineering #Minecraft #WeedHack #MaaS #Infostealer #Acer #Wave7 #ZeroDay #Router #FIRST #SectorCERT #Ghana #Europol #Kratos2 #IPTV #CyberForce #Pentagon #RadioCSIRT

🐝 Perplexity ouvre le code de Bumblebee, un scanner en lecture seule écrit en Go et sans dépendance. Sur les postes de développeurs macOS et Linux, il traque paquets, extensions et configs d'outils d'IA compromis, là où ni les scanners SBOM ni les EDR ne regardent. Windows non couvert au lancement.⚠️ La CISA ajoute la CVE-2026-48172 à son catalogue KEV : une élévation de privilèges dans le plugin LiteSpeed pour cPanel. N'importe quel compte cPanel peut exécuter des scripts arbitraires avec les droits root. Déjà activement exploitée.🔓 Rebelote le 29 mai : la CVE-2026-0257 entre au KEV. Contournement d'authentification dans PAN-OS de Palo Alto, permettant d'établir une connexion VPN non autorisée. Échéance de patch fédérale : 1er juin.📬 Le CERT-FR alerte sur de multiples vulnérabilités dans Roundcube (avis AVI-0644). Exécution de code à distance, injection SQL et SSRF au menu. Versions 1.6.x antérieures à 1.6.16 et 1.7.x antérieures à 1.7.1. On patche le webmail.🏗️ Le NCSC publie un guide de conception pour le ZTNA. Le constat qui pique : la plupart des déploiements échouent non par manque de fonctionnalités, mais parce qu'ils reconduisent la vieille hypothèse « position réseau = confiance ». Outils neufs, réflexes anciens.👻 Nightmare Eclipse remet une pièce contre Microsoft. Après le retrait de son dépôt public, le chercheur annonce « Bitskrieg » : une faille qui briserait les garanties de Secure Boot et contournerait entièrement BitLocker. Divulgation annoncée pour juin. Revendications non confirmées par l'éditeur.⚽ À l'approche de la Coupe du monde 2026, Group-IB démasque GHOST STADIUM : plus de 4 300 domaines clonant la FIFA au pixel près, avec le SSO PingIdentity détourné via de vrais identifiants clients. Fraude aux billets premium estimée entre 71 et 474 millions de dollars.📡 ShinyHunters publie les données de Charter Communications après un refus de rançon. L'acteur revendique plus de 42 millions d'enregistrements ; Have I Been Pwned en retient 4,9 millions d'adresses e-mail. Charter confirme l'incident mais dément toute exfiltration de données sensibles ou de CPNI.Sources : Perplexity Is Open-Sourcing Bumblebee — Perplexity : https://www.perplexity.ai/fr/hub/blog/perplexity-is-open-sourcing-bumblebee CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-48172) — CISA : https://www.cisa.gov/news-events/alerts/2026/05/26/cisa-adds-one-known-exploited-vulnerability-catalog CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-0257) — CISA : https://www.cisa.gov/news-events/alerts/2026/05/29/cisa-adds-one-known-exploited-vulnerability-catalog Multiples vulnérabilités dans Roundcube — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0644/ Designing secure access with ZTNA — NCSC : https://www.ncsc.gov.uk/blogs/designing-secure-access-with-ztna Announcing Bitskrieg / July 14th — Nightmare Eclipse : https://deadeclipse666.blogspot.com/2026/05/announcing-bitskrieg.html 300+ Fake Domains Used in GHOST STADIUM Campaign Targeting World Cup Fans — CyberPress : https://cyberpress.org/ghost-stadium-targets-fans/ ShinyHunters Leaks Charter Communications Data, Potentially Impacting 5 Million Customers — Security Affairs : https://securityaffairs.com/192907/uncategorized/shinyhunters-leaks-charter-communications-data-potentially-impacting-5-million-customers.html⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09 📩 Email : radiocsirt@gmail.com 🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com

Cisco a publié un correctif pour une vulnérabilité de sévérité maximale affectant Secure Workload, permettant à un attaquant distant non authentifié d'accéder à des données sensibles. Référencée CVE-2026-20223 et scorée 10.0 en CVSS, la faille provient d'une validation et d'une authentification insuffisantes lors de l'accès aux endpoints de l'API REST. En envoyant une requête API spécialement conçue à un endpoint vulnérable, un attaquant peut lire des informations sensibles et modifier des configurations au-delà des frontières entre tenants, avec les privilèges du compte Site Admin. La faille touche Cisco Secure Workload Cluster Software, en déploiement SaaS comme on-prem, indépendamment de la configuration, et aucun workaround n'est disponible. Les versions corrigées sont la 3.10.8.3 et la 4.0.3.17, les branches 3.9 et antérieures devant migrer vers une release corrigée. Cisco indique avoir découvert la faille lors de tests internes, sans exploitation observée à ce jour. La divulgation intervient une semaine après l'exploitation active de la CVE-2026-20182, un contournement d'authentification dans Catalyst SD-WAN Controller, attribuée au threat actor UAT-8616.Flipper Devices a officiellement dévoilé le Flipper One, un cyberdeck modulaire basé sur Linux, distinct du Flipper Zero et destiné aux opérations IP de niveau Layer 1 : networking, transfert de données et tâches de calcul intensives. Le matériel repose sur le SoC Rockchip RK3576, doté d'un CPU ARM 8 cœurs, d'un GPU Mali-G52, d'un NPU pour les charges IA locales et de 8 Go de RAM. Une architecture à co-processeur associe ce CPU à un microcontrôleur RP2350, qui maintient le contrôle bas niveau de l'affichage, des entrées et du boot même lorsque l'environnement Linux est hors ligne. La connectivité inclut deux ports Gigabit Ethernet, du Wi-Fi 6E supportant monitor mode et packet injection, et un slot M.2 acceptant modems 5G/LTE, modules SDR ou stockage NVMe. L'appareil fonctionne en toolkit réseau multi-interfaces avec jusqu'à cinq uplinks simultanés, autorisant le sniffing inline, l'analyse man-in-the-middle, le déploiement de VPN gateway et le multi-WAN. Il embarque Flipper OS, système Debian à profils, et l'interface FlipCTL. Flipper Devices collabore avec Collabora pour intégrer le support du RK3576 au kernel Linux mainline.On apprend que la CISA, l'agence américiane a mis en ligne le 21 mai 2026 un nouveau Nomination Form permettant aux chercheurs, éditeurs et partenaires industriels de signaler des Known Exploited Vulnerabilities. Ce dispositif vise à renforcer la capacité de la CISA à identifier, valider et diffuser rapidement les KEV. Le formulaire s'inscrit dans le prolongement de la Vulnerability Disclosure Policy Platform et du programme de Coordinated Vulnerability Disclosure de l'agence, qui encadrent la recherche de sécurité de bonne foi et la remédiation coordonnée. Chris Butera, Acting Executive Assistant Director for Cybersecurity, souligne que la détection précoce et la divulgation coordonnée figurent parmi les leviers les plus efficaces pour réduire le risque à grande échelle. Le catalogue KEV demeure la source de référence des vulnérabilités confirmées comme activement exploitées, assorties de consignes de remédiation. La soumission reste possible par e-mail à l'adresse vulnerability@cisa.dhs.gov, en complément du formulaire en ligne accessible depuis le portail KEV de la CISA.D'après une recherche du rnbo, organisme ukrainien de cybersécurité, des groupes russes étatiques et criminels exploitent de manière croissante les services RDP exposés et les VPN gateways vulnérables pour pénétrer discrètement les réseaux cibles, avant de revendre ou d'instrumentaliser cet accès à des fins d'espionnage et de Ransomware. Ces erreurs de configuration d'accès distant deviennent des points d'entrée à forte valeur, négociés par des Initial Access Brokers sur les forums underground russophones. Les chercheurs ont observé des botnets mobilisant plus de 100 000 adresses IP uniques pour mener timing attacks et énumération de logins contre les services RDP, rendant le blocage par IP inopérant. Les opérations combinent credential stuffing, brute-force et exploitation de vulnérabilités connues d'appliances VPN. Une fois l'endpoint compromis, les courtiers taguent les identifiants valides selon la taille, la géographie et les privilèges de la cible, puis les vendent aux affiliés Ransomware et APT. Contre les réseaux gouvernementaux et d'infrastructures critiques européens et ukrainiens, les groupes pro-russes chaînent Phishing, exploitation VPN et abus RDP post-compromission, déployant des familles comme X2 et LockBit 3.0 après plusieurs jours de Lateral Movement silencieux.Sources : Cisco Patches CVSS 10.0 Secure Workload REST API Flaw Enabling Data Access — The Hacker News : https://thehackernews.com/2026/05/cisco-patches-cvss-100-secure-workload.htmlFlipper Introduces Flipper One as a Modular Linux-Based Cyberdeck — GBHackers : https://gbhackers.com/flipper-introduces-flipper-one-as-a-modular-linux-based-cyberdeck/Flipper One: We Need Your Help — Flipper Devices : https://blog.flipper.net/flipper-one-we-need-your-help/CISA to allow researchers to report vulnerabilities for KEV — The Record : https://therecord.media/cisa-to-allow-researchers-to-report-vulnerabilities-kevCISA Enhances Known Exploited Vulnerabilities Catalog to Include New Nomination Form — CISA : https://www.cisa.gov/news-events/news/cisa-enhances-known-exploited-vulnerabilities-catalog-include-new-nomination-formRussian Hackers Exploit RDP and VPNs to Breach Target Networks — Cyber Press : https://cyberpress.org/russian-hackers-exploit-access/⚡️ On ne réfléchit pas, on patch !📞 Répondeur : 07 68 72 20 09📩 Email : radiocsirt@gmail.com🌐 Site : https://www.radiocsirt.org📰 Newsletter : https://radiocsirt.substack.com#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Cisco #SecureWorkload #CVE202620223 #CVSS10 #RESTAPI #UAT8616 #CatalystSDWAN #FlipperOne #FlipperDevices #Cyberdeck #Linux #RK3576 #SDR #WiFi6E #PacketInjection #FlipperOS #Collabora #CISA #KEV #NominationForm #CVD #VDP #RDP #VPN #InitialAccessBroker #Ransomware #LockBit #CredentialStuffing #BruteForce #LateralMovement #PatchManagement #RadioCSIRT