𝙸𝚗𝚏𝚘𝚜𝚎𝚌 𝚐𝚞𝚢 ⋆ Analyste en sécurité de l’information ⋆ 𝘗𝘦𝘳𝘪𝘮𝘦𝘵𝘦𝘳 𝘴𝘩𝘦𝘳𝘱𝘢 ⋆ ʙʟᴜᴇ ᴛᴇᴀᴍᴇʀ ⋆ ᴠᴇɪʟʟᴇᴜʀ ⋆ 𝐈𝐓 𝐢𝐧𝐜𝐢𝐝𝐞𝐧𝐭𝐬 𝐬𝐮𝐫𝐯𝐢𝐯𝐚𝐥𝐢𝐬𝐭 ⋆ 🆂🅸🆂🆄 / offensive resiliance ⋆ ᴄᴜʀɪᴏꜱɪᴛʏ ᴄᴜʟᴛɪꜱᴛ ⋆ melomaniac :metal_claw:⋆ [̲̅e]migrant👣 ⋆ he/him ⋆ restiamo umani 🇵🇸 ⋆ 𝘛𝘶𝘴𝘤𝘩𝘶𝘳 𝘳𝘪𝘨𝘰𝘭, 𝘴𝘤𝘩𝘢𝘮è 𝘵𝘳𝘢𝘷𝘢ï - 𝘞𝘦𝘭𝘴𝘩 𝘢𝘵𝘵𝘪𝘵𝘶𝘥𝘦 ⋆ 𝚄𝙽’𝚜 𝚎𝚕𝚎𝚟𝚊𝚝𝚘𝚛 𝚜𝚞𝚙𝚙𝚘𝚛𝚝𝚎𝚛 ⋆ AS Roma 🐺 ⋆ Servette FC 🦅 ⋆ 🏴☠️⋆☮⋆🏳️🌈⋆ 🇪🇺
- 191 Posts
- 60 Comments
1·14 hours agoArticle inspiré par ce rapport: Cybermenaces en Suisse: les fraudeurs utilisent toujours plus souvent les célébrités comme appâts
Fortinet vient de publier l’advisory qui va avec… ou celui qui manquait.
🩹 👇️
Faille critique de contournement d’authentification : un attaquant distant peut créer un compte administrateur et prendre le contrôle complet du WAF.
📌 Versions affectées (selon watchTowr) :
8.0 : versions antérieures à 8.0.2 7.6 : versions antérieures à 7.6.5 7.4 : versions antérieures à 7.4.10 7.2 : versions antérieures à 7.2.12 7.0 : versions antérieures à 7.0.12 6.4 : versions ≤ 6.4.3 6.3 : versions ≤ 6.3.23
🔧 Mitigation : ➡️ Il est recommandé d’utiliser une version corrigée (8.0.2+ / dernière version de votre branche). ➡️ Il est également préférable que l’interface d’admin ne soit pas exposée sur Internet, avec un accès limité à des IP de confiance et/ou via VPN.
Analyse technique & détection :
👇️
Outil de génération d’artefacts (détection/PoC défense) :
📜 👇️
https://github.com/watchtowrlabs/watchTowr-vs-Fortiweb-AuthBypass?tab=readme-ov-file
Contexte exploitation in the wild :
🔗 🐦️ 👇️
À la suite de l’opération Endgame, qui a démantelé une partie de l’infrastructure criminelle derrière plusieurs malwares, abuse.ch a partagéla liste des adresses IP liées aux serveurs de commande et contrôle (C2) du voleur d’informations Rhadamathis (Descriptif du malware & opération ici ➡️ https://www.cert.ssi.gouv.fr/cti/CERTFR-2025-CTI-011/) .
⬇️
Si vous retrouvez l’une de ces IP dans les logs de vos routeurs ou firewalls, il est fortement probable qu’un poste de votre réseau ait été compromis (et que probablement des informations ont pu être exfiltrées).
👇️
Recherche citée: When AI Agents Go Rogue: Agent Session Smuggling Attack in A2A Systems
Opération de police citée : https://www.operation-endgame.com/
Pour celles et ceux, sysadmins et non, qui cherchent une référence pratique pour évaluer rapidement les priorités lors des mises à jour du Patch Tuesday de Microsoft, le SANS publie régulièrement un excellent tableau d’évaluation des risques: https://isc.sans.edu/diary/32468
👍 Je suis d’accord. C’est clean, efficace. Parfait pour ceux qui cherchent **LE ** système vraiment axé sur la confidentialité et la sécurité sans fioritures mais agréable à utiliser, fluide et à jour.
Par contre, en regardant les retours d’expérience de potes et d’utilisateurs·trices qui ont tenté le switch, beaucoup trouvent ça trop extrême et un peu trop dépouillé niveau confort. On perd vite ces petits trucs auxquels on s’habitue dans la vie de tous les jours (genre Android Auto, etc.).
On voyait bien cette différence d’approche et d’attentes sur ce qu’on veut d’un OS lors du dernier petit “social drama” entre GrapheneOS VS /e/OS
Cellebrite est effectivement capable d’exploiter des failles (achetées à des prix astronomiques) sur **certaines ** versions d’OS et de mobiles mais pas tous. Après, en utilisant un OS, on peut faire plein de choses qui le rendent plus ou moins accessible aux regards indiscrets.
Plus prosaïquement, je pense que la phrase de l’article résume bien le fond du message du directeur de la DGSE :
Si la porte est fermée (ndr signal), alors il faut passer par la fenêtre.
Tout dépends donc de l’hygiène de nos fenêtres… et du choix et mise en place de la porte. 😁
sur le même sujet: Cybermenace : pourquoi l’Europe s’inquiète de la main invisible chinoise sur les bus électriques ?
“Trois pays européens ont déjà tiré la sonnette d’alarme au sujet des bus électriques de la marque Yutong utilisée largement pour les transports en commun en Europe. Le groupe chinois est soupçonné d’être capable d’arrêter à distance ces véhicules. De quoi nourrir les craintes de la dépendance aux technologies chinoises que Pékin pourrait utiliser dans le cadre d’un conflit hybride.”
Il s’agirait donc d’une attaque de type « CAN Injection » comme documenté par Ian Tabor en 2022 sur sa Toyota
👇️
https://kentindell.github.io/2023/04/03/can-injection/
et la vuln qui va avec
👇️
https://cve.circl.lu/vuln/CVE-2023-29389
Des malfaiteurs se servent d’un module caché (discrètement intégré dans une enceinte Bluetooth pour la « déniabilité ») pour se brancher physiquement sur le bus CAN du véhicule et injecter de faux messages « clé valide ». Résultat : la voiture se déverrouille et démarre sans la clé codée.
Sur le même sujet: Orange, SFR, SNCF, Auchan… Une gigantesque fuite de données toucherait 3600 organisations françaises