⚡ Weekly Recap: Double-Tap Skimmers, PromptSpy AI, 30Tbps DDoS, Docker Malware & More

Risques de Sécurité Saisonniers : Un Aperçu des Dernières Menaces et Vulnérabilités

Cette semaine, le paysage de la cybersécurité révèle une série de menaces diverses, allant de l’exploitation de vulnérabilités critiques à l’émergence de nouveaux types de logiciels malveillants. Les problèmes familiers de la sécurité des systèmes persistent, affectant les appareils, les services cloud et les applications quotidiennes, transformant parfois des outils censés améliorer la sécurité en vecteurs d’attaque.

Points Clés et Vulnérabilités :

• Exploitation Zero-Day de Dell RecoverPoint: Une vulnérabilité critique dans Dell RecoverPoint for Virtual Machines (CVE-2026-22769, CVSS 10.0) a été exploitée en tant que zero-day. Elle concerne des identifiants codés en dur permettant une exécution de commandes à distance, le déploiement d’une porte dérobée (backdoor) et de nouvelles variantes comme GRIMBOLT.
• PromptSpy et l’IA sur Android: PromptSpy est un nouveau malware Android qui exploite Google Gemini pour maintenir sa persistance en analysant l’écran et en manipulant la liste des applications récentes via les services d’accessibilité. La campagne semble cibler l’Argentine.
• Keenadu : Malware Pré-installé Android: Ce malware profondément intégré dans le firmware d’appareils Android permet la récolte de données et le contrôle à distance. Il s’active sous conditions spécifiques (langues, fuseaux horaires, absence du Play Store) et peut infecter d’autres applications, offrant des privilèges élevés. Son élimination par les méthodes conventionnelles est difficile.
• Remise en Question de la “Zero Knowledge” des Gestionnaires de Mots de Passe: Une étude révèle que les affirmations de “zero knowledge” de Bitwarden, Dashlane et LastPass sont remises en question, notamment lors des procédures de récupération de compte ou du partage de coffres-forts. Des attaques, particulièrement contre Bitwarden et LastPass, pourraient permettre à un attaquant d’accéder ou de modifier le contenu des coffres-forts.
• Utilisation d’Outils de Criminalistique Numérique: Des cas d’utilisation d’outils comme celui de Cellebrite par les autorités kényanes pour accéder à des téléphones et le spyware Predator d’Intellexa ciblant un journaliste angolais soulignent les risques liés à la diffusion et à l’utilisation de ces technologies.
• Attaques par DDoS et Exploitation de Registres d’Images: Les attaques par déni de service distribué (DDoS) ont connu une augmentation significative, atteignant des pics de près de 30 Tbps. De plus, plus de 2 500 images malveillantes ont été identifiées sur Docker Hub, contenant souvent des cryptomineurs ou d’autres types de malware.
• Exploitation de Vulnerabilités sur des Plateformes Courantes:
  • Notepad++: CVE-2026-25926
  • Microsoft Windows Admin Center: CVE-2026-26119
  • Grandstream GXP1600 series: CVE-2026-2329
  • Live Server (VS Code Extension): CVE-2025-65717
  • WPvivid Backup plugin (WordPress): CVE-2026-1357
  • W3 Total Cache plugin (WordPress): CVE-2025-9501
• Autres Vulnérabilités Notables: Un large éventail de vulnérabilités ont été identifiées dans des logiciels et systèmes variés, notamment Airleader Master (CVE-2026-1358), FileZen (CVE-2026-25108), ZLAN (CVE-2026-25084, CVE-2026-24789), Nanobot (CVE-2026-2577), Apache NiFi (CVE-2026-25903), @langchain/community (CVE-2026-26019), Honeywell CCTV (CVE-2026-1670), Hitachi Energy SuprOS (CVE-2025-7740), better-auth (CVE-2025-61928), Splunk Enterprise for Windows (CVE-2026-20140), @sveltejs/adapter-vercel (CVE-2026-27118), Jenkins (CVE-2026-27099, CVE-2026-27100), Apache Tomcat (CVE-2026-24733), Google Chrome (CVE-2026-2648, CVE-2026-2649, CVE-2026-2650), Windows Fundamentals (CVE-2025-29969), Zenitel (CVE-2025-64127, CVE-2025-64128, CVE-2025-64129, CVE-2025-64130), TRUfusion Enterprise (CVE-2025-32355, CVE-2025-59793), ESET Management Agent for Windows (CVE-2025-13818), ZYXEL ATP/USG series (CVE-2025-11730), ComfyUI (CVE-2025-67303), et des vulnérabilités dans le framework Novarain/Tassos pour Joomla! (lecture/suppression de fichiers non authentifiées, injection SQL).

Recommandations et Tendances :

• Patch Management Dynamique: L’approche traditionnelle du “patching à tout prix” est remise en question. Il est crucial de baser les décisions de mise à jour non seulement sur les scores CVSS, mais aussi sur le contexte organisationnel, l’impact économique potentiel et la probabilité d’être ciblé.
• Vigilance face aux Outils Légitimes : Des outils comme les gestionnaires de mots de passe, les applications météo et les protocoles industriels (LonTalk) peuvent présenter des risques cachés. Une surveillance constante et une compréhension approfondie de leur fonctionnement sont nécessaires.
• Intelligence Artificielle et Risques Connexes: L’IA est utilisée à la fois pour la défense (PromptSpy) et l’attaque. La sécurité des agents IA et la protection contre les techniques d’ingénierie sociale sophistiquées sont primordiales.
• Gestion des Registres d’Images et des Dépendances: L’utilisation d’images de conteneurs publiques comme celles sur Docker Hub présente des risques significatifs. Une évaluation de confiance est nécessaire avant leur intégration dans les flux opérationnels.
• Protection contre le Phishing et le Social Engineering: De nombreuses campagnes exploitent des thèmes locaux et des techniques d’ingénierie sociale pour livrer des malwares (Winos 4.0, XWorm, njRAT, Prometei). La sensibilisation et la détection des emails suspects sont essentielles.
• Sécurité des Systèmes Industriels (ICS) : Le nombre d’avis de sécurité pour les systèmes ICS continue d’augmenter, avec une majorité de vulnérabilités jugées critiques.
• Outils de Sécurité : Des outils comme Gixy Next pour l’analyse de configurations NGINX et The-One-WSL-BOF pour interagir avec WSL depuis Cobalt Strike sont disponibles pour la recherche et l’audit.

Source