Ep.620 - RadioCSIRT Édition Française - flash info cybersécurité du dimanche 5 avril 2026
Cisco Talos documente une campagne automatisée à grande échelle exploitant React2Shell (CVE-2025-55182) dans les applications Next.js via le framework NEXUS Listener, permettant l'extraction centralisée de tokens cloud, credentials de bases de données et clés SSH depuis des centaines d'hôtes compromis.
Deux kits de Phishing sophistiqués usurpant Coca-Cola et Ferrari ciblent les chercheurs d'emploi : le kit Coca-Cola réalise un bypass MFA en temps réel via une architecture Adversary-in-the-Middle, ciblant exclusivement les comptes Google Workspace. Le kit Ferrari harvest des credentials Facebook via une fausse page OAuth.
McAfee documente le ghost student scam : des identités volées via data breach sont utilisées pour inscrire frauduleusement des victimes dans des établissements universitaires américains, générant des dettes fiscalement recouvrables à leur nom.
La FCC propose une amende de 4,5 millions de dollars contre l'opérateur Voxbeam Telecommunications pour avoir acheminé des dizaines de milliers de robocalls frauduleux usurpant Bank of America et Chase Bank, depuis le prestataire tchèque Axfone, absent de la Robocall Mitigation Database.
Unit 42 publie une chaîne d'attaque complète contre les architectures multi-agents Amazon Bedrock, exploitant le Prompt Injection pour détecter le mode d'orchestration, découvrir les agents collaborateurs, extraire les instructions système et détourner des outils via des inputs malveillants.
Trois alertes du CERT Santé : CVE-2026-35535, élévation de privilèges root dans sudo via exec_mailer() ; CVE-2026-3300, exécution de code PHP arbitraire sans authentification dans le plugin WordPress Everest Forms Pro ; CVE-2026-34982, contournement du sandbox de Vim permettant l'exécution de commandes OS à l'ouverture d'un fichier forgé.
Sources :
-
https://blog.talosintelligence.com/the-democratisation-of-business-email-compromise-fraud/
-
https://www.malwarebytes.com/blog/threat-intel/2026/04/that-dream-job-offer-from-coca-cola-or-ferrari-its-a-trap-for-your-passwords
-
https://www.mcafee.com/blogs/tips-tricks/ghost-student-scam-tax-refund-identity-theft/
-
https://therecord.media/fcc-proposes-5-million-fine-robocall
-
https://unit42.paloaltonetworks.com/amazon-bedrock-multiagent-applications/
-
https://cyberveille.esante.gouv.fr/alertes/sudo-cve-2026-35535-2026-04-03
-
https://cyberveille.esante.gouv.fr/alertes/wordpress-cve-2026-3300-2026-04-02
-
https://cyberveille.esante.gouv.fr/alertes/vim-cve-2026-34982-2026-04-02
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
Cisco Talos documente une campagne automatisée à grande échelle exploitant React2Shell (CVE-2025-55182) dans les applications Next.js via le framework NEXUS Listener, permettant l'extraction centralisée de tokens cloud, credentials de bases de données et clés SSH depuis des centaines d'hôtes compromis.
Deux kits de Phishing sophistiqués usurpant Coca-Cola et Ferrari ciblent les chercheurs d'emploi : le kit Coca-Cola réalise un bypass MFA en temps réel via une architecture Adversary-in-the-Middle, ciblant exclusivement les comptes Google Workspace. Le kit Ferrari harvest des credentials Facebook via une fausse page OAuth.
McAfee documente le ghost student scam : des identités volées via data breach sont utilisées pour inscrire frauduleusement des victimes dans des établissements universitaires américains, générant des dettes fiscalement recouvrables à leur nom.
La FCC propose une amende de 4,5 millions de dollars contre l'opérateur Voxbeam Telecommunications pour avoir acheminé des dizaines de milliers de robocalls frauduleux usurpant Bank of America et Chase Bank, depuis le prestataire tchèque Axfone, absent de la Robocall Mitigation Database.
Unit 42 publie une chaîne d'attaque complète contre les architectures multi-agents Amazon Bedrock, exploitant le Prompt Injection pour détecter le mode d'orchestration, découvrir les agents collaborateurs, extraire les instructions système et détourner des outils via des inputs malveillants.
Trois alertes du CERT Santé : CVE-2026-35535, élévation de privilèges root dans sudo via exec_mailer() ; CVE-2026-3300, exécution de code PHP arbitraire sans authentification dans le plugin WordPress Everest Forms Pro ; CVE-2026-34982, contournement du sandbox de Vim permettant l'exécution de commandes OS à l'ouverture d'un fichier forgé.
Sources :
- https://blog.talosintelligence.com/the-democratisation-of-business-email-compromise-fraud/
- https://www.malwarebytes.com/blog/threat-intel/2026/04/that-dream-job-offer-from-coca-cola-or-ferrari-its-a-trap-for-your-passwords
- https://www.mcafee.com/blogs/tips-tricks/ghost-student-scam-tax-refund-identity-theft/
- https://therecord.media/fcc-proposes-5-million-fine-robocall
- https://unit42.paloaltonetworks.com/amazon-bedrock-multiagent-applications/
- https://cyberveille.esante.gouv.fr/alertes/sudo-cve-2026-35535-2026-04-03
- https://cyberveille.esante.gouv.fr/alertes/wordpress-cve-2026-3300-2026-04-02
- https://cyberveille.esante.gouv.fr/alertes/vim-cve-2026-34982-2026-04-02
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.