TheNote
RSS SANS Centre de gestion des... Note
GooglePlay AppStore

RSS SANS Centre de gestion des tempêtes Internet, InfoCON: vert

Le site web 'isc.sans.edu' fait partie de l'Institut SANS, l'une des institutions les plus fiables pour la formation et la certification en matière de sécurité des systèmes d'information. Il est principalement centré sur l'information et propose diverses ressources dans le domaine de la sécurité des systèmes d'information. La page d'accueil de 'isc.sans.edu' fournit des mises à jour en temps réel sur les menaces et les vulnérabilités cyber, provenant du Centre de gestion des tempêtes Internet de SANS. Cela est affiché sous la forme d'un tableau de bord avec les dernières mises à jour, un graphique de niveau de menace et un tableau de scores. Ils proposent un projet de diagnostic, qui comprend des signatures de malware, des flux de menaces et des ensembles de règles pour une analyse de sécurité des systèmes d'information complète. De plus, le site 'isc.sans.edu' offre également une éducation et une formation pour les professionnels de la sécurité des systèmes d'information, ainsi qu'un forum pour discuter des sujets liés à la sécurité des systèmes d'information. Les principales sections du site comprennent: 1. InfoStorms: Il suit et rapporte les tempêtes, ainsi que des étapes pour atténuer les menaces immédiates. 2. Menaces: Cette catégorie comprend les menaces cyber actuelles au niveau mondial. 3. Outils gratuits: Pour tester et évaluer les systèmes contre les menaces cyber, il y a plusieurs outils gratuits disponibles sur le site. 4. Éducation: Ils ont une variété de cours de formation en sécurité des systèmes d'information à choisir. 5. Vulnérabilités: Cette section révèle des informations sur les vulnérabilités passées et guide sur la manière de les atténuer.
RSS isc.sans.edu
SANS Internet Storm Center, InfoCON: green isc.sans.edu
RSS Hunter RSS Hunter 22 août 2024

Fil de notes

Exfiltration d'images du presse-papiers dans un infostealer Python, (mercredi 15 octobre)

Pendant un certain temps, le contenu du presse-papiers a été surveillé par de nombreux voleurs d'informations. Les objectifs peuvent être multiples, comme la simple recherche et l'exfiltration de données juteuses ou la modification à la volée comme le remplacement de portefeuilles cryptographiques&#;x26;#;x5b;1&#;x26;#;x5d;. Notez que le presse-papiers est un risque majeur lorsque vous ne désactivez pas le partage du presse-papiers entre vos machines virtuelles et vos hôtes. Un malware fonctionnant dans un bac à sable accédera à votre presse-papiers (hôte) sans problème !
Clipboard Pictures Exfiltration in Python Infostealer, (Wed, Oct 15th) isc.sans.edu
CdXz5zHNQW_8zoklDzWUv.png
RSS Hunter RSS Hunter 15 oct. 2025

Microsoft Patch Tuesday Octobre 2025, (Mar, 14 Oct)

J'expérimente aujourd'hui avec un aperçu des correctifs un peu nettoyé. J'ai supprimé les vulnérabilités qui affectent les systèmes cloud de Microsoft (mais j'apprécie que Microsoft les ait toutes répertoriées), ainsi que les vulnérabilités des logiciels tiers comme les bibliothèques open source. Cela devrait nous laisser avec les vulnérabilités spécifiques à Microsoft sur site. Ce mois-ci, cela laisse 157 vulnérabilités différentes. Huit des vulnérabilités sont classées comme critiques.
Microsoft Patch Tuesday October 2025, (Tue, Oct 14th) isc.sans.edu
RSS Hunter RSS Hunter 14 oct. 2025

Alerte : Scans pour ESAFENET CDG V5, (lun, 13 octobre)

En janvier, une possible vulnérabilité XSS a été découverte dans le système de gestion de la sécurité des documents électroniques ESAFENET CDG. Il s'agissait de la dernière (à ma connaissance) d'une longue liste de vulnérabilités dans le produit. Les vulnérabilités précédentes comprenaient des problèmes d'injection SQL et des faiblesses dans le cryptage utilisé pour protéger les documents. En d'autres termes : un système de gestion de documents "sécurisé" typique. Le produit semble cibler le marché chinois, et avec un site web entièrement en chinois, je doute qu'il soit beaucoup utilisé, voire pas du tout, en dehors de la Chine.
Heads Up: Scans for ESAFENET CDG V5 , (Mon, Oct 13th) isc.sans.edu
RSS Hunter RSS Hunter 13 oct. 2025

Malware Python polymorphe, (mercredi 8 octobre)

Aujourd'hui, j'ai repéré sur VirusTotal un RAT Python intéressant. Il y en a des tonnes, mais celui-ci a attiré mon attention en raison de certains noms de fonctions présents dans le code : self_modifying_wrapper(), decrypt_and_execute() et polymorph_code(). Un malware polymorphe est un type de malware qui a été développé pour muter à plusieurs reprises son apparence ou ses fichiers de signature à chaque exécution. Le fichier a obtenu un très faible score de 2/64 sur VT ! (SHA256:7173e20e7ec217f6a1591f1fc9be6d0a4496d78615cc5ccdf7b9a3a37e3ecc3c).
Polymorphic Python Malware, (Wed, Oct 8th) isc.sans.edu
RSS Hunter RSS Hunter 8 oct. 2025

Exploit contre FreePBX (CVE-2025-57819) avec exécution de code. (Mar, 7 oct.)

FreePBX est un système PBX populaire construit autour du système VoIP open source Asterisk. Pour gérer Asterisk plus facilement, il fournit une interface d'administration performante basée sur le web. Malheureusement, comme beaucoup d'applications web, il a eu son lot de vulnérabilités par le passé. Plus récemment, une vulnérabilité d'injection SQL a été découverte, permettant aux attaquants de modifier la base de données.
Exploit Against FreePBX (CVE-2025-57819) with code execution., (Tue, Oct 7th) isc.sans.edu
RSS Hunter RSS Hunter 7 oct. 2025

Analyse rapide et sommaire d'un possible script d'exploitation d'Oracle E-Business Suite (CVE-2025-61882), (Lun, 6 oct.)

Ce week-end, Oracle a publié un bulletin de sécurité surprise annonçant une vulnérabilité exploitée dans Oracle E-Business Suite. Dans le cadre de cette annonce, qui comprenait également un correctif, Oracle a publié des IoC observés dans le cadre de la réponse à l'incident [1].
Quick and Dirty Analysis of Possible Oracle E-Business Suite Exploit Script (CVE-2025-61882), (Mon, Oct 6th) isc.sans.edu
RSS Hunter RSS Hunter 6 oct. 2025

Plus de numérisations .well-known, (jeu, 2 oct.)

J'ai déjà écrit à quelques reprises sur le répertoire « .well-known ». Récemment, sur des attaquants cachant des webshells [1], et avant cela, sur le but du répertoire et pourquoi vous devriez configurer un fichier « /.well-known/security.txt ». Mais j'ai remarqué autre chose en consultant les journaux d'aujourd'hui sur ce serveur web. Parfois, vous n'avez pas besoin d'un honeypot. Certains attaquants sont suffisamment bruyants pour être facilement visibles sur un serveur web très fréquenté. Cette fois, l'attaquant a ciblé diverses URL à l'intérieur du répertoire « .well-known ». Voici un échantillon des plus de 100 URL ciblées :
More .well-known Scans, (Thu, Oct 2nd) isc.sans.edu
CdXz5zHNQW_Vw7FldX3XN.png
RSS Hunter RSS Hunter 2 oct. 2025

« «utilisateur=admin ». Parfois, vous n'avez même pas besoin de vous connecter », (mar. 30 sept.)

L'une des blagues courantes en matière de sécurité de l'information est que parfois, il n'est pas nécessaire de "pirater" une application, mais il suffit de se connecter. C'est souvent le cas des mots de passe par défaut faibles, qui sont courants dans les appareils IoT. Cependant, une méthode encore plus simple consiste à dire à l'application qui vous êtes. Cela ne nécessite même pas de mot de passe ! L'une des vulnérabilités récurrentes et regrettables est un cookie HTTP qui contient le nom d'utilisateur ou l'identifiant de l'utilisateur.
"user=admin". Sometimes you don't even need to log in., (Tue, Sep 30th) isc.sans.edu
RSS Hunter RSS Hunter 30 sept. 2025

Apple corrige une seule vulnérabilité CVE-2025-43400, (lun, 29 sept.)

Il est typique qu'Apple publie une mise à jour ".0.1" peu de temps après la sortie d'un nouveau système d'exploitation majeur. Ces mises à jour corrigent généralement divers problèmes fonctionnels, mais cette fois, elles corrigent également une vulnérabilité de sécurité. La vulnérabilité de sécurité affecte non seulement les versions "26" d'iOS et de macOS, mais aussi les versions plus anciennes. Apple a publié des correctifs pour iOS 18 et 26, ainsi que pour macOS jusqu'à Sonoma (14). Apple a également publié des mises à jour pour WatchOS et tvOS, mais ces mises à jour ne traitent aucun problème de sécurité. Pour visionOS, des mises à jour n'ont été publiées que pour visionOS 26.
Apple Patches Single Vulnerability CVE-2025-43400, (Mon, Sep 29th) isc.sans.edu
RSS Hunter RSS Hunter 29 sept. 2025

Augmentation des analyses pour la vulnérabilité Palo Alto Global Protect (CVE-2024-3400), (lun, 29 sept.)

Nous sommes tous conscients de l'état déplorable des appareils de sécurité, quel que soit leur prix. Très souvent, nous constatons une augmentation des attaques contre certaines de ces vulnérabilités, tentant de rattraper les systèmes manqués lors des vagues d'exploitation précédentes. Actuellement, une source en particulier, %%ip:141.98.82.26%%, cherche à exploiter les systèmes vulnérables à la CVE-2024-3400. L'exploit est assez simple. Palo Alto n'a jamais jugé nécessaire de valider l'identifiant de session. Au lieu de cela, ils utilisent l'identifiant de session "tel quel" pour créer un fichier de session. L'exploit est bien expliqué par watchTowr [1].
Increase in Scans for Palo Alto Global Protect Vulnerability (CVE-2024-3400), (Mon, Sep 29th) isc.sans.edu
RSS Hunter RSS Hunter 29 sept. 2025

Nouvel outil : convert-ts-bash-history.py, (ven. 26 sept.)

Dans le cours SANS FOR577 [1], nous parlons des chronologies le jour 5, à la fois du système de fichiers et des super-chronologies. Mais parfois, je veux quelque chose de rapide et sale, et plutôt que de lancer plaso, juste pour créer une chronologie des données .bash_history, il est agréable de pouvoir simplement les analyser et, si les horodatages sont activés, de les voir sous une forme lisible par l'homme. J'ai eu des étudiants en classe qui ont écrit des scripts pour faire cela et j'en ai même eu un qui a promis de le partager avec moi après le cours, mais je ne l'ai jamais reçu, alors j'ai décidé d'écrire le mien. Ce script prend le chemin d'un ou plusieurs fichiers .bash_history et renvoie une liste PSV (valeurs séparées par des pipes) (sur stdout) sous la forme : || où le est au format ISO-8601 (le seul vrai format de date et d'heure, mais seulement à 1 seconde de résolution car c'est le mieux que le fichier .bash_history puisse nous donner). Dans une future version, j'offrirai probablement une option pour passer de PSV à CSV.
New tool: convert-ts-bash-history.py, (Fri, Sep 26th) isc.sans.edu
CdXz5zHNQW_8h279JHBZh.png
RSS Hunter RSS Hunter 26 sept. 2025

Recherche d'aide : De quoi s'agit-il avec ces demandes étranges ? (Dimanche 21 septembre)

En regardant les données de notre honeypot web, je suis tombé sur un nouvel en-tête de requête étrange que je n'avais jamais vu auparavant : "X-Forwarded-App". Ma première supposition était qu'il s'agissait d'un autre problème avec une chaîne de serveurs proxy divulguant des secrets lorsqu'une "App" particulière s'y connectait. Je me suis donc plongé un peu plus profondément et j'ai trouvé des requêtes comme celle-ci :
Help Wanted: What are these odd reuqests about?, (Sun, Sep 21st) isc.sans.edu
RSS Hunter RSS Hunter 21 sept. 2025

CTRL-Z DLL Hooking, (mer. 17 sept.)

Lorsque vous déboguez un échantillon de logiciel malveillant, vous l'exécutez probablement dans un débogueur et définissez des points d'arrêt. L'idée est de prendre le contrôle du programme avant qu'il n'effectue des actions « intéressantes ». Habituellement, nous définissons des points d'arrêt sur les appels d'API de gestion de la mémoire (comme VirtualAlloc()) ou sur les activités de processus (comme CreateProcess(), CreateRemoteThread(), ...).
Hacker & Security News on Bluesky @hacker.at.thenote.app bsky.app
RSS Hunter RSS Hunter 17 sept. 2025

Pourquoi vous avez besoin d'une authentification résistante au phishing MAINTENANT. (Mar, 16 sept.)

La récente (et toujours en cours) attaque de phishing des comptes de développeurs NPM a montré une fois de plus que même les utilisateurs techniquement sophistiqués et avertis tombent dans les pièges de phishing. N'importe qui tombera dans le phishing si un e-mail bien ciblé est utilisé.
Hacker & Security News on Bluesky @hacker.at.thenote.app bsky.app
RSS Hunter RSS Hunter 16 sept. 2025

Apple met à jour tout - Édition iOS/macOS 26, (lun, 15 septembre)

Aujourd'hui, comme prévu, Apple a publié iOS/iPadOS/macOS/watchOS/tvOS 26. Dorénavant, Apple adoptera le même numéro d'OS pour ses différentes offres, ce qui nous prépare à un problème potentiel en l'an 2100. Notamment, VisionOS n'a pas été mis à jour.
Hacker & Security News on Bluesky @hacker.at.thenote.app bsky.app
RSS Hunter RSS Hunter 15 sept. 2025

Recherches Web pour les archives, (Dimanche 14 septembre)

Johannes a écrit une entrée de journal intitulée "Augmentation des recherches de fichiers ZIP" dans laquelle il a analysé l'augmentation des requêtes pour les fichiers ZIP (comme backup.zip, web.zip, ...) pour nos honeypots web.
Hacker & Security News on Bluesky @hacker.at.thenote.app bsky.app
RSS Hunter RSS Hunter 14 sept. 2025

Mises à jour Docker DShield SIEM, (mer, 10 sept)

Depuis la dernière mise à jour [5], au cours des derniers mois, j'ai ajouté plusieurs améliorations à la collecte de données des capteurs SIEM et webhoneypot de DShield, notamment une mise à jour de l'interface pour faciliter l'analyse des capteurs DShield. J'ai mis à jour le tableau de bord principal pour que tous les principaux outils d'analyse soient listés à gauche pour un accès rapide à tous les sous-tableaux de bord.
Hacker & Security News on Bluesky @hacker.at.thenote.app bsky.app
CdXz5zHNQW_Io4pZ5YBU9.png
RSS Hunter RSS Hunter 11 sept. 2025

Les cookies nous aident à fournir nos services. En utilisant nos services ou en cliquant sur J'accepte, vous acceptez notre utilisation des cookies .