Les pare-feu Fortinet FortiGate, déployés dans des milliers d’entreprises et d’administrations à travers le monde, sont actuellement la cible d’une vaste campagne de cyberattaques automatisées. Ce qui inquiète particulièrement l’écosystème cyber : des correctifs avaient déjà été publiés pour contrer ce type d’attaques.
Les pare-feu Fortinet FortiGate, déployés dans des milliers d’entreprises et d’administrations à travers le monde, sont actuellement la cible d’une vaste campagne de cyberattaques automatisées. Ce qui inquiète particulièrement l’écosystème cyber : des correctifs avaient déjà été publiés pour contrer ce type d’attaques.
Si vous faites partie des curieux qui testent WinBoat (le projet open source de TibixDev pour lancer des applis Windows sous Linux via Docker), sachez qu'une vulnérabilité critique a été identifiée dans l'outil, et le scénario d'attaque est plutôt créatif.
Pour ceux qui ne connaissent pas, WinBoat est une appli Electron qui orchestre tout un petit monde (Docker / Podman, FreeRDP) pour rendre l'expérience Windows "seamless" sur votre bureau Linux. C'est ambitieux, c'est en beta, et forcément, il y a parfois des trous dans la raquette.
D'après le
write-up technique publié sur hack.do
, le problème venait de l'API locale exposée par WinBoat sur le port 7148. Cette API HTTP n'était pas authentifiée, ce qui est souvent le début des ennuis.
Le scénario décrit par le chercheur est le suivant : un attaquant héberge une page web malveillante et si vous visitez cette page avec votre navigateur (et sous réserve que les sécurités CORS/PNA ne bloquent pas la requête, ce qui dépend de votre config et du navigateur), elle peut envoyer des ordres à cette API locale localhost:7148.
L'API vulnérable (notamment le endpoint /update) permettrait alors de remplacer des composants internes du système invité. En gros, l'attaquant pourrait substituer le binaire guest_server légitime par une version malveillante.
Une fois que l'attaquant a compromis le conteneur Windows, il ne s'arrête pas là. Le chercheur explique que WinBoat permet au conteneur de communiquer des "entrées d'application" à l'hôte Linux. Si le conteneur compromis envoie un chemin forgé spécifiquement et que l'hôte tente de le lancer... c'est l'exécution de code arbitraire (RCE) sur votre machine Linux.
C'est un rappel assez violent que l'isolation, c'est compliqué à faire correctement, surtout quand on veut une intégration transparente entre deux systèmes.
La bonne nouvelle, c'est que le problème a été traité. La faille concernait les versions jusqu'à la v0.8.7. La version v0.9.0 introduit une authentification obligatoire pour cette API locale, avec un mot de passe aléatoire généré au lancement, ce qui coupe l'herbe sous le pied de ce type d'attaque web.
Si vous utilisez WinBoat, la mise à jour est donc plus que recommandée et si le sujet de l'isolation vous intéresse, jetez un œil à mon tuto sur l'installation de WSL 2 ou encore à cette autre faille RCE critique qui a secoué le monde Linux récemment.
Bref, prudence avec les outils en beta qui exposent des ports locaux !
Les entreprises se concentrent souvent sur les correctifs CVE en se basant uniquement sur les scores CVSS, et ne traitent immédiatement que les vulnérabilités « critiques » (9,0+). Cependant, la CVE-2025-62507 présente un risque important en raison de son ciblage d’infrastructures stratégiques à un risque élevé, avec une exploitation d’une simplicité déconcertante. Tribune – Redis est bien […]
The post Étude JFrog – Vulnérabilité RCE dans Redis first appeared on UnderNews.Vous connaissez le concept de clé maître ? Hé bien Rasmus Moorats, un chercheur en sécurité estonien, vient d'en trouver une qui déverrouille l'intégralité du parc de scooters électriques Äike. Et vous vous en doutez, c'est pas vraiment ce que le fabricant avait prévu.
Le bougre a décidé de reverse-engineerer son propre deux-roues connecté après que la boîte ait fait faillite en 2025. Logique, quand le cloud menace de fermer, autant comprendre comment fonctionne sa bécane. Du coup il a décompilé l'app React Native, hooké les communications Bluetooth avec Frida, et là... surprise !
L'authentification entre l'app et l'engin utilise un système de challenge-response. Le scooter envoie un défi aléatoire, l'app le concatène avec une clé secrète, hash le tout en SHA-1, et renvoie le résultat. Simple et efficace. Sauf que la clé secrète en question, c'est FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF. Vingt octets de FF.
Vous l'aurez peut-être compris, c'est la valeur par défaut du SDK fourni par le fabricant du module IoT.
Bref, les devs d'Äike n'ont jamais personnalisé cette clé. Chaque scooter sorti d'usine embarque exactement la même. Du coup avec un script Python et la lib bleak, n'importe qui peut déverrouiller n'importe quel Äike qui passe dans la rue. Hop, on scanne, on répond au challenge avec la clé universelle, et on envoie les commandes : déverrouiller, activer le mode éco, ouvrir le compartiment batterie... tout y passe.
Le plus rigolo dans l'histoire c'est que la société sœur Tuul, qui fait de la location de trottinettes, n'a pas de Bluetooth sur ses engins ! Du coup elle n'est pas touchée. Comme quoi, parfois l'absence de fonctionnalité devient une feature de sécurité.
Évidemment, Rasmus a fait les choses proprement avec une disclosure responsable en septembre dernier. Le fabricant a alors confirmé que c'était bien leur faute, et pas celle du fournisseur du module. Mais bon, maintenant que la boîte a coulé, les correctifs risquent d'attendre looongtemps.
Un grave bug de sécurité met en danger des dizaines de milliers d’instances n8n exposées sur Internet. Notée 9,9 sur 10, la vulnérabilité CVE‑2025‑68613 permet à un utilisateur d’exécuter du code arbitraire sur le serveur, bien au-delà de ce que la plateforme est censée autoriser.
Depuis le 3 novembre 2025 et la découverte d’une vulnérabilité React, une course effrénée s’est engagée dans l’écosystème cyber. D’un côté, les équipes de sécurité tentent de sécuriser leurs systèmes au plus vite ; de l’autre, les attaquants scannent l'Internet à grande échelle pour exploiter les retardataires. Les chercheurs suivent en temps réel l’évolution des campagnes d’attaque qui se greffent sur cette faille critique.
Les équipes techniques de Cloudflare sont revenues plus en détail sur les causes de l'immense panne qui a frappé une partie du net le 5 décembre 2025. C'est en cherchant à se protéger de la faille baptisée React2shell que l'entreprise américaine a provoqué ce nouvel incident.
Connexion