🔎 Cyberveille

Qilin n'est pas un groupe de pirates informatiques, mais une "franchise" qui permet d'utiliser ses services contre rémunération. Apparue en 2022, elle reste nimbée de mystère.

Des lycées du nord de la France aux mairies des Pyrénées-Orientales, un nom revient avec inquiétude : Qilin. Ce mot désigne un animal mythologique asiatique, mais c'est aussi le nom choisi par les concepteurs d'un logiciel malveillant qui paralyse 80% des lycées publics des Hauts-de-France(Nouvelle fenêtre) depuis le 10 octobre.

La vulnérabilité SessionReaper (CVE-2025-54236) présente dans Adobe Commerce (anciennement Magento) est désormais exploitée activement par des pirates. Quels sont les risques ? Comment se protéger ? Faisons le point.

Ce jeudi 16 octobre, Le Monde et Die Zeit ont publié une enquête sur un mystérieux groupe 78 qui aurait deux objectifs principaux : « d’une part, mener des actions en Russie pour rendre la vie des membres de Black Basta impossible et les forcer à quitter le territoire afin de les mettre à portée des mandats d’arrêt les visant ; d’autre part, manipuler les autorités russes pour qu’elles mettent fin à la protection dont bénéficie le gang ».

Selon nos confrères, ces révélations « éclairent d’un jour nouveau deux événements survenus peu de temps après. À la mi-décembre, une même source anonyme contacte deux journalistes spécialisés dans la Cybercriminalité ». J’étais l’un d’eux.

La comparaison d'un scan Nmap avec un autre peut être très utile dans le contexte d'un suivi régulier de la cartographie du système d'information. Effectuer des scans réguliers, avec les mêmes options et vers les mêmes réseaux cibles, permet de s'assurer que rien n'a changé, ou au contraire référencer les changements observés et s'assurer qu'ils sont attendus et justifiés.

Une faille dangereuse (CVE-2025-9133) a été identifiée dans les dispositifs de la série Zyxel ATP/USG : même avec l’authentification à deux facteurs activée, un attaquant disposant de creds (ayant franchi seulement la 1ʳᵉ étape du 2FA) peut potentiellement contourner les contrôles d’accès et accéder à la configuration complète du système.

En envoyant une commande commençant par un élément autorisé (ex : show version), puis en enchaînant ;show running-config, la validation ne détecte pas la seconde commande et la base entière est exposée. Rainpwn

Impact : divulgation de mots de passe, clés, configurations réseau — c’est un accès potentiel complet à l’appareil. Rainpwn

Recommandations : appliquer rapidement les correctifs proposés par Zyxel, bloquer les chaînes de commandes (; ou pipeline), renforcer l’autorisation per-commande. Rainpwn

Si vous gérez ou utilisez une Zyxel ATP/USG : vérifiez que vous êtes à jour, restreignez l’accès à l’interface d’administration, et surveillez toute activité suspecte.

⬇️ 2025-08-15 : ZYXEL a été informé de la vulnérabilité 2025-08-15 : ZYXEL a accusé réception de mon rapport de vulnérabilité. 2025-08-19 : ZYXEL a attribué l’identifiant CVE-2025-9133 aux problèmes signalés et m’a informé de son intention de publier un avis de sécurité le 30 septembre 2025. 2025-09-08 : ZYXEL a demandé de reporter la divulgation publique au 21 octobre 2025, car le correctif du firmware devait être publié le 20 octobre 2025. Cela devait permettre aux utilisateurs d’appliquer la mise à jour et de sécuriser leurs systèmes avant la divulgation de la faille. 2025-10-21 : ZYXEL a publié son avis de sécurité, conformément au calendrier de divulgation coordonnée.

⬇️ CVE-2025-9133: Configuration Exposure via Authorization Bypass 👇

https://rainpwn.blog/blog/cve-2025-9133/

🩹⬇️

"The missing authorization vulnerability in certain ZLD firewall versions could allow a semi-authenticated attacker—who has completed only the first stage of the two-factor authentication (2FA) process—to view and download the system configuration from an affected device." ⬇️ "Zyxel security advisory for post-authentication command injection and missing authorization vulnerabilities in ZLD firewalls"

👇

https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-post-authentication-command-injection-and-missing-authorization-vulnerabilities-in-zld-firewalls-10-21-2025

🌐⬇️

https://cve.circl.lu/vuln/CVE-2025-9133

https://nvd.nist.gov/vuln/detail/CVE-2025-9133

21.10.2025 - L’OFCS reçoit régulièrement des signalements d’e-mails de phishing visant à duper les clients TWINT. L’objectif des fraudeurs est de voler des données de cartes de crédit ou de prendre le contrôle de comptes TWINT. Certaines tentatives ne nécessitent même pas de pages de phishing sophistiquées. Un cas récent, à première vue anodin, mais astucieusement conçu, en est un parfait exemple. À l’aide d’un message personnel et d’une demande d’argent envoyée au petit matin, les escrocs incitent leurs cibles à agir de manière irréfléchie.

Posted On 21 Oct 2025By : Damien Bancal - zataz
À cinq mois du vote municipal, les communes françaises doivent sécuriser leurs systèmes d’information avant les attaques numériques déjà observées dans plusieurs villes.