FORTIER.IT

"L'innovation distingue les leaders des suiveurs." - Steve Jobs

octobre 11, 2025

Newsletter Cybersécurité - 2025 : semaine 41

Nouvelles 2025 de la cybersécurité de la semaine 41

Newsletter Cybersécurité - 2025 : semaine 41

Résumé des Actualités Cybersécurité

(Semaine 41, 2025)

Le botnet Aisuru pulvérise des records de DDoS et asphyxie des FAI américains

Un botnet IoT géant, très concentré chez des fournisseurs US, a atteint un pic bref de 29,6 Tb/s le 6 octobre, provoquant des perturbations en cascade (notamment autour de Minecraft) et soulignant l’urgence de la suppression des DDoS sortants côté opérateurs.
[Article Original]

Gladinet/Triofox : de la LFI à l’exécution de code Exploitation active d’une zero‑day

Une faille côté serveur permet une lecture de fichiers locaux puis une RCE ; les attaques sont en cours. Les instances exposées doivent être isolées d’Internet et corrigées immédiatement.

[Article Original]

Le FBI fait tomber le portail d’extorsion Salesforce opéré via BreachForums (ShinyHunters)

Coup d’arrêt à une plateforme clé d’extorsion et de revente de données liée à des attaques Salesforce ; impact attendu sur l’écosystème de fuite/vente de données à court terme.

[Article Original]

Principales Menaces de la Semaine

  • Hyper‑DDoS d’origine IoT (Aisuru)

Des dizaines à centaines de milliers d’objets connectés (routeurs, caméras, DVR) sont enrôlés pour des assauts dépassant 20 Tb/s, avec un pic mesuré à 29,6 Tb/s. Le risque majeur n’est plus seulement l’attaque entrante, mais l’écrasement de liens par le trafic sortant des FAI et entreprises infectés. Actions prioritaires :

    • Mettre en place filtrage sortant/egress (BCP38), rate‑limiting, et capacités anti‑DDoS en amont.
    • Séparer et durcir les réseaux IoT (suppression des mots de passe par défaut, mises à jour firmware, fermeture des services exposés).

    • Exploitation active d’apps “edge” de partage de fichiers (Gladinet/Triofox)
  • Chaînes LFI→RCE permettent de prendre la main sur des serveurs exposés. Le risque touche directement la disponibilité et l’exfiltration de données. Actions prioritaires :
    • Retirer l’exposition Internet directe, appliquer les correctifs, imposer l’authentification forte et limiter l’accès par IP/VPN.
    • Rechercher des IOC, journaux d’accès anormaux, et réinitialiser secrets/tokens.

    • Détournement d’outils légitimes (Velociraptor) par des rançonneurs/ATP
  • Des acteurs malveillants utilisent des outils DFIR/admin pour la persistance, le dump d’identifiants et l’exfiltration “low‑and‑slow”. Actions prioritaires :
    • Restreindre par allow‑list l’usage de ces binaires, signer et journaliser leur exécution, et surveiller leurs communications réseau.
    • Détections MITRE ATT&CK sur DCSync, Kerberoasting, LSASS access, et mouvements latéraux.

Conseil de la semaine

Si une application de partage de fichiers (ex. Gladinet/Triofox) est exposée sur Internet, désactivez l’accès direct immédiatement, basculez derrière un VPN/SSO, appliquez les correctifs, puis lancez une chasse aux IOC. En parallèle, activez le filtrage sortant (BCP38) sur vos routeurs/passerelles pour réduire l’impact d’un éventuel enrôlement dans un botnet.

“On ne peut pas défendre ce qu’on ne voit pas.” Assurez d’abord la visibilité, le reste suit.