React2Shell : faille critique activement exploitée par des groupes liés à la Chine

Une vulnérabilité de sévérité maximale affectant des stacks React/Next.js est désormais exploitée dans la nature par des acteurs « China‑nexus ». Des correctifs ont été déployés en urgence dans l’écosystème, provoquant des perturbations en chaîne sur certaines plateformes.
[Article Original]

Fuites Intellexa : zero‑days et livraison de Predator via des publicités

De nouvelles fuites détaillent la stratégie d’Intellexa pour maintenir le spyware Predator opérationnel : achat et « brûlage » de zero‑days et nouveau vecteur zero‑click via des publicités (« Aladdin ») permettant l’infection sans clic des cibles.
[Article Original]

NHS Barts : violation de données après l’exploitation d’une faille zero‑day Oracle

Le plus grand groupe hospitalier du Royaume‑Uni a confirmé une fuite de données suite à l’exploitation d’une vulnérabilité Oracle par des attaquants, illustrant la dépendance et l’exposition aux risques des fournisseurs critiques dans la chaîne d’approvisionnement.
[Article Original]

Key Cybersecurity Threats

• Chaîne d’approvisionnement logicielle sous pression: exploitation active de failles critiques dans des composants largement utilisés (ex. React2Shell, Apache Tika/XXE CVSS 10). Risques combinés de compromission et d’instabilité opérationnelle lors de correctifs en urgence.
  Mesures: SBOM à jour, inventaire de dépendances, tests canari/anneaux de déploiement, WAF/virtual patching, surveillance étroite des services tiers.
• Espionnage par spyware mercenaire et zero‑click: Predator (Intellexa) continue d’utiliser des zero‑days et un vecteur publicitaire pour des infections sans interaction.
  Mesures: MTD/EDR mobiles, blocage DNS/HTTP des régies pub à risque, durcissement navigateur mobile, mises à jour rapides, détection comportementale.
• Abus de l’automatisation/IA et des navigateurs agents: nouvelles attaques zero‑click via emails capables de déclencher des actions destructrices (ex. suppression de Google Drive) et surfaces d’attaque autour des connecteurs LLM (MCP).
  Mesures: principe du moindre privilège pour connecteurs, validation/consentement explicite des actions sensibles, durcissement des règles mail/sandbox, journalisation et garde‑fous côté API.

Conseil de la semaine: Lancez un « fire‑drill » supply‑chain en 3 étapes:
1) recensez toutes les applis exposées utilisant React/Next.js et bibliothèques XML (SBOM obligatoire) ;
2) mettez en place des correctifs canari/anneaux avec tests de régression (CSP/CORS, perf, journaux) avant déploiement global ;
3) ajoutez un contrôle préventif WAF/virtual patch et des alertes spécifiques sur les IOC/techniques associés (React2Shell, XXE, zero‑click/ads).