Ep.622 - RadioCSIRT Édition Française - flash info cybersécurité du mardi 7 avril 2026

Une campagne active cible plus de mille instances ComfyUI exposées sur internet : un scanner Python analyse en continu les plages IP cloud, installe des nodes malveillants via ComfyUI-Manager et déploie XMRig et lolMiner pour le cryptomining Monero et Conflux, ainsi que le botnet Hysteria V2, le tout piloté via un C2 Flask hébergé chez le bulletproof provider Aeza Group. Selon Censys, le script ghost.sh verrouille les binaires via chattr +i et redirige le output d'un botnet concurrent vers ses propres wallets. Un chercheur sous l'alias Nightmare-Eclipse a divulgué le 3 avril le zero-day Windows BlueHammer, une élévation de privilèges locale combinant TOCTOU et path confusion permettant d'atteindre le niveau SYSTEM via la base SAM. Aucun patch n'est disponible. L'expert Will Dormann a confirmé la validité de l'exploit. Selon Security Affairs, l'auteur reconnaît avoir introduit intentionnellement des bugs dans le PoC. Deux vulnérabilités critiques affectant CUPS, le système d'impression Linux, ont été découvertes et documentées par GBHackers : CVE-2026-34980, exécution de code à distance via injection de caractère newline dans une queue PostScript non authentifiée, et CVE-2026-34990, élévation de privilèges root par race condition. Chaînées, elles permettent une compromission complète sans authentification. Aucune release patchée n'est disponible à ce jour. Des chercheurs de l'Université de Toronto ont développé GPUBreach, une attaque exploitant des bit-flips Rowhammer sur mémoires GDDR6 pour corrompre les GPU page tables et obtenir un root shell sans désactivation de l'IOMMU. Selon BleepingComputer, les GPU grand public sans ECC restent entièrement exposés. Les détails techniques complets seront publiés le 13 avril à l'IEEE Symposium on Security and Privacy. Unit 42 de Palo Alto Networks documente une hausse de 282% des opérations malveillantes ciblant les environnements Kubernetes sur un an, avec 78% des alertes concentrées sur le secteur IT. Deux cas réels sont analysés : vol de service account tokens lié au groupe nord-coréen Slow Pisces, et exploitation de CVE-2025-55182 React2Shell dès le 5 décembre 2025, deux jours après sa divulgation, pour déployer backdoors et exfiltrer des credentials cloud. Une attaque DDoS de grande ampleur a ciblé lundi soir l'infrastructure de Rostelecom, perturbant les services internet dans une trentaine de villes russes. Selon The Record, le portail gouvernemental Gosuslugi, Rutube, Steam et plusieurs services bancaires sont devenus inaccessibles. Des perturbations persistaient mardi. L'incident survient une semaine après une panne distincte ayant paralysé les systèmes de paiement bancaires dans plusieurs régions russes. Cisco Talos documente une technique baptisée Platform-as-a-Proxy : des campagnes de phishing injectent des leurres malveillants dans les pipelines de notification de GitHub et Atlassian Jira. Les emails générés satisfont intégralement les contrôles SPF, DKIM et DMARC, contournant les passerelles de sécurité traditionnelles. Sur cinq jours d'observation, 2,89% du trafic journalier issu de noreply@github.com contenait un leurre de type facture au pic du 17 février 2026. Sources : https://thehackernews.com/2026/04/over-1000-exposed-comfyui-instances.html https://securityaffairs.com/190400/breaking-news/experts-published-unpatched-windows-zero-day-bluehammer.html https://gbhackers.com/cups-vulnerabilities-root-level-code-execution/ https://www.bleepingcomputer.com/news/security/new-gpubreach-attack-enables-system-takeover-via-gpu-rowhammer/ https://unit42.paloaltonetworks.com/modern-kubernetes-threats/ https://therecord.media/rostelecom-cyberattack-disrupts-russian-internet-access https://blog.talosintelligence.com/weaponizing-saas-notification-pipelines/ ⚡️ On ne réfléchit pas, on patch ! 📞 Répondeur : 07 68 72 20 09 📩 Email : radiocsirt@gmail.com 🌐 Site : https://www.radiocsirt.org 📰 Newsletter : https://radiocsirt.substack.com #RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #ComfyUI #Cryptomining #Botnet #XMRig #BlueHammer #ZeroDay #Windows #LPE #CUPS #Linux #RCE #GPUBreach #Rowhammer #GDDR6 #GPU #Kubernetes #SlowPisces #Lazarus #React2Shell #CVE202555182 #Rostelecom #DDoS #Russia #Phishing #GitHub #Jira #SaaS #PaaP #CiscoTalos #Infosec #CyberNews