Tiens, jolie trouvaille pour la saison de chasse 👀

Nouvelle évolution très graphique de #ClickFix, qui s’appuie cette fois sur WebDAV pour délivrer le payload. (!)

Ça change un peu des chaînes directes habituelles en PowerShell / MSHTA / WScript : ici, l’accès initial passe par >net use, montage du partage distant, exécution du batch comme un fichier local, puis démontage.

Cible : Windows uniquement.

Le move est intéressant : moins de dépendance aux interpréteurs/lolbins ultra-monitorés, et un abus de WebDAV qui peut passer plus discrètement si ce n’est pas surveillé.

Source du finding Daniel
👇
https://www.linkedin.com/posts/daniel-b1_clickfix-webdav-atos-ugcPost-7441043660613398528-98ey

Analyse Atos
👇
https://atos.net/en/lp/cybershield/investigating-a-new-click-fix-variant

Pour ceux qui veulent enrichir la détection / le blocage :
la petite liste à zigouiller dans vos firewalls et filtres DNS
👇
https://threatfox.abuse.ch/browse/tag/WebDav/

Et en bonus : recette de chasse / pivot en image via Onyphe.

Et en bonus : recette de chasse / pivot en image via #Onyphe.

#CyberVeille #WebDav #blueteam

⚠️ Une faille critique dans Next.js permet de contourner les vérifications d'autorisation effectuées dans le middleware.

👉 Framework React trés populaire pour le rendu web côté serveur.

🔍 Détails techniques

En injectant l'en-tête x-middleware-subrequest, un attaquant peut bypasser les contrôles d'accès et accéder à des ressources normalement protégées.

💥 Exploit documenté ici
⬇️
"Next.js and the corrupt middleware: the authorizing artifact"
👇
https://zhero-web-sec.github.io/research-and-things/nextjs-and-the-corrupt-middleware

🛡️ Versions vulnérables

• 15.x < 15.2.3
  
• 14.x < 14.2.25
  
• 11.1.4 → 13.5.6

🔧 Solutions

✔️ Mettez à jour vers 15.2.3 ou 14.2.25

👇
https://nextjs.org/blog/cve-2025-29927
⬇️
https://github.com/advisories/GHSA-f82v-jwr5-mffw

✔️ En attendant : bloquez les requêtes contenant x-middleware-subrequest côté serveur / WAF

🛰️ Et effectivement selon le moteur de recherche de surface d’attaque ONYPHE,

il y en a un paquet… y compris en Suisse 🇨🇭

#CyberVeille #NextJS #CVE_2025_29927 #websec #infosec #onyphe #ASD

Very interesting talk by @jamesatack from #onyphe at #hacklu2024 on the october 2023 compromise of cisco XE routers. This campaign did not receive enough attention...

There is some good quality content over there ! (Both Onyphe and hack.lu).

Check out Shimon, a project that churns out all the hash values you need to pivot on URL IOCs to find similar sites and infrastructure: https://github.com/ninoseki/shimon

Just want to give it a test run? Check it out here: https://shimon-6983d71a338d.herokuapp.com/

#infosec #cyber #soc #blueteam #malwareanalysis #censys #shodan #zoomeye #onyphe #virustotal