@proedie @Billie @mikemathia apparently once @dw_innovation / #DWnews was running that coverage they got told "#YGTBSM!" and pulled it.
Attaque ransomware contre Foster City en Californie : état d'urgence déclaré
🗓️ Contexte Source : The Record Media, publié le 21 mars 2026. L’article rapporte une attaque ransomware ayant ciblé la ville de Foster City, une municipalité de la région de la Baie de San Francisco (Californie) comptant environ 34 000 habitants.
🔐 Nature de l’incident La ville a subi une violation de sécurité informatique qualifiée de ransomware. Les attaquants auraient potentiellement obtenu des informations publiques concernant des personnes ayant eu des interactions avec la ville.
@proedie @Billie @mikemathia that doesn't make it any less bad…
#IOC still does #Sportswashing and I think the only legitimate reaction is to defund, divest and embargo that shitshow until they undid harm caused…
Olympics T-shirt marking 1936 Berlin Games raises eyebrows
T-shirts on the Olympics online store commemorating past venues include one for the 1936 Games in Berlin. Nazi Germany hosted both the Winter and Summer Olympics that year, as it was starting to ramp up its repression.
📢 Le DOJ américain saisit 4 domaines liés aux cyberattaques iraniennes du groupe Handala
📝 ## 🌐 Contexte
Le 21 mars 2026, The Cyber Express rapporte que le **Département de Justice américain (DOJ)** a procédé à la **saisie de quatre domaine...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-21-le-doj-americain-saisit-4-domaines-lies-aux-cyberattaques-iraniennes-du-groupe-handala/
🌐 source : https://thecyberexpress.com/iran-linked-cyberattacks/
#Handala #IOC #Cyberveille
Le DOJ américain saisit 4 domaines liés aux cyberattaques iraniennes du groupe Handala
🌐 Contexte Le 21 mars 2026, The Cyber Express rapporte que le Département de Justice américain (DOJ) a procédé à la saisie de quatre domaines liés à des opérations cyber-psychologiques attribuées au ministère iranien du Renseignement et de la Sécurité (MOIS).
🎯 Domaines saisis Les quatre domaines suivants ont été mis hors ligne :
Justicehomeland[.]org Handala-Hack[.]to Karmabelow80[.]org Handala-Redwanted[.]to Ces domaines partageaient une infrastructure commune, notamment des plages d’IP iraniennes et des plateformes de fuite de données.
Oracle publie un correctif d'urgence pour une faille RCE critique dans Identity Manager
🔐 Correctif d’urgence Oracle – CVE-2026-21992 Source : BleepingComputer | Date de publication : 21 mars 2026
Oracle a publié une mise à jour de sécurité hors-bande (out-of-band), en dehors de son cycle habituel de correctifs trimestriels, pour adresser une vulnérabilité critique affectant deux de ses produits.
🎯 Produits affectés Oracle Identity Manager Oracle Web Services Manager 🚨 Nature de la vulnérabilité La faille, référencée CVE-2026-21992, est classifiée comme une vulnérabilité d’exécution de code à distance (RCE) non authentifiée, ce qui signifie qu’un attaquant peut l’exploiter sans disposer d’identifiants valides sur le système cible. La criticité de cette faille justifie la publication d’un correctif d’urgence en dehors du calendrier standard.
UK Biobank : des données de santé de 500 000 patients exposées des centaines de fois sur GitHub
🔍 Contexte Article d’investigation publié par The Guardian le 14 mars 2026, rédigé par Hannah Devlin et Tom Burgis. UK Biobank est une base de données médicales britannique fondée en 2003, détenant les dossiers de santé de 500 000 volontaires britanniques, incluant séquences génomiques, scanners, échantillons sanguins et données de style de vie.
📂 Nature de l’incident Des données de santé confidentielles ont été exposées publiquement en ligne à de nombreuses reprises par des chercheurs ayant accidentellement publié des jeux de données Biobank sur GitHub en même temps que leur code d’analyse. Cette pratique résulte de l’obligation croissante des journaux scientifiques et financeurs de publier le code source des analyses.
📢 Buffer overflow pré-authentification critique dans GNU Inetutils telnetd (LINEMODE SLC)
📝 ## 🔍 Contexte
Le 11 mars 2026, l'équipe DREAM Security Research Team a divulgué une vulnérabilité critique sur la liste de dif...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-22-buffer-overflow-pre-authentification-critique-dans-gnu-inetutils-telnetd-linemode-slc/
🌐 source : https://lists.gnu.org/archive/html/bug-inetutils/2026-03/msg00031.html
#GNU_Inetutils #IOC #Cyberveille
Buffer overflow pré-authentification critique dans GNU Inetutils telnetd (LINEMODE SLC)
🔍 Contexte Le 11 mars 2026, l’équipe DREAM Security Research Team a divulgué une vulnérabilité critique sur la liste de diffusion officielle bug-inetutils de GNU. La divulgation concerne GNU Inetutils telnetd, le serveur Telnet du projet GNU.
🐛 Vulnérabilité Un buffer overflow pré-authentification a été identifié dans le gestionnaire de sous-option LINEMODE SLC (Set Local Characters) de telnetd. La faille se situe dans le fichier telnetd/slc.c, affectant les fonctions add_slc(), process_slc() et do_opt_slc(), ainsi que le buffer slcbuf (ligne 59).
📢 CVE-2026-33017 : exploitation de Langflow en moins de 20h sans PoC public
📝 ## 🗓️ Contexte
Source : Infosecurity Magazine, article de Phil Muncaster publié le 20 mars 2026, basé sur un blog post de Sysdig.
📖 cyberveille : https://cyberveille.ch/posts/2026-03-22-cve-2026-33017-exploitation-de-langflow-en-moins-de-20h-sans-poc-public/
🌐 source : https://www.infosecurity-magazine.com/news/hackers-exploit-critical-langflow/
#CVE_2026_33017 #IOC #Cyberveille
CVE-2026-33017 : exploitation de Langflow en moins de 20h sans PoC public
🗓️ Contexte Source : Infosecurity Magazine, article de Phil Muncaster publié le 20 mars 2026, basé sur un blog post de Sysdig. L’article couvre l’exploitation rapide d’une vulnérabilité critique dans le framework open source Langflow.
🔍 Vulnérabilité concernée CVE-2026-33017 : vulnérabilité d’exécution de code à distance (RCE) non authentifiée dans Langflow, un framework visuel open source pour la création d’agents IA et de pipelines RAG Score CVSS : 9.3 Exploitation possible via une seule requête HTTP, sans aucune authentification requise Permet l’exécution de code Python arbitraire sur les instances Langflow exposées ⚡ Timeline d’exploitation 17 mars 2026 : publication de l’advisory CVE ~20 heures après : premières activités malveillantes observées sur les honeypots de Sysdig Aucun proof-of-concept (PoC) public n’existait au moment de l’exploitation 🎯 Activités malveillantes observées Scan automatisé de l’infrastructure depuis 4 adresses IP sources envoyant le même payload (probablement un seul attaquant) Déploiement de scripts Python d’exploitation personnalisés via un dropper de stage 2, indiquant un toolkit d’exploitation préparé Collecte de credentials : clés de bases de données, clés API, credentials cloud, fichiers de configuration Risque de compromission de la chaîne d’approvisionnement logicielle via les accès obtenus 📊 Tendances de compression des délais d’exploitation Selon l’initiative Zero Day Clock citée par Sysdig : le temps médian d’exploitation (TTE) est passé de 771 jours en 2018 à quelques heures en 2024 En 2023, 44% des vulnérabilités exploitées ont été weaponisées dans les 24 heures suivant la divulgation 80% des exploits publics apparaissent avant la publication de l’advisory officiel Selon Rapid7 : le délai médian entre publication d’une vulnérabilité et son inclusion dans le catalogue KEV de la CISA est passé de 8,5 jours à 5 jours en un an Délai médian de déploiement de patches par les organisations : ~20 jours 📰 Nature de l’article Article de presse spécialisée relayant une publication de recherche de Sysdig, visant à documenter la rapidité d’exploitation d’une vulnérabilité critique et illustrer la compression des délais d’exploitation dans le paysage des menaces actuel.
📢 KslDump : extraction de credentials LSASS via un driver Microsoft Defender vulnérable préinstallé
📝 ## 🔍 Contexte
Publié le 22 mars 2026 sur GitHub par l'utilisateur andreisss, cet article présente **KslDump**, un outil de recherche en sécurité off...
📖 cyberveille : https://cyberveille.ch/posts/2026-03-22-ksldump-extraction-de-credentials-lsass-via-un-driver-microsoft-defender-vulnerable-preinstalle/
🌐 source : https://github.com/andreisss/KslDump
#BYOVD #IOC #Cyberveille
KslDump : extraction de credentials LSASS via un driver Microsoft Defender vulnérable préinstallé
🔍 Contexte Publié le 22 mars 2026 sur GitHub par l’utilisateur andreisss, cet article présente KslDump, un outil de recherche en sécurité offensif exploitant un driver kernel Microsoft Defender (KslD.sys) pour extraire des credentials depuis LSASS protégé par PPL (Protected Process Light), sans recourir à aucun code ou driver tiers.
⚙️ Mécanisme de la vulnérabilité Le driver KslD.sys est livré avec Microsoft Defender, signé Microsoft, et expose un objet device \\.\KslD accessible depuis l’espace utilisateur. Il accepte l’IOCTL 0x222044 avec plusieurs sous-commandes critiques :
Kevin Karhan 
CyberVeille.ch