Le NCSC met en garde les organisations britanniques contre les menaces DOS des groupes hacktivistes

Le National Cyber Security Centre (NCSC), qui fait partie du GCHQ, a publié une nouvelle alerte signalant que les organisations britanniques continuent d'être la cible de groupes d'hacktivistes alignés sur l'État russe. Ces groupes cherchent à perturber les activités plutôt qu'à en tirer un profit financier, en lançant des attaques par déni de service visant à submerger les réseaux et les services en ligne.

Les autorités locales et les opérateurs d'infrastructures nationales critiques sont parmi les plus menacés. Bien que les attaques par déni de service soient souvent simples d'un point de vue technique, le NCSC souligne que leur impact peut être grave, entraînant des interruptions de service, des perturbations opérationnelles et des coûts de rétablissement importants.

Cet avertissement fait suite à un avis international conjoint publié en décembre 2025, qui soulignait que les États membres de l'OTAN et les organisations européennes perçues comme soutenant l'Ukraine faisaient l'objet d'un ciblage soutenu.

S'exprimant sur l'alerte, Jonathon Ellison, directeur de la résilience nationale au NCSC, a exhorté les organisations à agir dès maintenant en révisant leurs défenses et en préparant des plans de réponse efficaces.

Des failles critiques dans le cadre de l'IA révélées

Des chercheurs en sécurité ont identifié deux vulnérabilités critiques dans Chainlit, un cadre d'application d'IA open-source largement utilisé, exposant des risques sérieux pour les organisations qui accélèrent l'adoption de l'IA. Ces découvertes coïncident avec le lancement du projet DarkSide, une initiative visant à mettre au jour les faiblesses des modules de développement de l'IA.

Identifiées comme CVE-2026-22218 et CVE-2026-22219, les failles permettent à des attaquants non authentifiés de lire des fichiers arbitraires et d'effectuer une falsification des requêtes côté serveur. L'exploitation ne nécessite aucune interaction de la part de l'utilisateur et peut entraîner la fuite d'informations d'identification, de contenus de bases de données, de variables d'environnement et de code source propriétaire. Dans les environnements en nuage, cela peut permettre un mouvement latéral et la compromission complète de l'infrastructure.

Avec environ 700 000 téléchargements mensuels et des déploiements actifs dans les entreprises et les universités, l'exposition est importante. Chainlit a publié la version 2.9.4 pour résoudre ces deux problèmes.

En attendant la mise en place des correctifs, des conseils de détection ont été partagés, ainsi que des avertissements sur le fait que des bases d'IA non sécurisées élargissent rapidement les surfaces d'attaque des organisations.

Les systèmes Zendesk utilisés abusivement pour le spam

Une vague mondiale de spam de grande ampleur a été liée à l'utilisation abusive des systèmes d'assistance non sécurisés de Zendesk, les destinataires signalant l'arrivée de centaines de courriels en l'espace de quelques minutes. La campagne a débuté le 18 janvier et a rapidement attiré l'attention des médias sociaux en raison du volume et de la nature inhabituelle des messages.

Les courriels sont générés lorsque les attaquants soumettent de faux tickets d'assistance en utilisant des adresses électroniques non vérifiées. Les réponses de confirmation automatisées de Zendesk transforment alors des plateformes de service client légitimes en un moteur de spam de masse involontaire. Bien que les messages ne semblent pas contenir de liens malveillants ou de leurres d'hameçonnage directs, leurs lignes d'objet chaotiques et parfois alarmantes ont semé la confusion et l'inquiétude.

Parmi les organisations touchées figurent Discord, Dropbox, NordVPN, Riot Games et plusieurs organismes du secteur public. Les objets vont de faux avis d'application de la loi à des offres de services gratuits, souvent rédigés en utilisant du texte Unicode décoratif.

Cet incident met en évidence la façon dont les lacunes de vérification de base dans les plateformes largement utilisées peuvent être exploitées à grande échelle, même sans déployer de logiciels malveillants traditionnels ou de techniques d'hameçonnage.

Le contournement des correctifs de Fortinet attaqué

Les clients de Fortinet signalent l'exploitation active d'un contournement de correctif affectant une vulnérabilité d'authentification FortiGate précédemment corrigée, CVE-2025-59718. Les attaquants utilisent cette faille pour compromettre les pare-feux utilisant des versions FortiOS corrigées, y compris 7.4.9 et 7.4.10, ce qui soulève des inquiétudes quant au fait que le correctif original était incomplet.

De nombreux administrateurs ont observé la création de comptes administrateurs non autorisés via des connexions SSO FortiCloud malveillantes, une activité cohérente avec les techniques d'exploitation précédemment documentées par Arctic Wolf en décembre 2025. Fortinet serait en train de préparer des mises à jour supplémentaires, y compris FortiOS 7.4.11, pour résoudre complètement le problème.

La vulnérabilité a été ajoutée au catalogue CISA des failles activement exploitées, tandis que Shadowserver continue de suivre des milliers de dispositifs exposés.

Il est conseillé aux administrateurs de désactiver FortiCloud SSO dans la mesure du possible jusqu'à ce qu'un correctif complet soit disponible, car les attaquants ciblent également d'autres produits Fortinet non corrigés, y compris FortiSIEM.

Des entreprises du Fortune 500 exposées par des applications de test mal configurées

Les acteurs de la menace exploitent activement des applications de test de sécurité mal configurées pour s'introduire dans des environnements en nuage, selon les nouvelles conclusions de Pentera. Des outils intentionnellement vulnérables tels que DVWA, OWASP Juice Shop, Hackazon et bWAPP sont utilisés de manière abusive lorsqu'ils sont exposés sur l'internet public et déployés avec des privilèges excessifs.

Pentera a identifié 1 926 instances vulnérables sur AWS, Azure et GCP, dont beaucoup sont liées à des rôles IAM trop permissifs et à des identifiants par défaut. Les applications exposées appartenaient à plusieurs organisations du Fortune 500, dont Cloudflare, F5 et Palo Alto Networks, qui ont toutes remédié aux problèmes depuis.

Les chercheurs ont trouvé des preuves évidentes d'exploitation active, notamment l'extraction de crypto-monnaie Monero via XMRig, des portes dérobées persistantes et des webshells PHP permettant un contrôle total du système. Les résultats soulignent à quel point des actifs non productifs non sécurisés peuvent devenir des points d'entrée à fort impact dans les environnements en nuage des entreprises.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bienprenez contact avec nouspour savoir comment protéger votre organisation.

Le Threat Intel Roundup a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons, à la date de publication. Il ne doit pas être considéré comme un avis juridique, un conseil ou tout autre avis professionnel. Toute recommandation doit être considérée dans le contexte de votre propre organisation. Integrity360 ne prend aucune position politique dans les informations qu'elle partage. En outre, les opinions exprimées ne sont pas nécessairement celles d'Integrity360.