home.social

#onyphe — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #onyphe, aggregated by home.social.

  1. Tiens, jolie trouvaille pour la saison de chasse 👀

    Nouvelle évolution très graphique de #ClickFix, qui s’appuie cette fois sur WebDAV pour délivrer le payload. (!)

    Ça change un peu des chaînes directes habituelles en PowerShell / MSHTA / WScript : ici, l’accès initial passe par >net use, montage du partage distant, exécution du batch comme un fichier local, puis démontage.

    Cible : Windows uniquement.

    Le move est intéressant : moins de dépendance aux interpréteurs/lolbins ultra-monitorés, et un abus de WebDAV qui peut passer plus discrètement si ce n’est pas surveillé.

    Source du finding Daniel
    👇
    linkedin.com/posts/daniel-b1_c

    Analyse Atos
    👇
    atos.net/en/lp/cybershield/inv

    Pour ceux qui veulent enrichir la détection / le blocage :
    la petite liste à zigouiller dans vos firewalls et filtres DNS
    👇
    threatfox.abuse.ch/browse/tag/

    Et en bonus : recette de chasse / pivot en image via Onyphe.

    Et en bonus : recette de chasse / pivot en image via #Onyphe.

    #CyberVeille #WebDav #blueteam

  2. ⚠️ Une faille critique dans Next.js permet de contourner les vérifications d'autorisation effectuées dans le middleware.

    👉 Framework React trés populaire pour le rendu web côté serveur.

    🔍 Détails techniques

    En injectant l'en-tête x-middleware-subrequest, un attaquant peut bypasser les contrôles d'accès et accéder à des ressources normalement protégées.

    💥 Exploit documenté ici
    ⬇️
    "Next.js and the corrupt middleware: the authorizing artifact"
    👇
    zhero-web-sec.github.io/resear

    🛡️ Versions vulnérables

    • 15.x < 15.2.3
    • 14.x < 14.2.25
    • 11.1.4 → 13.5.6

    🔧 Solutions

    ✔️ Mettez à jour vers 15.2.3 ou 14.2.25

    👇
    nextjs.org/blog/cve-2025-29927
    ⬇️
    github.com/advisories/GHSA-f82

    ✔️ En attendant : bloquez les requêtes contenant x-middleware-subrequest côté serveur / WAF

    🛰️ Et effectivement selon le moteur de recherche de surface d’attaque ONYPHE,

    il y en a un paquet… y compris en Suisse 🇨🇭

    #CyberVeille #NextJS #CVE_2025_29927 #websec #infosec #onyphe #ASD

  3. Check out Shimon, a project that churns out all the hash values you need to pivot on URL IOCs to find similar sites and infrastructure: github.com/ninoseki/shimon

    Just want to give it a test run? Check it out here: shimon-6983d71a338d.herokuapp.

    #infosec #cyber #soc #blueteam #malwareanalysis #censys #shodan #zoomeye #onyphe #virustotal