RadioCSIRT - Edition Française

🤖 Une nouvelle variante du botnet Gafgyt, baptisée C0XMO, cible le Firmware des routeurs DD-WRT et se propage vers d'autres architectures. Selon Fortinet, l'infection repose sur la CVE-2021-27137, un buffer overflow exploitable sans authentification. Un script Python scanne Internet, brute-force les identifiants faibles et déploie le binaire adapté, avant de traquer et supprimer les botnets concurrents. C0XMO reste un outil de DDoS, supportant dix-neuf méthodes de flood.
🔒 OpenAI déploie un Lockdown Mode dans ChatGPT pour réduire le risque d'exfiltration de données lié aux attaques de prompt injection. Selon The Hacker News, le mode ne bloque pas les injections elles-mêmes mais coupe les chemins de fuite, en limitant les requêtes réseau sortantes. Il désactive pour cela la navigation web en direct, le support des images, la recherche approfondie, le mode agent, l'accès réseau du Canvas et le téléchargement de fichiers.
🛡️ Une faille de déni de service à distance touche le pare-feu de Comodo Internet Security. La CVE-2026-49494, notée 8,7, se loge dans le pilote Inspect.sys, dont l'analyseur IPv6 souffre d'un integer underflow. Comme le détaille VulnCheck, l'analyse intervenant avant le filtrage, un attaquant non authentifié peut provoquer un écran bleu sous Windows avec un seul paquet IPv6 forgé, même contre une machine tous ports fermés.
Sources :
C0XMO botnet spreads via DD-WRT router flaw, kills rival malware — BleepingComputer : https://www.bleepingcomputer.com/news/security/c0xmo-botnet-spreads-via-dd-wrt-router-flaw-kills-rival-malware/
New ChatGPT Lockdown Mode Limits Tools That Could Enable Data Exfiltration — The Hacker News : https://thehackernews.com/2026/06/new-chatgpt-lockdown-mode-limits-tools.html
CVE-2026-49494 - Comodo Internet Security Inspect.sys IPv6 Integer Underflow Remote Denial of Service — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-49494
⚡️ On ne réfléchit pas, on patch ! 
📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Botnet #Gafgyt #C0XMO #DDWRT #DDoS #CVE202127137 #Fortinet #OpenAI #ChatGPT #LockdownMode #PromptInjection #LLM #AI #Comodo #CVE202649494 #IPv6 #IntegerUnderflow #VulnCheck #Windows #BSOD #PatchManagement #RadioCSIRT

🎯 Une faille critique du plugin Everest Forms Pro est activement exploitée pour prendre le contrôle total de sites WordPress. La CVE-2026-3300 touche les versions 1.9.12 et antérieures, et s'exploite sans authentification via la fonction Complex Calculation, qui passe les entrées dans un eval() PHP. Selon Wordfence, les attaquants créent des comptes administrateurs pirates, le pare-feu ayant bloqué plus de 29 300 tentatives.
🕵️ Le groupe UNC3753, alias Luna Moth, cible des cabinets juridiques et financiers américains. D'après Mandiant, la chaîne combine Vishing, abus d'outils RMM comme AnyDesk ou SuperOps, et exfiltration depuis les dépôts iManage et OneDrive. Fait rare, corroboré par un FBI Cyber FLASH : des individus se font physiquement passer pour des techniciens afin d'exfiltrer sur clé USB.
🐉 Un cluster d'espionnage lié à la Chine, suivi sous le nom OP-512, déploie un framework de web shells sur mesure sur des serveurs IIS. Selon ReliaQuest, les handlers .ashx imposent un pipeline Base64, RC4 puis vérification RSA, les shells pratiquent le Timestomping, et le redémarrage automatique d'IIS recharge l'outillage en mémoire après chaque neutralisation par l'EDR.
🤖 Selon le Financial Times, Anthropic aurait déployé environ six ingénieurs au sein de la NSA pour l'épauler dans l'usage offensif de Mythos, son modèle le plus avancé. Jugé trop dangereux pour une diffusion large, capable d'exploiter des Zero-Day en moins d'une journée, l'outil n'échappe au bannissement du DoD que par dérogation explicite.
Sources :
Critical Everest Forms Pro flaw exploited to take over WordPress sites — BleepingComputer : https://www.bleepingcomputer.com/news/security/critical-everest-forms-pro-flaw-exploited-to-take-over-wordpress-sites/
UNC3753 Targets US Law Firms with Vishing and RMM Tools — Cyber Press : https://cyberpress.org/unc3753-targets-us-law-firms/
China-Linked Espionage Cluster Deploys Custom ASPX/ASHX Shells on IIS — GBHackers : https://gbhackers.com/china-linked-espionage-aspx-ashx-shells/
Report: Anthropic Deploys Engineers to Support NSA Use of Mythos — Security Affairs : https://securityaffairs.com/193234/ai/report-anthropic-deploys-engineers-to-support-nsa-use-of-mythos.html
⚡️ On ne réfléchit pas, on patch ! 
📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #WordPress #EverestForms #CVE20263300 #Wordfence #UNC3753 #LunaMoth #Mandiant #Vishing #RMM #iManage #FBI #OP512 #China #IIS #WebShell #Timestomping #RC4 #RSA #ReliaQuest #Anthropic #Mythos #NSA #ZeroDay #ProjectGlasswing #PatchManagement #RadioCSIRT

🎯 La CISA ajoute une nouvelle vulnérabilité activement exploitée à son catalogue KEV. La CVE-2026-28318 touche SolarWinds Serv-U et repose sur une faille d'Uncontrolled Resource Consumption, un vecteur régulièrement exploité pour épuiser les ressources des systèmes exposés.
🌐 Le CERT-FR publie un correctif massif pour Google Chrome. Plusieurs centaines de CVE sont comblées d'un coup, de la CVE-2026-10881 à la CVE-2026-11309, sur l'un des plus gros bulletins jamais publiés sur le navigateur. Sont concernées les versions antérieures à 149.0.7827.53 sous Linux et Windows, et 149.0.7827.54 sous macOS.
☎️ Nouvelle alerte du CERT-FR côté Cisco. La CVE-2026-20245 affecte Catalyst SD-WAN Manager dans toutes ses versions et permet une élévation de privilèges. Cisco confirme une exploitation active, exposant l'orchestrateur qui pilote l'ensemble du réseau SD-WAN.
🔊 Un chercheur transforme une enceinte Sound Blaster Katana V2X en relais d'exécution de code à distance. Via le protocole propriétaire CTP, sans appairage ni signature de Firmware, il pousse un Firmware maison par Bluetooth et fait passer l'enceinte pour un clavier. Creative Technologies refuse de qualifier ce comportement de vulnérabilité.
🔑 Faille critique notée  en CVSS 10 dans UDS Identity Config. La CVE-2026-46389 vise l'authenticator client-kubernetes-secret de Keycloak : le client_secret soumis est écrasé par le secret monté avant comparaison, permettant de s'authentifier avec n'importe quelle valeur et de récupérer des tokens OAuth2. Le client uds-operator ouvre la voie à la compromission d'autres clients.
Sources : 
CISA Adds One Known Exploited Vulnerability to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/06/05/cisa-adds-one-known-exploited-vulnerability-catalog
Multiples vulnérabilités dans Google Chrome — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0692/
Vulnérabilité dans Cisco Catalyst SD-WAN — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0699/
How a USB-connected speaker can infect a PC without ever being touched — Ars Technica : https://arstechnica.com/security/2026/06/highly-reviewed-speaker-can-be-hacked-over-the-air-to-infect-connected-devices/
CVE-2026-46389 - UDS Identity Config Client Authentication Bypass — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-46389
⚡️ On ne réfléchit pas, on patch ! 
📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #SolarWinds #ServU #CVE202628318 #GoogleChrome #CERTFR #Cisco #SDWAN #CVE202620245 #PrivilegeEscalation #SoundBlaster #Creative #Bluetooth #Firmware #HID #UDS #Keycloak #CVE202646389 #AuthenticationBypass #OAuth2 #Kubernetes #PatchManagement #RadioCSIRT

🎯 La CISA ajoute une nouvelle vulnérabilité activement exploitée à son catalogue KEV. La CVE-2026-45247 touche Mirasvit Full Page Cache Warmer et repose sur une faille de désérialisation de données non fiables, un vecteur régulièrement utilisé pour obtenir une exécution de code ou compromettre des systèmes exposés.
⚽️ Le Centre canadien pour la cybersécurité publie son évaluation des menaces visant la Coupe du monde FIFA 2026. Au programme : Phishing thématique, Ransomware, DDoS, SMS Blaster, Deepfakes et campagnes d’influence alimentées par l’IA. Les secteurs du transport, de l’hôtellerie, des télécommunications et des infrastructures critiques sont particulièrement exposés.
📡 Le CERT-FR alerte sur plusieurs vulnérabilités dans FreeRadius. Les versions antérieures à 3.2.9 et 3.0.28 sont concernées. Risques annoncés : déni de service à distance, atteinte à la confidentialité des données et problème de sécurité non détaillé par l’éditeur.
☎️ Nouvelle alerte CERT-FR côté Cisco. La CVE-2026-20230 affecte Unified Communications Manager et Unified Communications Manager Session Management Edition. Cette faille SSRF pourrait permettre à un attaquant d’exploiter des ressources internes accessibles depuis l’équipement compromis.
🧠 MISP corrige une vulnérabilité critique référencée CVE-2026-10868. Un défaut de contrôle dans la fonction d’édition des utilisateurs permettait de manipuler le champ User.id et de modifier les attributs d’un autre compte. Une faiblesse classée dans la catégorie Improper Privilege Management.
🐧 Selon CloudLinux, l’ère des changelogs de sécurité explicites touche à sa fin. Face à la multiplication des vulnérabilités critiques découvertes grâce aux LLM, certains éditeurs intègrent désormais discrètement les correctifs dans des mises à jour ordinaires afin de limiter les opérations de reverse engineering menées par les attaquants.
🌍 Le Programme alimentaire mondial des Nations Unies confirme une compromission de sa plateforme d’enregistrement à Gaza. Les données de près de 600 000 foyers palestiniens ont été exposées, incluant identités, numéros de téléphone et informations de localisation.
🕵️‍♂️ Des chercheurs de Check Point identifient une campagne ciblant les analystes cyber via de faux sites Ghidra, dnSpy et SpiderFoot. Derrière ces clones se cachent des chaînes de redirection pilotées par un Traffic Distribution System distribuant SessionGate Loader puis RemusStealer, spécialisé dans le vol de mots de passe, wallets crypto et jetons MFA.
🇷🇺 La Russie cherche à faire classer Belarusian Cyber Partisans et Silent Crow comme organisations extrémistes. Les deux groupes pro-Ukraine avaient notamment revendiqué l’attaque contre Aeroflot en 2025, ayant provoqué l’annulation de plus de cent vols et l’exfiltration de données internes.
Sources :
CISA Adds One Known Exploited Vulnerability to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/06/03/cisa-adds-one-known-exploited-vulnerability-catalog
Bulletin sur les cybermenaces : Coupe du monde de la FIFA 2026MC — Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/orientation/bulletin-cybermenaces-coupe-monde-fifa-2026mc
Multiples vulnérabilités dans FreeRadius — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0688/
Vulnérabilité dans les produits Cisco — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0689/
CVE-2026-10868 - MISP User Edit Mass Assignment Vulnerability — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-10868
The Death of the Change Log: Why "Silent" Security Updates Are the New Normal in 2026 — CloudLinux : https://blog.cloudlinux.com/the-death-of-the-change-log-why-silent-security-updates-are-the-new-normal-in-2026
UN World Food Programme breach affects 600,000 Gaza households — BleepingComputer : https://www.bleepingcomputer.com/news/security/un-world-food-programme-breach-affects-600-000-gaza-households/
Hackers Impersonate Ghidra, dnSpy, and SpiderFoot to Spread Malware — Cyber Press / Check Point : https://cyberpress.org/fake-security-tools-spread-malware/
Russia seeks to label two anti-Kremlin hacker groups as ‘extremist’ — The Record : https://therecord.media/russia-seeks-extremist-label-for-hacker-groups
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #Mirasvit #CVE202645247 #FIFA2026 #CyberThreats #FreeRadius #CERTFR #Cisco #SSRF #CVE202620230 #MISP #CVE202610868 #PrivilegeEscalation #CloudLinux #Linux #PatchManagement #DataBreach #WFP #UnitedNations #Gaza #CheckPoint #Ghidra #dnSpy #SpiderFoot #SessionGate #RemusStealer #Malware #Infostealer #Russia #SilentCrow #CyberPartisans #Aeroflot #RadioCSIRT

🐧 La CISA ajoute deux vulnérabilités activement exploitées à son catalogue KEV. La CVE-2022-0492 vise le noyau Linux via les cgroups : authentification incorrecte, élévation de privilèges et évasion de conteneurs à la clé. La CVE-2025-48595, elle, frappe l'Android Framework avec un Integer Overflow.
🐬 La fondation OurSQL voit le jour pour porter l'écosystème MySQL. Structure 501(c)(6), indépendante et vendor-neutral, présidée par Vadim Tkachenko de Percona. Au menu : base de bugs publique, transparency log des correctifs et formations. Oracle n'en est pas membre.
🦊 Le CERT-FR signale de multiples vulnérabilités dans Mozilla Firefox (avis AVI-0684). Toutes les versions antérieures à 151.0.3 sont concernées. Risque non spécifié par l'éditeur, deux CVE au compteur. On met à jour le navigateur.
🩺 Un acteur sous le pseudo « Lagui » revendique le vol des données de 34 millions d'assurés via le DMP. Méthode annoncée : usurpation d'une e-CPS de médecin, puis énumération en modifiant un paramètre d'URL. Les chercheurs flairent un agrégat de fuites recyclées ; l'Assurance Maladie dément toute intrusion.
🗂️ Stored XSS dans GLPI, référencée CVE-2026-5385. Un payload persistant se loge dans la base de connaissances, score CVSS 8,4. Correctif en version 11.0.7. D'après l'advisory Fluid Attacks.
🤖 Des attaquants pro-iraniens détournent des comptes Instagram, dont ceux de l'Obama White House et de l'U.S. Space Force. L'astuce : pousser l'assistant IA de support de Meta à relier le compte à une nouvelle adresse, puis déclencher un reset. Les comptes protégés par MFA ont tenu.
🎮 WeedHack, un Malware-as-a-Service ciblant Minecraft, infecte plus de 116 000 systèmes depuis janvier. Distribution par YouTube et SEO poisoning, infostealer gratuit, accès distant en premium dès 5 dollars. McAfee a tracé 3 820 fichiers JAR malveillants.
📶 Acer corrige deux zero-day de sévérité maximale sur ses routeurs Wave 7. La CVE-2026-49200 expose des identifiants en clair sans authentification ; la CVE-2026-49201 repose sur une clé AES codée en dur ouvrant un backdoor persistant. Patch visé fin juin.
🇬🇭 Le FIRST détaille le modèle ghanéen de CERT sectoriels, hébergés au sein des régulateurs pour s'appuyer sur leurs pouvoirs. Le secteur bancaire affiche 100 % de couverture via le FICSOC. Seuls les logs sont collectés, pas les données métier.
🏴‍☠️ Opération KRATOS 2 : Europol et la Bulgarie frappent le streaming illégal. Bilan : 29 arrestations, neuf groupes criminels démantelés, plus de 27 000 URL retirées. Infrastructure éclatée sur plusieurs pays pour échapper à la détection.
🪖 Aux États-Unis, une commission chiffre à 11 milliards de dollars la création d'une Cyber Force militaire dédiée, forte de 30 000 personnels. Première nouvelle branche depuis la Space Force de 2019. Travaux portés par le CSIS et la FDD.
Sources :
CISA Adds Two Known Exploited Vulnerabilities to Catalog — CISA : https://mail.google.com/mail/u/0/?ogbl#inbox/FMfcgzQgMChRndDxBfJTkBkrWvHzVjGb
OurSQL Foundation Launches to Support MySQL Users, Developers, and Companies — OurSQL / GlobeNewswire : https://www.globenewswire.com/news-release/2026/05/27/3302305/0/en/oursql-foundation-launches-to-support-mysql-users-developers-and-companies.html
Multiples vulnérabilités dans Mozilla Firefox — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0684/
Fuite massive ou coup de bluff ? Un pirate revendique le vol des données médicales de 34 millions de Français — 01net : https://www.01net.com/actualites/fuite-massive-coup-bluff-pirate-revendique-vol-donnees-medicales-34-millions-francais-assurance-maladie-dement.html
CVE-2026-5385 : GLPI Stored XSS in Knowledge Base — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-5385
Hackers Used Meta's AI Support Bot to Seize Instagram Accounts — Krebs on Security : https://krebsonsecurity.com/2026/06/hackers-used-metas-ai-support-bot-to-seize-instagram-accounts/
Malware Campaign Targeting Minecraft Users Infects Over 116,000 Systems — Help Net Security : https://www.helpnetsecurity.com/2026/06/03/weedhack-minecraft-malware-campaign/
Acer Working to Patch Max Severity Zero-Days in Wave 7 Routers — BleepingComputer : https://www.bleepingcomputer.com/news/security/acer-warns-of-max-severity-zero-days-affecting-wave-7-routers/
Sector CERTs and How To Build Them — FIRST : https://www.first.org/blog/20260525-Sector-CERTs-and-how-to-build-them
29 Arrested as Law Enforcement Strikes Criminal Networks Behind Illegal Streaming — Europol : https://www.europol.europa.eu/media-press/newsroom/news/29-arrested-law-enforcement-strikes-criminal-networks-behind-illegal-streaming
New Cyber Force Would Cost Up to $11 Billion to Start, Commission Says — The Record : https://therecord.media/new-cyber-force-would-cost-11-billion-commission
⚡️ On ne réfléchit pas, on patch ! 
📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #LinuxKernel #CVE20220492 #Android #CVE202548595 #MySQL #OurSQL #OpenSource #CERTFR #Firefox #Mozilla #DMP #AssuranceMaladie #DataBreach #eCPS #GLPI #StoredXSS #CVE20265385 #Meta #Instagram #AISecurity #SocialEngineering #Minecraft #WeedHack #MaaS #Infostealer #Acer #Wave7 #ZeroDay #Router #FIRST #SectorCERT #Ghana #Europol #Kratos2 #IPTV #CyberForce #Pentagon #RadioCSIRT