🔑 La CISA publie le retour d'expérience d'un incident interne du 15 mai 2026 : un prestataire avait copié un dépôt de build et de déploiement, avec des identifiants d'administration, vers son GitHub personnel, exposant des clés AWS GovCloud. Dépôt retiré, identifiants réinitialisés, accès révoqués. Les journaux confirment aucune utilisation externe des clés ni compromission de données client ou de mission.
🐧 FOSS Force rapporte le sabotage de l'infrastructure d'OpenMandriva par le développeur Davide Beatrici, qui conservait des droits d'administration après avoir migré les dépôts vers son instance privée OneDev. À la suite d'un conflit interne, il a supprimé une partie du dépôt GitHub et publié un paquet vide rendant obsolètes tous les paquets Gnome et Cosmic. L'équipe restaure les dépôts et renonce à des poursuites.
🐧 Le CERT-FR publie deux avis Linux datés du 10 juillet. CERTFR-2026-AVI-0862 couvre de multiples vulnérabilités du noyau Linux de Debian LTS (bookworm, bullseye, trixie), avec élévation de privilèges, atteinte à la confidentialité et déni de service. CERTFR-2026-AVI-0866 porte sur Microsoft Azure Linux, impact non spécifié, composants azl3 kernel, libarchive, libreswan, libtiff et nginx.
🪟 Le chercheur NightmareEclipse détaille une découverte dans Windows Defender sur le blog ProjectNightcrawler. Les mitigations récentes de mpengine.dll peuvent provoquer une fuite de huit octets vers les pilotes. Il décrit surtout un contournement de la limite de taille via les fichiers ADS Zone.Identifier : un serveur SMB malveillant qui bloque ses réponses provoque le blocage de Defender et l'épuisement de l'espace disque, reproduit sur Windows 11 25H2 et Windows Server 2025. Référence au correctif CVE-2026-50656 lié à RoguePlanet.
🔓 BleepingComputer rapporte que Zimbra corrige une faille critique stored XSS du Classic Web Client, sans identifiant CVE à ce jour, via la version 10.1.19. L'exploitation repose sur des courriels conçus dont le code s'exécute à l'ouverture, permettant le vol de données de session. Signalée par le Google Threat Analysis Group. Rappel des campagnes russes visant Zimbra, dont CVE-2025-66376 et CVE-2025-48700.
📱 Cyber Press relaie une étude des universités du Michigan et du Nouveau-Mexique : sur 281 applications VPN Android gratuites auditées avec le cadre MVPNalyzer, 61 transmettent des données en clair et 5 leur fichier de configuration en clair, ouvrant à une attaque de détournement de tunnel démontrée. 29 applications laissent fuir du trafic hors tunnel, dont 24 des requêtes DNS cumulant 360 millions d'installations.
☁️ AWS introduit la prise en charge d'OAuth pour l'AWS MCP Server, réutilisant les identifiants IAM existants via le navigateur. Nouveaux contrôles de gouvernance : clés de condition globales OAuth, introspection et révocation de jetons, Dynamic Client Registration, éléments CloudTrail. Deux modèles d'autorisation, interactif et headless. L'implémentation s'appuie sur les RFC 9728, 8414 et 7591.
🐛 Cisco Talos divulgue des vulnérabilités corrigées dans plusieurs produits. WolfSSL : CVE-2026-28739, CVE-2026-25106 et CVE-2026-33091. GeoVision : quatorze avis couvrant trente-sept CVE, dont injections de commandes, dépassements de tampon, élévations de privilèges et XSS. VTK-DICOM : CVE-2026-22879, dépassement de tampon dans le tas. Détection possible via règles Snort.
🚨 La CISA ajoute deux vulnérabilités à son catalogue KEV sur preuves d'exploitation active : CVE-2026-48939 dans iCagenda et CVE-2026-56291 dans Balbooa Forms, toutes deux des téléversements sans restriction de fichier de type dangereux. La directive BOD 26-04 impose aux agences fédérales civiles la remédiation prioritaire des failles à haut risque du KEV sur les actifs exposés.
Sources :
Lessons from CISA's Cyber Incident. CISA : https://www.cisa.gov/news-events/news/lessons-cisas-cyber-incident
In an Angry Fit, Dev Sabotages OpenMandriva Repository. FOSS Force : https://fossforce.com/2026/07/in-an-angry-fit-dev-sabotages-openmandriva-repository/
Multiples vulnérabilités dans le noyau Linux de Debian LTS. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0862/
Multiples vulnérabilités dans Microsoft Azure Linux. CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0866/
July updates. ProjectNightcrawler : https://blog.projectnightcrawler.dev/posts/2026-07-03-july-updates/
Ranting Post. ProjectNightcrawler : https://blog.projectnightcrawler.dev/posts/2026-07-07-ranting-post/
Some Interesting Findings in Windows Defender. ProjectNightcrawler : https://blog.projectnightcrawler.dev/posts/2026-07-09-some-interesting-findings-in-windows-defender/
Zimbra urges customers to patch critical web client XSS flaw. BleepingComputer : https://www.bleepingcomputer.com/news/security/zimbra-urges-customers-to-patch-critical-web-client-xss-flaw/
281 Google Play VPN Apps Expose Sensitive Information Through Cleartext Data Transmission. Cyber Press : https://cyberpress.org/281-google-play-vpn-apps-exposed/
Introducing OAuth Support for AWS MCP Server. AWS Security Blog : https://aws.amazon.com/fr/blogs/security/introducing-oauth-support-for-aws-mcp-server/
WolfSSL, GeoVision, VTK vulnerabilities. Cisco Talos : https://blog.talosintelligence.com/wolfssl-vulnerabilities/
CISA Adds Two Known Exploited Vulnerabilities to Catalog. CISA : https://www.cisa.gov/news-events/alerts/2026/07/10/cisa-adds-two-known-exploited-vulnerabilities-catalog
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #OpenMandriva #Linux #Debian #AzureLinux #WindowsDefender #NightmareEclipse #RoguePlanet #Zimbra #XSS #VPN #Android #AWS #OAuth #MCP #Talos #WolfSSL #GeoVision #ZeroDay #KEV #CVE-2026-50656 #CVE-2025-66376 #CVE-2025-48700 #CVE-2026-28739 #CVE-2026-25106 #CVE-2026-33091 #CVE-2026-22879 #CVE-2026-48939 #CVE-2026-56291 #RadioCSIRT