RadioCSIRT - Edition Française

Une nouvelle vulnérabilité baptisée Pack2TheRoot, identifiée CVE-2026-41651 et notée 8.8, affecte le daemon PackageKit depuis près de douze ans. Découverte par la Red Team de Deutsche Telekom, elle permet à un utilisateur local de déclencher l'installation de paquets système sans authentification via pkcon install, ouvrant la voie à une élévation jusqu'au root. Ubuntu, Debian Trixie, RockyLinux 10.1 et Fedora 43 sont concernés. La version 1.3.5 corrige le défaut.
La présidente du Bundestag allemand Julia Klöckner a été visée par une campagne de Spear Phishing via un groupe Signal usurpant un canal de cadres de la CDU. Les attaquants ne cherchent pas à casser le chiffrement mais à extorquer le PIN de l'application par Social Engineering. Le chancelier Friedrich Merz figurait dans le groupe sans être compromis. L'opération s'inscrit dans une vague attribuée à des campagnes hybrides liées à la Russie.
L'Office of Inspector General de la NASA révèle qu'une campagne de Spear Phishing conduite par le ressortissant chinois Song Wu, ingénieur chez Aviation Industry Corporation of China, a visé entre 2017 et 2021 des employés de la NASA, de l'US Air Force, de la Navy et de la FAA pour obtenir des logiciels de modélisation utilisables dans le développement de missiles tactiques. Song Wu est inculpé pour Wire Fraud et Aggravated Identity Theft.
Carnival Corporation fait face à la mise en ligne par ShinyHunters de 8,7 millions d'enregistrements liés à sa filiale Holland America Line, dont 7,5 millions d'adresses email uniques issues du programme Mariner Society. Carnival évoque un simple Phishing sur un compte, là où le groupe d'extorsion revendique plusieurs téraoctets de données internes exfiltrés.
La CISA ajoute quatre vulnérabilités à son catalogue KEV : CVE-2024-7399 sur Samsung MagicINFO 9, CVE-2024-57726 et CVE-2024-57728 sur SimpleHelp, et CVE-2025-29635 sur le routeur D-Link DIR-823X, exploitée par des botnets Mirai.
Le CERT-FR publie trois avis majeurs : CERTFR-2026-AVI-0495 couvrant plusieurs centaines de CVE dans le noyau Linux d'Ubuntu sur onze bulletins Canonical, CERTFR-2026-AVI-0491 sur Synology DSM avec treize CVE incluant SSRF, XSS et SQL Injection, et CERTFR-2026-AVI-0489 sur les produits Tenable avec CVE-2026-33694 permettant une exécution de code arbitraire dans Nessus et Nessus Agent.
Sources :
New 'Pack2TheRoot' flaw gives hackers root Linux access — BleepingComputer : https://www.bleepingcomputer.com/news/security/new-pack2theroot-flaw-gives-hackers-root-linux-access/
Signal phishing campaign targets Germany's Bundestag President Julia Klöckner — Security Affairs : https://securityaffairs.com/191224/intelligence/signal-phishing-campaign-targets-germanys-bundestag-president-julia-klockner.html
NASA Employees Duped in Chinese Phishing Scheme Targeting U.S. Defense Software — The Hacker News : https://thehackernews.com/2026/04/nasa-employees-duped-in-chinese.html
ShinyHunters claim they have cruise giant Carnival's booty as 7.5M emails surface — The Register : https://www.theregister.com/2026/04/24/shinyhunters_claim_cruise_giant_carnivals/
CISA Adds One Known Exploited Vulnerability to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/04/23/cisa-adds-one-known-exploited-vulnerability-catalog
CISA Adds Four Known Exploited Vulnerabilities to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/04/24/cisa-adds-four-known-exploited-vulnerabilities-catalog
Multiples vulnérabilités dans le noyau Linux d'Ubuntu (CERTFR-2026-AVI-0495) — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0495/
Multiples vulnérabilités dans Synology DSM (CERTFR-2026-AVI-0491) — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0491/
Vulnérabilité dans les produits Tenable (CERTFR-2026-AVI-0489) — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0489/⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #VOC #Pack2TheRoot #PackageKit #Linux #LPE #Ubuntu #Fedora #Signal #Phishing #Bundestag #SocialEngineering #NASA #SongWu #AVIC #China #SpearPhishing #Carnival #HollandAmerica #ShinyHunters #DataBreach #CISA #KEV #Samsung #SimpleHelp #DLink #Mirai #CERTFR #Synology #SSRF #XSS #SQLi #Tenable #Nessus #VulnerabilityManagement #Infosec #CyberNews

Le NCSC britannique publie le 23 avril, au deuxième jour de la conférence CYBERUK 2026, une advisory conjointe signée avec quinze agences partenaires de neuf pays dont la CISA, le FBI, la NSA, l'ASD australien ou le BSI allemand. Le document détaille les covert networks liés à la Chine, construits à partir d'edge devices compromis comme des routeurs domestiques et smart devices, utilisés par la majorité des acteurs pro-chinois pour dissimuler leur activité. L'advisory alerte sur le phénomène d'IOC extinction et rappelle l'attribution à Integrity Technology Group du botnet exploité par Flax Typhoon, sanctionnée par le gouvernement britannique en décembre 2025.
Canonical libère Ubuntu 26.04 LTS, nom de code Resolute Raccoon, avec un support standard jusqu'en avril 2031 et étendu jusqu'en avril 2036 via Ubuntu Pro. La distribution embarque GNOME 50, le noyau Linux 6.20 et surtout devient la première LTS à basculer exclusivement sur Wayland, la session X11 disparaissant définitivement des options de connexion, ce qui renforce l'isolation graphique entre applications.
Le Centre canadien pour la cybersécurité publie le bulletin AV26-379 relayant plusieurs avis de sécurité n8n, dont certains critiques, affectant le MCP Client Registration, le dynamic-node-parameters, le XML Node Prototype Pollution, le XML Webhook, le SQL Mode of Merge Node, le MCP OAuth client et le Python Task Runner. Les administrateurs sont invités à appliquer sans délai les correctifs.
Rapid7 documente Kyber, un nouveau ransomware déployé en deux variantes sur un même réseau, l'une ciblant Windows et l'autre VMware ESXi. La version Windows combine AES-CTR pour le chiffrement des fichiers avec Kyber1024, un algorithme de cryptographie post-quantique, associé à X25519 pour protéger les clés. Le ransomware supprime ensuite les Volume Shadow Copies, efface les journaux d'événements, coupe les services SQL, Exchange et sauvegardes, et arrête les machines Hyper-V. La variante ESXi s'appuie sur ChaCha8 et RSA-4096.
Moonshot AI publie Kimi K2.6, un modèle open-weight sous licence Modified MIT reposant sur une architecture Mixture-of-Experts de 1 000 milliards de paramètres totaux dont 32 milliards activés par token. Sur SWE-Bench Pro, le modèle obtient 58,6 points contre 57,7 pour GPT-5.4 et 53,4 pour Claude Opus 4.6. Les poids sont publiés sur Hugging Face mais les données d'entraînement et la recette restent fermées, ce qui distingue K2.6 d'une démarche open source au sens strict.
Le NCSC britannique recommande désormais les passkeys comme méthode d'authentification de premier choix pour les consommateurs et par défaut pour les entreprises. Un rapport technique publié le 23 avril établit que les passkeys offrent une résilience au moins équivalente à celle d'un mot de passe robuste combiné à une 2SV, avec une connexion jusqu'à huit fois plus rapide et une résistance au phishing. Plus de 50 % des utilisateurs actifs des services Google britanniques disposent déjà d'un passkey enregistré.
Enfin, le FIRST publie un retour d'expérience de l'équipe CIRT-BS des Bahamas à l'approche du lancement officiel de Cyber Reef, son service dédié aux moyennes et grandes organisations. L'offre couvre threat intelligence ciblée, alertes sur systèmes compromis et credentials fuités, Website Security Posture Assessment, exercices tabletop, DFIR, et déploiement de sondes T-Pot honeypot. Emilio Smith souligne que la construction de la confiance avec les opérateurs télécoms et les infrastructures critiques reste le principal défi pour un CSIRT national.
Sources :
International cyber agencies share fresh advice to defend against China-linked covert networks — NCSC : https://www.ncsc.gov.uk/news/international-cyber-agencies-fresh-advice-defend-against-china-linked-covert-networks
Ubuntu 26.04 LTS : le Resolute Raccoon débarque aujourd'hui et change radicalement la donne — GoodTech : https://goodtech.info/ubuntu-26-04-lts-resolute-raccoon-sortie-gnome-50-gaming/
Bulletin de sécurité n8n (AV26-379) — Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-n8n-av26-379
Kyber, ce ransomware qui teste le chiffrement post-quantique sur Windows — Clubic : https://www.clubic.com/actualite-610348-kyber-ce-ransomware-qui-teste-le-chiffrement-post-quantique-sur-windows.html
Un modèle chinois coiffe Claude et GPT-5.4 au poteau sur le codage, une bascule pour l'IA ouverte ? — Clubic : https://www.clubic.com/actualite-610279-un-modele-chinois-coiffe-claude-et-gpt-5-4-au-poteau-sur-le-codage-une-bascule-pour-l-ia-ouverte.html
NCSC: Leave passwords in the past - passkeys are the future — NCSC : https://www.ncsc.gov.uk/news/ncsc-leave-passwords-in-the-past-passkeys-are-the-future
A reef takes time to grow: CIRT-BS — FIRST : https://www.first.org/blog/20260422-A-Reef-Takes-Time-to-Grow
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #NCSC #CYBERUK #China #CovertNetworks #EdgeDevices #FlaxTyphoon #IntegrityTechnology #Ubuntu #ResoluteRaccoon #Linux #Wayland #GNOME #Canonical #CCCS #n8n #MCP #OAuth #Rapid7 #Kyber #Ransomware #PostQuantum #Kyber1024 #ESXi #HyperV #MoonshotAI #KimiK2 #LLM #OpenWeight #HuggingFace #Passkeys #Authentication #Phishing #Passwords #FIRST #CIRTBS #Bahamas #CyberReef #Honeypot #DFIR #Infosec #CyberNews

La CISA ajoute une nouvelle entrée à son Known Exploited Vulnerabilities Catalog le 22 avril 2026 : la CVE-2026-33825, une faille d'Insufficient Granularity of Access Control affectant Microsoft Defender, activement exploitée. Les agences FCEB sont tenues de remédier dans les délais fixés par la Binding Operational Directive 22-01.
Le Centre canadien pour la cybersécurité publie le bulletin AV26-381 relayant la diffusion par Apple de correctifs de sécurité pour iOS et iPadOS dans les versions antérieures à 18.7.8 et 26.4.2. Les administrateurs sont invités à appliquer sans délai les mises à jour sur les parcs concernés.
Microsoft diffuse une mise à jour out-of-band corrigeant la CVE-2026-40372, une vulnérabilité critique d'ASP.NET Core notée 9.1 en CVSS. Une régression dans les packages NuGet Microsoft.AspNetCore.DataProtection 10.0.0 à 10.0.6 conduit le managed authenticated encryptor à calculer son HMAC sur des octets incorrects, permettant à un attaquant non authentifié de forger des payloads validés, déchiffrer des authentication cookies et obtenir des privilèges SYSTEM. L'exploitation suppose une exécution sur Linux, macOS ou un autre système non Windows. Les tokens émis pendant la fenêtre restent valides tant que le DataProtection key ring n'est pas rotaté.
Security Affairs rapporte une attaque DDoS majeure contre Mastodon le 20 avril 2026, quelques jours après un incident similaire ayant visé Bluesky. La plateforme open source décentralisée a rétabli l'accessibilité environ deux heures après détection. L'attaque contre Bluesky a été revendiquée par le groupe 313 Team, sans revendication publique à ce stade concernant Mastodon.
NPR révèle qu'Immigration and Customs Enforcement a confirmé pour la première fois l'usage du spyware Graphite, développé par la société israélienne Paragon Solutions, dans le cadre de ses opérations de Homeland Security Investigations. L'outil repose sur une capacité zero-click d'accès aux messages chiffrés. Paragon avait fait l'objet d'un contrat de 2 millions de dollars suspendu sous l'administration Biden puis relancé sous l'administration Trump, et a été rachetée fin 2024 par AE Industrial Partners, fusionnée avec la société de cybersécurité REDLattice.
Jenn Gile, cofondatrice d'OpenSourceMalware, publie sur le blog du FIRST une analyse expliquant en quoi les packages malveillants publiés sur les registres open source échappent au modèle classique d'intelligence des vulnérabilités. Le cas d'axios, client HTTP JavaScript téléchargé 100 millions de fois par semaine et dont deux versions malveillantes ont été publiées le 30 mars 2026 suite au hijacking du compte du mainteneur, illustre les limites de l'enregistrement OSV MAL-2026-2307 face à un RAT multiplateforme caché dans la dépendance injectée plain-crypto-js.
Didier Stevens documente sur l'Internet Storm Center du SANS l'utilisation de fichiers .wav comme vecteur de diffusion de malware, sans recours à la stéganographie. Les octets encodant le son sont directement remplacés par la représentation BASE64 d'un PE obfusqué en XOR. L'extraction repose sur une known-plaintext attack exploitant la signature du DOS header via les outils base64dump.py et xor-kpa.py.
Enfin, le Year in Review 2025 de Cisco Talos souligne que le phishing reste à l'origine de 40 % des initial access, avec une bascule vers des leurres workflow et un abus croissant de Microsoft 365 Direct Send pour spoofer des adresses internes. Près d'un tiers des MFA spray attacks visent désormais des solutions d'IAM, et les device compromise ont progressé de 178 % en 2025, majoritairement via du voice phishing contre les administrateurs.
Sources :
CISA Adds One Known Exploited Vulnerability to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/04/22/cisa-adds-one-known-exploited-vulnerability-catalog
Bulletin de sécurité Apple (AV26-381) — Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-apple-av26-381
Microsoft Patches Critical ASP.NET Core CVE-2026-40372 Privilege Escalation Bug — The Hacker News : https://thehackernews.com/2026/04/microsoft-patches-critical-aspnet-core.html
DDoS wave continues as Mastodon hit after Bluesky incident — Security Affairs : https://securityaffairs.com/191144/cyber-crime/ddos-wave-continues-as-mastodon-hit-after-bluesky-incident.html
ICE acknowledges it is using powerful spyware — NPR : https://www.npr.org/2026/04/07/nx-s1-5776799/ice-spyware-privacy
Malicious Packages Don't Fit the Vulnerability Intelligence Model — FIRST : https://www.first.org/blog/20260420-Malicious-Packages-Dont-Fit
A .WAV With A Payload — SANS Internet Storm Center : https://isc.sans.edu/diary/rss/32910
Phishing and MFA exploitation: Targeting the keys to the kingdom — Cisco Talos : https://blog.talosintelligence.com/phishing-and-mfa-exploitation-targeting-the-keys-to-the-kingdom/
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #KEV #CISA #CVE #MicrosoftDefender #Apple #iOS #iPadOS #CCCS #ASPNETCore #Microsoft #DataProtection #HMAC #Mastodon #Bluesky #DDoS #313Team #ICE #Graphite #Paragon #Spyware #ZeroClick #OpenSourceMalware #axios #npm #SupplyChain #FIRST #SANS #ISC #WAV #XOR #MalwareAnalysis #CiscoTalos #Phishing #MFA #DirectSend #IAM #DeviceCompromise #Infosec #CyberNews

Un article du Monde revient sur la diffusion exagérée par des influenceurs cyber d'une prétendue fuite touchant 714 000 utilisateurs d'Immojeune, annoncée sur BreachForums le 5 mars. Après analyse, la société indique que seuls 5 126 dossiers ont réellement fuité. Vincent Strubel, directeur général de l'ANSSI, rappelle lors du panorama 2025 de la cybermenace que reprendre sans recoupement les revendications d'attaquants pose un problème éthique, une position confortée par Ludovic Mé de l'Inria.
La CISA ajoute huit vulnérabilités à son Known Exploited Vulnerabilities Catalog, dont trois visent Cisco Catalyst SD-WAN Manager : CVE-2026-20122, CVE-2026-20128 et CVE-2026-20133. S'ajoutent des failles sur PaperCut NG/MF, JetBrains TeamCity, Kentico Xperience, Quest KACE SMA et Synacor Zimbra. Toutes sont exploitées activement et relèvent de la Binding Operational Directive 22-01 pour les agences FCEB.
Le CERT-FR publie deux avis. L'avis CERTFR-2026-AVI-0464 couvre la CVE-2026-6553 dans Typo3, affectant typo3/cms-backend avant la version 14.3.0 pour Composer, avec risque d'atteinte à la confidentialité. L'avis CERTFR-2026-AVI-0465 signale une vulnérabilité dans Mattermost Server 11.5.x avant 11.5.2, sans risque spécifié par l'éditeur.
Cleafy documente Mirax, un nouveau RAT Android distribué en private Malware-as-a-Service réservé à des affiliés russophones. Les campagnes ciblent l'Espagne via des Meta Ads sur Facebook et Instagram, pour une portée de plus de 200 000 comptes, avec des droppers hébergés sur GitHub Releases. Au-delà des HTML Overlays sur 182 applications, du VNC et du keylogging, Mirax intègre une capacité inédite de résidential proxy SOCKS5 multiplexé en Yamux via WebSocket, transformant chaque téléphone infecté en nœud de sortie légitime.
The Hacker News rapporte que Google a corrigé une vulnérabilité de code execution dans son IDE agentique Antigravity, identifiée par Pillar Security. Un Prompt Injection ciblant le paramètre Pattern de l'outil find_by_name, via le flag -X de fd, permet de contourner le Strict Mode et d'exécuter un binaire arbitraire. L'article revient également sur des failles patchées dans Claude Code, Copilot Agent, Cursor avec la chaîne NomShub, Microsoft Copilot Studio (CVE-2026-21520) et Salesforce Agentforce.
The Hacker News rapporte enfin qu'un troisième négociateur de ransomware, Angelo Martino, employé chez DigitalMint, a plaidé coupable devant le Department of Justice pour avoir collaboré avec les opérateurs de BlackCat en 2023. Il transmettait aux attaquants les positions de négociation et les plafonds d'assurance de cinq de ses clients, et a déployé directement du ransomware avec Ryan Goldberg (Sygnia) et Kevin Martin (DigitalMint). 10 millions de dollars d'actifs ont été saisis, verdict attendu le 9 juillet 2026.
Sources :
713 000 dossiers piratés ou vigilance recommandée : les excès d'alerte des influenceurs cyber sur les fuites de données — Le Monde : https://www.lemonde.fr/pixels/article/2026/03/18/713-000-dossiers-pirates-les-exces-d-alerte-des-influenceurs-cyber-sur-les-fuites-de-donnees_6672045_4408996.html
CISA Adds Eight Known Exploited Vulnerabilities to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/04/20/cisa-adds-eight-known-exploited-vulnerabilities-catalog
Vulnérabilité dans Typo3 — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0464/
Vulnérabilité dans Mattermost Server — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0465/
Mirax: a new Android RAT turning infected devices into potential residential proxy nodes — Cleafy : https://www.cleafy.com/cleafy-labs/mirax-a-new-android-rat-turning-infected-devices-into-potential-residential-proxy-nodes
Google Patches Antigravity IDE Flaw Enabling Prompt Injection Code Execution — The Hacker News : https://thehackernews.com/2026/04/google-patches-antigravity-ide-flaw.html
Ransomware Negotiator Pleads Guilty to Aiding BlackCat Attacks in 2023 — The Hacker News : https://thehackernews.com/2026/04/ransomware-negotiator-pleads-guilty-to.html
 
⚡️ On ne réfléchit pas, on patch ! 
📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #KEV #CISA #CVE #ANSSI #Immojeune #Cisco #SDWAN #PaperCut #TeamCity #Kentico #KACE #Zimbra #CERTFR #Typo3 #Mattermost #Cleafy #Mirax #Android #RAT #ResidentialProxy #SOCKS5 #MaaS #MetaAds #Google #Antigravity #PromptInjection #ClaudeCode #Cursor #CopilotStudio #Agentforce #BlackCat #Ransomware #DOJ #InsiderThreat #Infosec #CyberNews

Darktrace publie une analyse d'un nouveau malware baptisé ZionSiphon, spécifiquement conçu pour cibler les systèmes de traitement et de désalinisation de l'eau en Israël. L'échantillon combine privilege escalation, persistence via la clé de registre SystemHealthCheck, propagation par USB sous le faux processus svchost.exe, et scanning ICS sur Modbus port 502, DNP3 port 20000 et S7comm port 102. La target list nomme Mekorot, les usines de Sorek, Hadera, Ashdod, Palmachim et la station de Shafdan. Le payload vise la manipulation des dosages de chlore et des pressions hydrauliques. L'échantillon analysé reste non fonctionnel en raison d'une incohérence de clé XOR dans la fonction IsTargetCountry, déclenchant systématiquement la routine SelfDestruct. Des chaînes Base64 décodées contiennent des messages politiques signés 0xICS.
MZLA Technologies Corporation, filiale de la Mozilla Foundation, annonce Thunderbolt, un AI client open source et self-hostable destiné aux organisations. Le produit repose sur une intégration native avec Haystack, le framework open source d'orchestration d'agents et de RAG développé par la société berlinoise deepset. Thunderbolt supporte le Model Context Protocol et l'Agent Client Protocol, accepte des modèles commerciaux, open source ou locaux, et propose du end-to-end encryption en option. Des applications natives sont prévues pour Windows, macOS, Linux, iOS et Android. Le code source est publié sur GitHub, l'accès se fait via waitlist sur thunderbolt.io.
Le CERT-UA documente sous la référence UAC-0247 l'intensification depuis mars et avril 2026 de campagnes contre les collectivités locales et les hôpitaux publics ukrainiens. L'initial access repose sur du phishing autour de propositions d'aide humanitaire, parfois avec une page leurre générée par IA ou l'abus d'un site légitime vulnérable au XSS. La chaîne d'infection passe par un LNK déclenchant mshta.exe, puis un HTA qui charge un EXE via scheduled task, lequel injecte un shellcode dans RuntimeBroker.exe. Les campagnes récentes utilisent un loader en deux étapes avec un format exécutable propriétaire, suivi d'un RAVENSHELL chiffrant son trafic via XOR 9 octets, ou du RAT AGINGFLY en C# communiquant en WebSocket chiffré AES-CBC, avec handlers compilés dynamiquement depuis le C2. Un script PowerShell SILENTLOOP récupère l'adresse du C2 sur Telegram. Pour le lateral movement, les opérateurs emploient RUSTSCAN, LIGOLO-NG et CHISEL, et exploitent CHROMELEVATOR et ZAPIXDESK pour l'exfiltration de credentials. Le CERT-UA signale également le ciblage d'opérateurs FPV via un faux update du logiciel BACHU diffusé sur Signal, exploitant un DLL side-loading pour déployer AGINGFLY.
La CISA ajoute le 16 avril 2026 une nouvelle entrée à son catalogue Known Exploited Vulnerabilities : CVE-2026-34197, une faille critique affectant Apache ActiveMQ Classic, avec un score CVSS de 8.8. Selon l'analyse publiée par Horizon3.ai, il s'agit d'une faille d'improper input validation conduisant à une code injection via l'API Jolokia : un attaquant peut forcer le broker à charger un fichier de configuration distant et exécuter des commandes arbitraires au niveau du système d'exploitation. Naveen Sunkavally précise que la faille était dormante depuis treize ans. Sur les versions 6.0.0 à 6.1.1, la combinaison avec CVE-2024-32114, qui expose l'API Jolokia sans authentification, transforme la faille en unauthenticated RCE. Les correctifs sont disponibles dans les versions 5.19.4 et 6.2.3. Les agences FCEB doivent appliquer les correctifs avant le 30 avril 2026.
BleepingComputer rapporte que Microsoft a retiré une mise à jour de service empêchant certains utilisateurs de lancer le client desktop Microsoft Teams. L'incident, tracké sous la référence TM1283300, bloquait les utilisateurs sur l'écran de chargement avec le message d'erreur "We're having trouble loading your message. Try refreshing.". Microsoft a identifié la cause comme une régression dans le client build caching system de Teams, introduite par une mise à jour de service, et a procédé à un rollback complet. Les utilisateurs impactés doivent quitter totalement puis relancer Teams pour que la correction se propage. Microsoft a qualifié l'événement d'incident, une classification réservée aux dysfonctionnements critiques à impact visible.
BleepingComputer rapporte par ailleurs que Microsoft a publié une série de mises à jour out-of-band destinées à corriger deux dysfonctionnements survenus après le déploiement des correctifs de sécurité d'avril 2026. Le premier concerne des échecs d'installation de la mise à jour KB5082063 sur Windows Server 2025. Le second provoque une restart loop sur des domain controllers en raison de crashes du processus Local Security Authority Subsystem Service, LSASS. Les domain controllers non-Global Catalog opérant dans des environnements utilisant Privileged Access Management sont particulièrement exposés. Sept builds OOB ont été livrés, couvrant Windows Server 2016, 2019, 2022, 23H2, 2025, ainsi que les Azure Editions en Hotpatch. Seul le KB5091157 pour Windows Server 2025 adresse les deux known issues simultanément.
Xavier Mertens publie sur l'Internet Storm Center du SANS une analyse sur l'usage du scoring EPSS pour prioriser le triage des vulnérabilités. Face aux 40 000 CVE publiées en 2024 à un rythme d'environ 110 par jour dont seulement 5 à 7 % exploitées dans la nature, le seul score CVSS s'avère insuffisant. L'Exploit Prediction Scoring System, développé par le FIRST et en production dans sa version v3 depuis mars 2023, répond à une question probabiliste : la probabilité qu'une CVE soit exploitée dans les 30 jours suivant sa publication. Le modèle repose sur un gradient-boosted machine learning basé sur XGBoost, alimenté par environ 1 400 signaux mis à jour quotidiennement. L'auteur détaille une intégration concrète dans Wazuh via un script Python interrogeant l'API publique de FIRST et déclenchant un enrichissement automatique avec mapping en quatre niveaux : low, medium, high, critical.
Sources :
ZionSiphon Launches Sabotage Attacks On Israel's Water Infrastructure — CyberPress : https://cyberpress.org/zionsiphon-hits-water-infrastructure/
Announcing Thunderbolt — MZLA Technologies Corporation : https://www.thunderbolt.io/announcing-thunderbolt
Лікарні, органи місцевого самоврядування та оператори FPV — у фокусі кластера кіберзагроз UAC-0247 — CERT-UA : https://cert.gov.ua/article/6288271
CISA Adds One Known Exploited Vulnerability to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/04/16/cisa-adds-one-known-exploited-vulnerability-catalog
Microsoft pulls service update causing Teams launch failures — BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-teams-client-launch-failures-caused-by-service-update/
Microsoft releases emergency updates to fix Windows Server issues — BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-updates-to-fix-windows-server-issues/
Handling the CVE Flood With EPSS — SANS Internet Storm Center : https://isc.sans.edu/diary/rss/32914
⚡️ On ne réfléchit pas, on patch ! 
📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #KEV #CISA #CVE #Darktrace #ZionSiphon #ICS #OT #Israel #Water #Mozilla #Thunderbolt #Haystack #AI #SovereignAI #CERTUA #UAC0247 #Ukraine #Phishing #RAVENSHELL #AGINGFLY #SILENTLOOP #LIGOLO #RUSTSCAN #ApacheActiveMQ #Jolokia #RCE #Horizon3 #Microsoft #Teams #WindowsServer #LSASS #DomainController #OOB #KB5082063 #EPSS #FIRST #Wazuh #Infosec #CyberNews