RadioCSIRT - Edition Française

Cisco a publié un correctif pour une vulnérabilité de sévérité maximale affectant Secure Workload, permettant à un attaquant distant non authentifié d'accéder à des données sensibles. Référencée CVE-2026-20223 et scorée 10.0 en CVSS, la faille provient d'une validation et d'une authentification insuffisantes lors de l'accès aux endpoints de l'API REST. En envoyant une requête API spécialement conçue à un endpoint vulnérable, un attaquant peut lire des informations sensibles et modifier des configurations au-delà des frontières entre tenants, avec les privilèges du compte Site Admin. La faille touche Cisco Secure Workload Cluster Software, en déploiement SaaS comme on-prem, indépendamment de la configuration, et aucun workaround n'est disponible. Les versions corrigées sont la 3.10.8.3 et la 4.0.3.17, les branches 3.9 et antérieures devant migrer vers une release corrigée. Cisco indique avoir découvert la faille lors de tests internes, sans exploitation observée à ce jour. La divulgation intervient une semaine après l'exploitation active de la CVE-2026-20182, un contournement d'authentification dans Catalyst SD-WAN Controller, attribuée au threat actor UAT-8616.
Flipper Devices a officiellement dévoilé le Flipper One, un cyberdeck modulaire basé sur Linux, distinct du Flipper Zero et destiné aux opérations IP de niveau Layer 1 : networking, transfert de données et tâches de calcul intensives. Le matériel repose sur le SoC Rockchip RK3576, doté d'un CPU ARM 8 cœurs, d'un GPU Mali-G52, d'un NPU pour les charges IA locales et de 8 Go de RAM. Une architecture à co-processeur associe ce CPU à un microcontrôleur RP2350, qui maintient le contrôle bas niveau de l'affichage, des entrées et du boot même lorsque l'environnement Linux est hors ligne. La connectivité inclut deux ports Gigabit Ethernet, du Wi-Fi 6E supportant monitor mode et packet injection, et un slot M.2 acceptant modems 5G/LTE, modules SDR ou stockage NVMe. L'appareil fonctionne en toolkit réseau multi-interfaces avec jusqu'à cinq uplinks simultanés, autorisant le sniffing inline, l'analyse man-in-the-middle, le déploiement de VPN gateway et le multi-WAN. Il embarque Flipper OS, système Debian à profils, et l'interface FlipCTL. Flipper Devices collabore avec Collabora pour intégrer le support du RK3576 au kernel Linux mainline.
On apprend que  la CISA, l'agence américiane a mis en ligne le 21 mai 2026 un nouveau Nomination Form permettant aux chercheurs, éditeurs et partenaires industriels de signaler des Known Exploited Vulnerabilities. Ce dispositif vise à renforcer la capacité de la CISA à identifier, valider et diffuser rapidement les KEV. Le formulaire s'inscrit dans le prolongement de la Vulnerability Disclosure Policy Platform et du programme de Coordinated Vulnerability Disclosure de l'agence, qui encadrent la recherche de sécurité de bonne foi et la remédiation coordonnée. Chris Butera, Acting Executive Assistant Director for Cybersecurity, souligne que la détection précoce et la divulgation coordonnée figurent parmi les leviers les plus efficaces pour réduire le risque à grande échelle. Le catalogue KEV demeure la source de référence des vulnérabilités confirmées comme activement exploitées, assorties de consignes de remédiation. La soumission reste possible par e-mail à l'adresse [email protected], en complément du formulaire en ligne accessible depuis le portail KEV de la CISA.
D'après une recherche du rnbo, organisme ukrainien de cybersécurité, des groupes russes étatiques et criminels exploitent de manière croissante les services RDP exposés et les VPN gateways vulnérables pour pénétrer discrètement les réseaux cibles, avant de revendre ou d'instrumentaliser cet accès à des fins d'espionnage et de Ransomware. Ces erreurs de configuration d'accès distant deviennent des points d'entrée à forte valeur, négociés par des Initial Access Brokers sur les forums underground russophones. Les chercheurs ont observé des botnets mobilisant plus de 100 000 adresses IP uniques pour mener timing attacks et énumération de logins contre les services RDP, rendant le blocage par IP inopérant. Les opérations combinent credential stuffing, brute-force et exploitation de vulnérabilités connues d'appliances VPN. Une fois l'endpoint compromis, les courtiers taguent les identifiants valides selon la taille, la géographie et les privilèges de la cible, puis les vendent aux affiliés Ransomware et APT. Contre les réseaux gouvernementaux et d'infrastructures critiques européens et ukrainiens, les groupes pro-russes chaînent Phishing, exploitation VPN et abus RDP post-compromission, déployant des familles comme X2 et LockBit 3.0 après plusieurs jours de Lateral Movement silencieux.
Sources : 
Cisco Patches CVSS 10.0 Secure Workload REST API Flaw Enabling Data Access — The Hacker News : https://thehackernews.com/2026/05/cisco-patches-cvss-100-secure-workload.html
Flipper Introduces Flipper One as a Modular Linux-Based Cyberdeck — GBHackers : https://gbhackers.com/flipper-introduces-flipper-one-as-a-modular-linux-based-cyberdeck/
Flipper One: We Need Your Help — Flipper Devices : https://blog.flipper.net/flipper-one-we-need-your-help/
CISA to allow researchers to report vulnerabilities for KEV — The Record : https://therecord.media/cisa-to-allow-researchers-to-report-vulnerabilities-kev
CISA Enhances Known Exploited Vulnerabilities Catalog to Include New Nomination Form — CISA : https://www.cisa.gov/news-events/news/cisa-enhances-known-exploited-vulnerabilities-catalog-include-new-nomination-form
Russian Hackers Exploit RDP and VPNs to Breach Target Networks — Cyber Press : https://cyberpress.org/russian-hackers-exploit-access/
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Cisco #SecureWorkload #CVE202620223 #CVSS10 #RESTAPI #UAT8616 #CatalystSDWAN #FlipperOne #FlipperDevices #Cyberdeck #Linux #RK3576 #SDR #WiFi6E #PacketInjection #FlipperOS #Collabora #CISA #KEV #NominationForm #CVD #VDP #RDP #VPN #InitialAccessBroker #Ransomware #LockBit #CredentialStuffing #BruteForce #LateralMovement #PatchManagement #RadioCSIRT

Selon le CERT-UA, le cluster UAC-0057, également suivi sous le nom UNC1151, mène depuis le printemps 2026 une campagne de Phishing visant des organisations gouvernementales ukrainiennes. Les courriels, envoyés depuis des comptes compromis, exploitent la thématique de l'obtention de certificats via la plateforme Prometheus. Le vecteur d'Initial Access repose sur un PDF en pièce jointe contenant un lien menant au téléchargement d'une archive ZIP, laquelle embarque un fichier JS identifié comme OYSTERFRESH. Ce Loader affiche un document leurre, inscrit dans le registre une version obfusquée du Payload OYSTERBLUES, puis télécharge OYSTERSHUCK, son décodeur. Le décodage combine un reverse de chaîne, une transformation ROT13 et un URL-decoding. OYSTERBLUES collecte ensuite le nom de la machine, le compte utilisateur, la version de l'OS et la liste des processus, données transmises au serveur C2 par requête HTTP POST. En retour, le serveur renvoie du code JS exécuté via la fonction eval. À l'étape suivante, un composant Cobalt Strike peut être déployé. L'infrastructure reste masquée derrière Cloudflare, avec une forte proportion de domaines en TLD .icu.
Selon le blog du chercheur opérant sous le pseudonyme Nightmare Eclipse, un conflit ouvert oppose ce dernier au MSRC autour de la divulgation de vulnérabilités Windows. Le chercheur a publié plusieurs Proof of Concept en Full Disclosure sur GitHub, dont les exploits baptisés BlueHammer et RedSun, ce dernier répondant au correctif de la CVE-2026-33825. Le différend cristallise autour de la CVE-2026-45585, surnommée YellowKey, un security feature bypass affectant Windows. Microsoft affirme que la publication du Proof of Concept enfreint les bonnes pratiques de Coordinated Vulnerability Disclosure. Le chercheur conteste cette qualification, qu'il juge diffamatoire, et accuse l'éditeur d'avoir révoqué puis intégralement supprimé son compte MSRC, sans réponse de la direction à ses demandes d'explication. Il évoque par ailleurs un silent patch appliqué par Microsoft sur la vulnérabilité YellowKey, sans attribution de CVE initiale. Les publications, signées en PGP avec un hash SHA512, s'inscrivent dans une série d'au moins sept billets diffusés en mai 2026, marquant une escalade revendiquée du mode de divulgation.
Selon BleepingComputer, Google a accidentellement exposé les détails d'une faille Chromium non corrigée permettant à du JavaScript de continuer à s'exécuter en arrière-plan après la fermeture du navigateur, ouvrant la voie à une exécution de code à distance. Rapportée par la chercheuse Lyra Rebane et reconnue dès décembre 2022, la vulnérabilité repose sur l'abus d'un Service Worker qui ne se termine jamais, transformant le navigateur en membre permanent d'un botnet relié à un C2. Tous les navigateurs basés sur Chromium sont concernés : Chrome, Edge, Brave, Opera, Vivaldi et Arc. Le 20 mai, les restrictions d'accès sur le Chromium Issue Tracker ont été levées automatiquement, le bug ayant été marqué comme corrigé, alors qu'aucun patch n'avait été livré. En testant, Rebane a constaté que l'exploit fonctionne toujours sur Chrome Dev 150 et Edge 148. Sur Edge, l'exécution est désormais totalement silencieuse, la fenêtre de téléchargement ayant disparu. Les scénarios incluent attaques DDoS distribuées, proxy de trafic malveillant et redirection arbitraire. La faille ne franchit pas les barrières de sécurité du navigateur.
Selon Cyber Security News, une vulnérabilité zero-day d'exécution de code à distance, baptisée nginx-poolslip, affecterait NGINX 1.31.0, dernière version stable du serveur web. La découverte est attribuée à un chercheur opérant sous le nom Vega, au sein de l'équipe NebSec, et a été divulguée publiquement via X le 21 mai 2026. La faille viserait le mécanisme interne de gestion du memory pool de NGINX et permettrait une exécution de code à distance sans authentification préalable, via un contournement de l'ASLR. NebSec indique que le correctif d'une vulnérabilité antérieure, nginx-rift, n'a pas traité la surface d'attaque désormais exploitée. NGINX équipant 30 à 40 % des serveurs web mondiaux, reverse proxies, load balancers et API gateways inclus, les organisations ayant migré vers 1.31.0 resteraient exposées. À la publication, aucun CVE n'est attribué et aucun patch F5/NGINX n'est disponible. NebSec applique une responsible disclosure de 30 jours et retient les détails techniques du contournement ASLR jusqu'à correctif officiel. Cette information demeure non confirmée par F5 et appelle vérification.
Selon le SANS Internet Storm Center, dans une note signée Johannes Ullrich, il n'existe pas encore d'équivalent générique sous Linux à Proxifier, l'outil capable d'intercepter le trafic de processus spécifiques sous Windows, macOS et Android, utile pour le debugging et le reverse engineering en limitant le bruit d'analyse. Trois méthodes permettent toutefois de cibler le proxying par processus sous Linux. La première s'appuie sur les variables d'environnement http_proxy et https_proxy, définies dans un shell avant de lancer le logiciel à inspecter. La deuxième repose sur iptables, qui peut rediriger le trafic d'un utilisateur donné via l'option owner et le ciblage par UID, plutôt que par PID, ces derniers étant trop instables et multiples pour les processus multithreadés. La troisième utilise les network namespaces, qui créent des tables de routage distinctes par processus, en assignant explicitement les interfaces réseau au namespace. Ullrich qualifie cette dernière approche de plus polyvalente, notamment lorsque les variables d'environnement échouent, la solution iptables restant plus simple mais susceptible de générer du trafic résiduel non désiré.
Sources : 
Оновлений інструментарій UAC-0057 : OYSTERFRESH, OYSTERSHUCK та OYSTERBLUES — CERT-UA : https://cert.gov.ua/article/6315762
I have been profusely crying — Nightmare Eclipse : https://deadeclipse666.blogspot.com/2026/05/i-have-been-profusely-crying-i-will.html
Dear Microsoft — Nightmare Eclipse : https://deadeclipse666.blogspot.com/2026/05/dear-microsoft.html
Google accidentally exposed details of unfixed Chromium flaw — BleepingComputer : https://www.bleepingcomputer.com/news/security/google-accidentally-exposed-details-of-unfixed-chromium-flaw/
Selective HTTP Proxying in Linux — SANS Internet Storm Center : https://isc.sans.edu/diary/rss/33002
New NGINX 0-Day RCE nginx-poolslip Affects Millions of NGINX Servers — Cyber Security News : https://cybersecuritynews.com/nginx-0-day-rce-nginx-poolslip/
⚡️ On ne réfléchit pas, on patch ! 
📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CERTUA #UAC0057 #UNC1151 #OYSTERFRESH #OYSTERSHUCK #OYSTERBLUES #CobaltStrike #Phishing #Cloudflare #NightmareEclipse #ChaoticEclipse #Microsoft #MSRC #YellowKey #CVE202645585 #BlueHammer #RedSun #FullDisclosure #CVD #Google #Chromium #Chrome #Edge #ServiceWorker #Botnet #DDoS #JavaScript #SANS #ISC #Linux #Proxy #NetworkNamespaces #iptables #NGINX #nginxpoolslip #ZeroDay #RCE #ASLR #F5 #PatchManagement #RadioCSIRT

Selon la CISA, sept vulnérabilités ont été ajoutées au catalogue Known Exploited Vulnerabilities ce 20 mai 2026. Le lot mêle cinq failles Windows datant de 2008 à 2010 et deux vulnérabilités très récentes touchant Microsoft Defender : CVE-2026-41091, élévation de privilèges, et CVE-2026-45498, déni de service. D'après Barracuda Networks, ces deux failles s'inscrivent dans la campagne ouverte depuis avril 2026 par le chercheur Chaotic Eclipse, alias Nightmare-Eclipse, auteur de six zero-days successifs visant Microsoft en représailles d'un différend avec le MSRC. Les premiers exploits du même auteur, BlueHammer, RedSun et UnDefend, ont déjà été observés en exploitation hands-on-keyboard par Huntress, après initial access via SSL-VPN compromis. L'infrastructure observée est géolocalisée en Russie.
D'après le Drupal Security Team, l'avis SA-CORE-2026-004 corrige CVE-2026-9082, une injection SQL critique scorée 20 sur 25 dans l'API d'abstraction de base de données du core. La faille permet à un utilisateur anonyme de déclencher une injection SQL arbitraire conduisant à divulgation d'information, escalade de privilèges ou exécution de code à distance. Seuls les sites utilisant PostgreSQL sont exposés au vecteur SQL. Les releases intègrent toutefois des correctifs upstream coordonnés Symfony et Twig qui concernent l'ensemble du parc, indépendamment du moteur de base de données. Les versions corrigées sont 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 et 10.4.10.
L'Internet Systems Consortium publie un lot de quatre vulnérabilités affectant BIND 9, relayé par le Centre canadien pour la cybersécurité sous la référence AV26-490. La plus notable est CVE-2026-3593, une heap use-after-free dans l'implémentation DNS-over-HTTPS, exploitable à distance via du trafic HTTP/2 spécialement conçu, et scorée 7.4. La corruption mémoire touche serveurs autoritaires et résolveurs, sans authentification. Les versions concernées sont BIND 9.20.0 à 9.20.22 et 9.21.0 à 9.21.21. La branche 9.18 n'est pas affectée. Le bulletin couvre également CVE-2026-3039, CVE-2026-5947 et CVE-2026-5946 portant respectivement sur GSS-API TKEY, SIG(0) sous query flood et la gestion des classes DNS.
Le projet OpenBSD publie le 19 mai 2026 la version 7.9, soixantième release du système. Côté OpenSSH, dont OpenBSD est l'amont, sshd_config introduit une pénalité configurable applicable aux tentatives de connexion avec utilisateur invalide, mécanisme natif de mitigation du brute force SSH. Le packet filter pf intègre un limiteur de création d'états par source pour contenir les floods. Le mécanisme pledge, qui restreint les appels système d'un processus, bénéficie de plusieurs améliorations renforçant la mitigation des vulnérabilités exploitables. La version embarque également le support des VLAN dans les ponts Ethernet virtuels veb, le support des certificats par IP dans acme-client et le passage à 255 processeurs amd64.
Sources :
CISA Adds Seven Known Exploited Vulnerabilities to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/05/20/cisa-adds-seven-known-exploited-vulnerabilities-catalog
Drupal core - Highly critical - SQL injection - SA-CORE-2026-004 — Drupal.org : https://www.drupal.org/sa-core-2026-004
Bulletin de sécurité ISC BIND (AV26-490) — Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-isc-bind-av26-490
Sortie de la 60ᵉ version d'OpenBSD — LinuxFR : https://linuxfr.org/news/sortie-de-la-60-version-d-openbsd
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #ChaoticEclipse #NightmareEclipse #MicrosoftDefender #BlueHammer #RedSun #UnDefend #Huntress #Barracuda #ZeroDay #Drupal #SACORE2026004 #CVE20269082 #SQLInjection #PostgreSQL #Symfony #Twig #ISC #BIND #DNS #DoH #DNSOverHTTPS #UseAfterFree #OpenBSD #OpenSSH #pf #pledge #LibreSSL #PatchManagement #RadioCSIRT

Linus Torvalds publie Linux 7.1-rc4 et durcit la politique du noyau face à l'afflux massif de rapports de bugs générés par IA. La security list étant submergée par des doublons issus des mêmes outils d'analyse automatisée, Torvalds tranche : les bugs détectés par IA ne sont pas secrets par définition et leur traitement sur une liste privée constitue une perte de temps. Trois patches de Willy Tarreau et Jonathan Corbet clarifient les exigences applicables aux rapports assistés par IA.
Canonical publie un avis sur CVE-2026-46333, alias ssh-keysign-pwn, une race condition exploitable via ptrace permettant à un utilisateur local non privilégié de lire les fichiers ouverts par un exécutable suid ou sgid. Le PoC démontre la lecture de /etc/shadow via /usr/bin/chage et des clés privées hôtes OpenSSH via /usr/lib/openssh/ssh-keysign. Score CVSS 5.5, priorité Ubuntu High. Toutes les LTS sont affectées, mitigation par sysctl kernel.yama.ptrace_scope=2.
Selon Socket, une nouvelle vague Shai-Hulud a compromis 639 versions malveillantes sur 323 packages npm en une heure le 19 mai 2026. L'attaque exploite le compte mainteneur atool de l'écosystème @antv et touche notamment echarts-for-react et jest-canvas-mock. Exfiltration via le réseau P2P Session, génération d'attestations Sigstore valides via abus de tokens OIDC, persistance inédite via backdoors implantés dans les configurations VS Code et Claude Code.
INTERPOL annonce les résultats d'Operation Ramz dans la région MENA : plus de 200 arrestations, 382 suspects supplémentaires identifiés sur 13 pays, 53 serveurs phishing et malware saisis, 3 867 victimes confirmées. Collaboration avec Kaspersky, Group-IB, The Shadowserver Foundation, Team Cymru et TrendAI. Démantèlement notable d'une plateforme phishing-as-a-service en Algérie et d'une opération d'investment scam en Jordanie.
Selon Recorded Future News, la panne nationale des télécoms luxembourgeois du 23 juillet 2025 résulte d'une attaque zero-day visant les routeurs entreprise Huawei. Un trafic réseau spécialement forgé plaçait les équipements en boucle de redémarrage continue, coupant fixe, 4G et 5G pendant trois heures. Dix mois après les faits, aucun CVE n'a été publié, aucune alerte publique n'a été émise par Huawei.
Microsoft démantèle Fox Tempest, une plateforme de malware-signing-as-a-service active depuis mai 2025 qui abusait Microsoft Artifact Signing. Plus de 1 000 certificats révoqués, des centaines de tenants Azure mis hors ligne. Les affiliés Rhysida, INC, Qilin et Akira utilisaient le service pour signer Oyster, Lumma Stealer et Vidar, maquillés en AnyDesk, Teams, PuTTY ou Webex.
Cisco Talos divulgue onze vulnérabilités. Huit ciblent le routeur TP-Link Archer AX53, dont CVE-2026-30814, un stack-based buffer overflow conduisant à de l'arbitrary code execution, et plusieurs OS command injection dans les fonctions OpenVPN configuration restore. CVE-2026-34632 vise le processus d'installation d'Adobe Photoshop via Microsoft Store, CVE-2026-35058 frappe OpenVPN via une reachable assertion, et CVE-2025-58074 affecte Norton VPN.
Sources :
Linus Torvalds, Linux 7.1-rc4, LKML : https://lkml.org/lkml/2026/5/17/896
Luci Stanescu, CVE-2026-46333 ssh-keysign-pwn Linux kernel vulnerability mitigations, Canonical : https://ubuntu.com//blog/ssh-keysign-pwn-linux-vulnerability-fixes-available
Bill Toulas, New Shai-Hulud malware wave compromises 600 npm packages, BleepingComputer : https://www.bleepingcomputer.com/news/security/new-shai-hulud-malware-wave-compromises-600-npm-packages/
Bill Toulas, INTERPOL Operation Ramz seizes 53 malware phishing servers, BleepingComputer : https://www.bleepingcomputer.com/news/security/interpol-operation-ramz-seizes-53-malware-phishing-servers/
Huawei zero-day attack behind last year's crash of Luxembourg's entire telecoms network, The Record : https://therecord.media/huawei-zero-day-behind-last-year-luxembourg-telecom-outage
Microsoft disrupts Fox Tempest malware-signing-as-a-service platform tied to ransomware gangs, The Record : https://therecord.media/microsoft-disrupts-fox-tempest-malware-signing-service
Kri Dontje, TP-Link, Photoshop, OpenVPN, Norton VPN vulnerabilities, Cisco Talos : https://blog.talosintelligence.com/tp-link-photoshop-openvpn-norton-vpn-vulnerabilities/
⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09 
📩 Email : [email protected] 
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #ThreatIntelligence #LinuxKernel #LinusTorvalds #AI #CVE #ssh-keysign-pwn #ptrace #Ubuntu #Canonical #Qualys #ShaiHulud #npm #SupplyChain #Session #Sigstore #OIDC #VSCode #ClaudeCode #INTERPOL #OperationRamz #MENA #Huawei #ZeroDay #Luxembourg #POST #Microsoft #FoxTempest #MSaaS #ArtifactSigning #Rhysida #Qilin #Akira #LummaStealer #Vidar #CiscoTalos #TPLink #ArcherAX53 #Photoshop #OpenVPN #NortonVPN #PatchManagement #RadioCSIRT

Le CERT-FR a publié le 18 mai 2026 l'avis CERTFR-2026-AVI-0608 sur de multiples vulnérabilités dans Microsoft Azure Linux. L'avis consolide dix-huit bulletins de sécurité Microsoft datés des 3, 7 et 10 mai 2026, couvrant les composants binutils, coredns, fio, gdb, httpd, python-mistune et telegraf dans la distribution AZL3. Le risque est non spécifié par l'éditeur. Exemples de saut de version : httpd 2.4.66-1 vers 2.4.67-1, coredns 1.11.4-15 vers 1.11.4-16, telegraf 1.31.0-19 vers 1.31.0-20. Dix-sept CVE référencées au total. Les opérateurs Azure Linux sont invités à appliquer les correctifs via les canaux Microsoft habituels selon leur cycle de patch.
Le CERT-FR a également publié l'avis CERTFR-2026-AVI-0607 concernant Microsoft Edge, consolidant plus de soixante-quinze bulletins de sécurité Microsoft Edge publiés le 15 mai 2026. Les risques identifiés sont l'exécution de code arbitraire à distance, le contournement de la politique de sécurité et un risque non spécifié par l'éditeur. La version corrective est Microsoft Edge 148.0.3967.70, toutes versions antérieures concernées. L'avis ne distingue pas la criticité par CVE, ce qui invite à traiter l'ensemble comme prioritaire. Les administrateurs Intune et Configuration Manager sont incités à pousser la mise à jour sans délai et à vérifier le déploiement effectif via leurs canaux de reporting habituels.
Selon le National Cyber Security Centre britannique, dans un article du 11 mai 2026 signé Ruth C, responsable du Vulnerability Management Group, l'usage de l'intelligence artificielle pour rechercher des vulnérabilités appelle dix questions préalables. Le NCSC rappelle que sur les quarante mille CVE attribués en 2025, seuls quatre cents environ ont été activement exploités selon la CISA KEV, dont une quarantaine en zero-day initial. Trouver des vulnérabilités ne suffit pas à améliorer la sécurité, et sans processus de gestion en aval, la posture défensive peut se dégrader. Le NCSC recommande de combiner capacités IA et expertise humaine, et de prioriser l'asset management, le dependency management et la surface d'attaque externe.
D'après un guest diary du SANS Internet Storm Center publié le 15 mai 2026 par Gokul Prema Thangavel, étudiant SANS.edu, le botnet Outlaw connu sous le marqueur mdrfckr est entré dans sa troisième génération de client SSH. Entre le 14 et le 21 avril 2026, un capteur DShield a logué 24 IPs uniques écrivant le SHA-256 a8460f446be540410004b1a8db4083773fa46f7fe76fa84219c93daa1669f8f2 dans des fichiers authorized_keys, hash inchangé depuis 2018. Nouveauté : le hassh 03a80b21afa810682a776a7d42e5e6fb correspondant à libssh 0.11.1, après libssh 0.6 documentée en 2022 et libssh 0.9 documentée en 2023. Les règles de détection adossées aux hassh précédents manqueront cette génération. L'auteur recommande d'épingler la détection sur le SHA-256 du fichier, le blob de clé publique, la chaîne mdrfckr et la séquence de commandes de reconnaissance, plutôt que sur une valeur hassh donnée.
Sources :
Multiples vulnérabilités dans Microsoft Azure Linux — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0608/
Multiples vulnérabilités dans Microsoft Edge — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0607/
10 questions to ask when using AI models to find vulnerabilities — NCSC UK : https://www.ncsc.gov.uk/blogs/10-questions-ask-using-ai-models-find-vulnerabilities
New Malware Libraries means New Signatures — SANS Internet Storm Center : https://isc.sans.edu/diary/rss/32986
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #ThreatIntelligence #CERTFR #ANSSI #Microsoft #AzureLinux #MicrosoftEdge #PatchTuesday #PatchManagement #CVE #NCSC #UK #AI #LLM #VulnerabilityManagement #CISAKEV #ZeroDay #SANS #InternetStormCenter #DShield #Outlaw #mdrfckr #Botnet #SSH #libssh #hassh #DetectionEngineering #ThreatHunting #RadioCSIRT