RadioCSIRT - Edition Française

Darktrace publie une analyse d'un nouveau malware baptisé ZionSiphon, spécifiquement conçu pour cibler les systèmes de traitement et de désalinisation de l'eau en Israël. L'échantillon combine privilege escalation, persistence via la clé de registre SystemHealthCheck, propagation par USB sous le faux processus svchost.exe, et scanning ICS sur Modbus port 502, DNP3 port 20000 et S7comm port 102. La target list nomme Mekorot, les usines de Sorek, Hadera, Ashdod, Palmachim et la station de Shafdan. Le payload vise la manipulation des dosages de chlore et des pressions hydrauliques. L'échantillon analysé reste non fonctionnel en raison d'une incohérence de clé XOR dans la fonction IsTargetCountry, déclenchant systématiquement la routine SelfDestruct. Des chaînes Base64 décodées contiennent des messages politiques signés 0xICS.
MZLA Technologies Corporation, filiale de la Mozilla Foundation, annonce Thunderbolt, un AI client open source et self-hostable destiné aux organisations. Le produit repose sur une intégration native avec Haystack, le framework open source d'orchestration d'agents et de RAG développé par la société berlinoise deepset. Thunderbolt supporte le Model Context Protocol et l'Agent Client Protocol, accepte des modèles commerciaux, open source ou locaux, et propose du end-to-end encryption en option. Des applications natives sont prévues pour Windows, macOS, Linux, iOS et Android. Le code source est publié sur GitHub, l'accès se fait via waitlist sur thunderbolt.io.
Le CERT-UA documente sous la référence UAC-0247 l'intensification depuis mars et avril 2026 de campagnes contre les collectivités locales et les hôpitaux publics ukrainiens. L'initial access repose sur du phishing autour de propositions d'aide humanitaire, parfois avec une page leurre générée par IA ou l'abus d'un site légitime vulnérable au XSS. La chaîne d'infection passe par un LNK déclenchant mshta.exe, puis un HTA qui charge un EXE via scheduled task, lequel injecte un shellcode dans RuntimeBroker.exe. Les campagnes récentes utilisent un loader en deux étapes avec un format exécutable propriétaire, suivi d'un RAVENSHELL chiffrant son trafic via XOR 9 octets, ou du RAT AGINGFLY en C# communiquant en WebSocket chiffré AES-CBC, avec handlers compilés dynamiquement depuis le C2. Un script PowerShell SILENTLOOP récupère l'adresse du C2 sur Telegram. Pour le lateral movement, les opérateurs emploient RUSTSCAN, LIGOLO-NG et CHISEL, et exploitent CHROMELEVATOR et ZAPIXDESK pour l'exfiltration de credentials. Le CERT-UA signale également le ciblage d'opérateurs FPV via un faux update du logiciel BACHU diffusé sur Signal, exploitant un DLL side-loading pour déployer AGINGFLY.
La CISA ajoute le 16 avril 2026 une nouvelle entrée à son catalogue Known Exploited Vulnerabilities : CVE-2026-34197, une faille critique affectant Apache ActiveMQ Classic, avec un score CVSS de 8.8. Selon l'analyse publiée par Horizon3.ai, il s'agit d'une faille d'improper input validation conduisant à une code injection via l'API Jolokia : un attaquant peut forcer le broker à charger un fichier de configuration distant et exécuter des commandes arbitraires au niveau du système d'exploitation. Naveen Sunkavally précise que la faille était dormante depuis treize ans. Sur les versions 6.0.0 à 6.1.1, la combinaison avec CVE-2024-32114, qui expose l'API Jolokia sans authentification, transforme la faille en unauthenticated RCE. Les correctifs sont disponibles dans les versions 5.19.4 et 6.2.3. Les agences FCEB doivent appliquer les correctifs avant le 30 avril 2026.
BleepingComputer rapporte que Microsoft a retiré une mise à jour de service empêchant certains utilisateurs de lancer le client desktop Microsoft Teams. L'incident, tracké sous la référence TM1283300, bloquait les utilisateurs sur l'écran de chargement avec le message d'erreur "We're having trouble loading your message. Try refreshing.". Microsoft a identifié la cause comme une régression dans le client build caching system de Teams, introduite par une mise à jour de service, et a procédé à un rollback complet. Les utilisateurs impactés doivent quitter totalement puis relancer Teams pour que la correction se propage. Microsoft a qualifié l'événement d'incident, une classification réservée aux dysfonctionnements critiques à impact visible.
BleepingComputer rapporte par ailleurs que Microsoft a publié une série de mises à jour out-of-band destinées à corriger deux dysfonctionnements survenus après le déploiement des correctifs de sécurité d'avril 2026. Le premier concerne des échecs d'installation de la mise à jour KB5082063 sur Windows Server 2025. Le second provoque une restart loop sur des domain controllers en raison de crashes du processus Local Security Authority Subsystem Service, LSASS. Les domain controllers non-Global Catalog opérant dans des environnements utilisant Privileged Access Management sont particulièrement exposés. Sept builds OOB ont été livrés, couvrant Windows Server 2016, 2019, 2022, 23H2, 2025, ainsi que les Azure Editions en Hotpatch. Seul le KB5091157 pour Windows Server 2025 adresse les deux known issues simultanément.
Xavier Mertens publie sur l'Internet Storm Center du SANS une analyse sur l'usage du scoring EPSS pour prioriser le triage des vulnérabilités. Face aux 40 000 CVE publiées en 2024 à un rythme d'environ 110 par jour dont seulement 5 à 7 % exploitées dans la nature, le seul score CVSS s'avère insuffisant. L'Exploit Prediction Scoring System, développé par le FIRST et en production dans sa version v3 depuis mars 2023, répond à une question probabiliste : la probabilité qu'une CVE soit exploitée dans les 30 jours suivant sa publication. Le modèle repose sur un gradient-boosted machine learning basé sur XGBoost, alimenté par environ 1 400 signaux mis à jour quotidiennement. L'auteur détaille une intégration concrète dans Wazuh via un script Python interrogeant l'API publique de FIRST et déclenchant un enrichissement automatique avec mapping en quatre niveaux : low, medium, high, critical.
Sources :
ZionSiphon Launches Sabotage Attacks On Israel's Water Infrastructure — CyberPress : https://cyberpress.org/zionsiphon-hits-water-infrastructure/
Announcing Thunderbolt — MZLA Technologies Corporation : https://www.thunderbolt.io/announcing-thunderbolt
Лікарні, органи місцевого самоврядування та оператори FPV — у фокусі кластера кіберзагроз UAC-0247 — CERT-UA : https://cert.gov.ua/article/6288271
CISA Adds One Known Exploited Vulnerability to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/04/16/cisa-adds-one-known-exploited-vulnerability-catalog
Microsoft pulls service update causing Teams launch failures — BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-fixes-teams-client-launch-failures-caused-by-service-update/
Microsoft releases emergency updates to fix Windows Server issues — BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-updates-to-fix-windows-server-issues/
Handling the CVE Flood With EPSS — SANS Internet Storm Center : https://isc.sans.edu/diary/rss/32914
⚡️ On ne réfléchit pas, on patch ! 
📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #KEV #CISA #CVE #Darktrace #ZionSiphon #ICS #OT #Israel #Water #Mozilla #Thunderbolt #Haystack #AI #SovereignAI #CERTUA #UAC0247 #Ukraine #Phishing #RAVENSHELL #AGINGFLY #SILENTLOOP #LIGOLO #RUSTSCAN #ApacheActiveMQ #Jolokia #RCE #Horizon3 #Microsoft #Teams #WindowsServer #LSASS #DomainController #OOB #KB5082063 #EPSS #FIRST #Wazuh #Infosec #CyberNews

L'ASD publie en avril 2026 une mise à jour de son guide de sécurité dédié aux réseaux sociaux, ciblant particuliers, organisations et infrastructures critiques. Le document rappelle que des services comme TikTok, WeChat ou Telegram collectent des métadonnées au-delà du contenu des messages, potentiellement soumises à des accès légaux étrangers. Les risques opérationnels mis en avant incluent le social engineering via comptes de support compromis, l'agrégation d'informations à des fins d'espionnage, et la suppression des métadonnées de géolocalisation avant tout partage de contenu.
L'ASD met simultanément à jour son guide de détection des messages de social engineering, couvrant les vecteurs email, SMS et messageries instantanées. Le document détaille les techniques d'obfuscation d'URL par substitution de caractères, le recours à des instructions pas-à-pas pour réactiver les macros Microsoft Office désactivées, le CEO fraud, et une technique d'accès distant via QR code permettant de capturer des identifiants à l'insu de l'utilisateur sous couvert d'une offre de support non sollicitée.
La CISA ajoute le 14 avril 2026 deux nouvelles entrées à son catalogue KEV sur la base de preuves d'exploitation active. CVE-2009-0238 concerne une vulnérabilité de Remote Code Execution dans Microsoft Office, notable par sa réexploitation active près de dix-sept ans après sa divulgation. CVE-2026-32201 affecte Microsoft SharePoint Server via une validation incorrecte des entrées utilisateur. Les agences fédérales civiles américaines sont tenues de remédier à ces deux failles dans les délais imposés par la BOD 22-01.
Le CERT-FR publie l'avis CERTFR-2026-AVI-0440 faisant état de vingt-sept bulletins Fortinet émis simultanément le 14 avril 2026, couvrant FortiOS, FortiProxy, FortiManager, FortiAnalyzer, FortiWeb, FortiClientEMS, FortiSOAR, FortiSandbox, FortiNAC-F, FortiNDR, FortiPAM, FortiVoice, FortiDDoS-F et FortiSwitchManager. Les impacts incluent l'exécution de code arbitraire à distance, l'élévation de privilèges, le déni de service, des injections SQL, du XSS et du SSRF. Vingt-sept CVE sont référencées, dont CVE-2026-27316 pour laquelle FortiSandbox reste affecté même en version 4.4.9.
Le CERT-FR publie l'avis CERTFR-2026-AVI-0439 relatif à deux vulnérabilités affectant Ivanti Neurons for ITSM dans toutes les versions antérieures à 2025.4. CVE-2026-4913 et CVE-2026-4914 permettent respectivement une injection de code indirecte à distance de type XSS et un contournement de politique de sécurité, sur une plateforme de gestion de services IT fréquemment exposée en environnement d'entreprise.
Le CERT-FR publie l'avis CERTFR-2026-AVI-0434 dans le cadre du SAP Security Patch Day d'avril 2026, couvrant vingt CVE sur un périmètre étendu : SAP NetWeaver Application Server ABAP et Java, S/4HANA, BusinessObjects BI Platform, SAP ERP, HANA Cockpit, Business Planning and Consolidation et Supplier Relationship Management. Les impacts les plus critiques incluent l'exécution de code arbitraire à distance, des injections SQL et des dénis de service. Des instances en versions SAP_BASIS 700 restent dans le périmètre affecté, signalant la persistance d'environnements ERP vieillissants non corrigés.
BleepingComputer rapporte la compromission de plus de trente plugins WordPress du package EssentialPlugin, dont certains comptent des centaines de milliers d'installations actives. Un Backdoor introduit en août 2025 après le rachat du projet est resté dormant avant d'être activé, téléchargeant un fichier wp-comments-posts.php pour injecter un Payload dans wp-config.php. La campagne combine deux mécanismes d'évasion : résolution d'adresse C2 via Ethereum et ciblage exclusif du Googlebot. WordPress.org a déployé une mise à jour forcée, tout en avertissant que wp-config.php reste potentiellement compromis et nécessite une vérification manuelle.
Sources :
Security tips for social media and messaging services — Australian Signals Directorate : https://www.cyber.gov.au/business-government/protecting-business-leaders/security-tips-for-social-media-and-messaging-services
Detecting socially engineered messages — Australian Signals Directorate : https://www.cyber.gov.au/business-government/protecting-devices-systems/hardening-systems-applications/email-hardening/detecting-socially-engineered-messages
CISA adds two known exploited vulnerabilities to catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/04/14/cisa-adds-two-known-exploited-vulnerabilities-catalog
CERTFR-2026-AVI-0440 — Multiples vulnérabilités dans les produits Fortinet — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0440/
CERTFR-2026-AVI-0439 — Multiples vulnérabilités dans Ivanti Neurons — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0439/
CERTFR-2026-AVI-0434 — Multiples vulnérabilités dans les produits SAP — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0434/
WordPress plugin suite hacked to push malware to thousands of sites — BleepingComputer : https://www.bleepingcomputer.com/news/security/wordpress-plugin-suite-hacked-to-push-malware-to-thousands-of-sites/
⚡️ On ne réfléchit pas, on patch ! 
📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #KEV #CISA #CVE #ASD #SocialEngineering #Phishing #QRCode #CEOFraud #Microsoft #SharePoint #Fortinet #FortiOS #FortiManager #FortiProxy #Ivanti #NeuronsForITSM #XSS #SAP #NetWeaver #S4HANA #BusinessObjects #WordPress #Backdoor #SupplyChain #Malware #C2 #Ethereum #Infosec #CyberNews

Le Patch Tuesday de Microsoft du 14 avril 2026 corrige 167 vulnérabilités dont deux Zero-Days : CVE-2026-32201 dans SharePoint Server (Spoofing, CVSS 6.5, exploitation active confirmée) et CVE-2026-33825 dans Microsoft Defender (EoP SYSTEM, CVSS 7.8, PoC BlueHammer publié sur GitHub onze jours avant le patch par "Chaotic Eclipse").

CVE-2026-33824 dans Windows IKE version 2 : RCE non authentifiée, CVSS 9.8, paquets IKEv2 forgés suffisants pour compromettre tout système exposant UDP/500 ou UDP/4500. MSRC évalue "Exploitation Less Likely" malgré le score maximal — mitigation temporaire disponible par filtrage pare-feu de ces deux ports.

CVE-2026-33826 dans Active Directory : RCE via appel RPC, vecteur Adjacent (AV:A), authentification requise, périmètre exclusivement serveur de 2016 à 2025, évaluation "Exploitation More Likely". CVE-2026-33115 et CVE-2026-33114 dans Microsoft Word : RCE Critiques activables via le volet de prévisualisation sans ouverture du document, vecteur phishing direct sur M365 Apps et Office LTSC. Le cycle compte également 93 Elevation of Privilege sur des composants basse couche : WinSock, UPnP, Projected File System, Push Notifications.

Sources :

Microsoft Patch Tuesday Analyse technique par Marc Frédéric GOMEZ : https://blog.marcfredericgomez.fr/patch-tuesday-avril-2026/
Microsoft April 2026 Patch Tuesday fixes 167 flaws, 2 zero-days — BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-april-2026-patch-tuesday-fixes-167-flaws-2-zero-days/
Microsoft's April 2026 Patch Tuesday Addresses 163 CVEs (CVE-2026-32201) — Tenable Research : https://www.tenable.com/blog/microsofts-april-2026-patch-tuesday-addresses-163-cves
Microsoft releases Windows 10 KB5082200 extended security update — BleepingComputer : https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-windows-10-kb5082200-extended-security-update/
Microsoft Security Update Guide April 2026 — MSRC : https://msrc.microsoft.com/update-guide/releaseNote/2026-Apr

⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #Infosec #CyberNews #PatchTuesday #Microsoft #CVE #ZeroDay #SharePoint #Spoofing #Defender #BlueHammer #EoP #IKE #RCE #ActiveDirectory #OfficeWord #PreviewPane #Phishing #KB5082200 #Windows #MSRC #VulnerabilityManagement

GNU nano 9.0 "Le bonheur est dans le pré" : défilement horizontal synchronisé sur l'ensemble des lignes, navigation latérale du viewport via M-< et M->, touches M-Arrow rebindables, gestion des macros ajustée et compatibilité de la scrollbar avec --mouse.
Les mainteneurs du noyau Linux, dont Greg Kroah-Hartman, adoptent de nouveaux outils de fuzzing incluant un framework interne et des approches assistées par LLM (KernelGPT) — bugs identifiés dans SMB/KSMBD, USB, HID, F2FS et pilotes sans fil.
Le CERT-FR publie l'avis CERTFR-2026-AVI-0426 relatif à deux vulnérabilités dans CPython : CVE-2026-1502 et CVE-2026-3446, permettant un contournement de la politique de sécurité sur les instances sans les derniers correctifs.
Storm, nouvel infostealer commercialisé à partir de 900 dollars par mois, déchiffre les credentials navigateur intégralement côté serveur, contourne le MFA via restauration de session automatisée (Google Refresh Token + SOCKS5), et cible Chromium, Gecko, wallets crypto et messageries.
Nginx 1.29.8 et FreeNginx corrigent des failles critiques non détaillées, introduisent la compatibilité OpenSSL 4.0, la directive max_headers et les wildcards dans le bloc geo.
Sources :
GNU nano 9.0 release notes : https://www.nano-editor.org/news.php
Linux Kernel Developers Adopt New Fuzzing Tools — Linux Journal : https://www.linuxjournal.com/content/linux-kernel-developers-adopt-new-fuzzing-tools
CERTFR-2026-AVI-0426 — Multiples vulnérabilités dans Python — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0426/
A Quiet "Storm": Infostealer Hijacks Sessions, Decrypts Server-Side — Varonis Threat Labs : https://www.varonis.com/blog/storm-infostealer
New Nginx 1.29.8 and FreeNginx Versions Patch Critical Security Flaws — GBHackers : https://gbhackers.com/new-nginx-1-29-8-and-freenginx-patch-flaws/
⚡️ On ne réfléchit pas, on patch ! 
📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #Infosec #CyberNews #Linux #KernelFuzzing #Syzkaller #KernelGPT #Python #CPython #CVE #CERTFR #Storm #Infostealer #SessionHijacking #CredentialTheft #MFA #Bypass #Nginx #FreeNginx #OpenSSL #WebServer #GNUNano

La CISA ajoute sept nouvelles entrées à son catalogue KEV le 13 avril 2026, confirmant l'exploitation active de failles couvrant Adobe, Microsoft et Fortinet — dont une CVE datant de 2012.

La CVE-2026-34621 dans Adobe Acrobat et Reader : prototype pollution de sévérité critique (CVSS 8.6), zero-day exploité dans la nature depuis novembre 2025 via des fichiers PDF malveillants, correctif d'urgence APSB26-43 publié par Adobe le 11 avril 2026 après détection par la plateforme EXPMON.

La CVE-2026-21643 dans Fortinet FortiClientEMS 7.4.4 : injection SQL exploitable sans authentification permettant l'exécution de code à distance, corrigée en février 2026, désormais activement exploitée moins de trois mois après la publication du patch.

La CVE-2025-60710 dans le Host Process for Windows Tasks (Windows 11 24H2/25H2, Windows Server 2025) : link following permettant une élévation de privilèges locale jusqu'au niveau SYSTEM (CVSS 7.8), corrigée lors du Patch Tuesday de novembre 2025, exploitation confirmée en avril 2026.

La CVE-2023-21529 dans Microsoft Exchange Server : désérialisation de données non fiables, vecteur d'exécution de code à distance, persistance de l'exploitation trois ans après la publication du correctif.

La CVE-2023-36424 dans Microsoft Windows : lecture hors limites (out-of-bounds read), exploitation continue sur des parcs non patchés depuis 2023.

La CVE-2020-9715 dans Adobe Acrobat : use-after-free datant de 2020, toujours activement exploité sur des instances non maintenues.

La CVE-2012-1854 dans Microsoft Visual Basic for Applications : insecure library loading vieille de quatorze ans, inscription au KEV en 2026 confirmant la persistance de systèmes non supportés dans des environnements réels.

Sources :

CISA Known Exploited Vulnerabilities — 7 nouvelles entrées du 13 avril 2026 : https://www.cisa.gov/news-events/alerts/2026/04/13/cisa-adds-seven-known-exploited-vulnerabilities-catalog
Adobe emergency fix for CVE-2026-34621 actively exploited — Help Net Security : https://www.helpnetsecurity.com/2026/04/13/adobe-acrobat-reader-cve-2026-34621-emergency-fix/
Adobe fixes actively exploited Acrobat Reader flaw CVE-2026-34621 — Security Affairs : https://securityaffairs.com/190697/security/adobe-fixes-actively-exploited-acrobat-reader-flaw-cve-2026-34621.html
CVE-2026-21643 : Critical SQL Injection in FortiClientEMS — Arctic Wolf : https://arcticwolf.com/resources/blog/cve-2026-21643/
CVE-2025-60710 — Host Process for Windows Tasks EoP — RedPacket Security : https://www.redpacketsecurity.com/cve-alert-cve-2025-60710-microsoft-windows-11-version-24h2/

⚡️ On ne réfléchit pas, on patch !

📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

#RadioCSIRT #CyberSécurité #CTI #ThreatIntelligence #CERT #CSIRT #SOC #KEV #CISA #CVE #Adobe #AcrobatReader #PrototypePollution #ZeroDay #EXPMON #Fortinet #FortiClientEMS #SQLInjection #Windows #LinkFollowing #ElevationOfPrivilege #Exchange #Deserialization #UseAfterFree #DLLHijacking #VBA #PatchTuesday #Infosec #CyberNews