RadioCSIRT - Edition Française

📱 Les chercheurs de Paradigm Shift publient usbliter8, un exploit non corrigeable ciblant le SecureROM des puces Apple A12 et A13. La faille, liée au contrôleur USB Synopsys DWC2, permet une exécution de code en mode privilégié EL1 via un accès physique en mode DFU. Les appareils concernés incluent les iPhone XS, XR, 11, SE deuxième génération et plusieurs iPad et Apple Watch. Aucun CVE attribué. (The Hacker News)
🐛 VulnCheck référence la CVE-2019-25748, une injection SQL non authentifiée dans JHotelReservation 6.0.7 pour Joomla. Le paramètre rooms du endpoint search-hotels permet d'extraire des données sensibles de la base via une requête POST. Score CVSS 3.1 HIGH. (CVEFeed)
☁️ AWS publie un guide d'utilisation de Kiro CLI pour l'investigation d'incidents de sécurité. L'assistant en ligne de commande automatise le triage de findings GuardDuty, le confinement d'instances EC2, l'analyse CloudTrail et la mise en place d'alertes via SNS et EventBridge. (AWS Security Blog)
🛡️ Le CERT Santé signale la CVE-2026-55203, un débordement d'entier dans le module FastCGI d'HAProxy. L'exploitation par un backend malveillant peut provoquer du request smuggling ou des problèmes de sécurité mémoire. Toutes versions jusqu'à 3.4.0 affectées, correctif dans le commit 5985276. (CERT Santé)
🚨 La CISA confirme l'exploitation active de la CVE-2026-20253 dans Splunk Enterprise et ordonne aux agences fédérales de corriger avant dimanche. La faille dans le service sidecar PostgreSQL permet la création de fichiers arbitraires sans authentification. Plus de 1 400 instances exposées recensées par Shadowserver. (BleepingComputer)
Sources : 
Unpatchable 'usbliter8' Exploit Breaks Apple A12 and A13 SecureROM Boot Chain — The Hacker News : https://thehackernews.com/2026/06/unpatchable-usbliter8-exploit-breaks.html
CVE-2019-25748 Joomla JHotelReservation SQL Injection — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2019-25748
Accelerate security investigations with Kiro CLI — AWS Security Blog : https://aws.amazon.com/fr/blogs/security/accelerate-security-investigations-with-kiro-cli/
HAProxy - CVE-2026-55203 — CERT Santé : https://cyberveille.esante.gouv.fr/alertes/haproxy-cve-2026-55203-2026-06-19
CISA: Splunk Enterprise flaw actively exploited, patch by Sunday — BleepingComputer : https://www.bleepingcomputer.com/news/security/cisa-splunk-enterprise-flaw-actively-exploited-patch-by-sunday/
 
⚡️ On ne réfléchit pas, on patch ! 
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Apple #SecureROM #usbliter8 #Joomla #JHotelReservation #CVE-2019-25748 #AWS #KiroCLI #GuardDuty #HAProxy #CVE-2026-55203 #Splunk #CISA #CVE-2026-20253 #RadioCSIRT

🚔 L'opération Endgame franchit une nouvelle étape avec le nettoyage de près de 15 000 sites WordPress infectés par SocGholish et la mise hors ligne de 106 serveurs liés à Evil Corp. F5 publie des correctifs hors cycle pour des failles critiques dans NGINX, notamment une use-after-free dans le module HTTP/3. Proofpoint détaille l'expansion mondiale de TA4922, groupe cybercriminel sinophone déployant Atlas RAT, RomulusLoader et des malware développés par LLM. La CISA ajoute la faille Joomla JCE CVE-2026-48907 au catalogue KEV. Le SANS ISC analyse trois mois d'attaques SSH coordonnées par botnet à partir de données honeypot.
🚔 Opération Endgame : nettoyage de 14 971 sites WordPress infectés par SocGholish et démantèlement de 106 serveurs liés à Evil Corp (BleepingComputer)
🛡️ F5 corrige CVE-2026-42530 et CVE-2026-42055 dans NGINX, failles use-after-free HTTP/3 et HTTP/2 avec scores CVSS v4.0 de 9.2 (GBHackers)
🎣 TA4922 : groupe sinophone en expansion mondiale, déploie Atlas RAT, RomulusLoader et SilentRunLoader via DLL sideloading et services cloud (Proofpoint)
🚨 CISA ajoute CVE-2026-48907, faille Joomla Content Editor exploitée activement, au catalogue KEV sous BOD 26-04 (CISA)
🐧 Analyse honeypot DShield : 20 millions de tentatives SSH brute force en 100 jours, corrélation avec événements géopolitiques et cybersécurité (SANS ISC)
Sources :
Police cleans nearly 15,000 SocGholish-infected sites tied to Evil Corp : https://www.bleepingcomputer.com/news/security/law-enforcement-nukes-socgholish-malware-from-nearly-15-000-sites/
F5 Patches NGINX Vulnerability Enabling Code Execution and DoS Attacks  : https://gbhackers.com/f5-patches-nginx-vulnerability/
TA4922: The Suspected Chinese Crime Group is Going Global  : https://www.proofpoint.com/us/blog/threat-insight/ta4922-suspected-chinese-crime-group-going-global
CISA Adds One Known Exploited Vulnerability to Catalog  : https://www.cisa.gov/news-events/alerts/2026/06/16/cisa-adds-one-known-exploited-vulnerability-catalog
The Behavior of Coordinated SSH Brute Force Attacks over the last three months — SANS ISC : https://isc.sans.edu/diary/rss/33086
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #SocGholish #EvilCorp #OperationEndgame #Europol #NGINX #F5 #CVE-2026-42530 #CVE-2026-42055 #CVE-2026-11311 #CVE-2026-50107 #HTTP3 #QUIC #TA4922 #AtlasRAT #RomulusLoader #SilentRunLoader #ValleyRAT #Winos4 #DLLSideloading #Proofpoint #Joomla #CVE-2026-48907 #CISA #KEV #BOD2604 #SSH #BruteForce #DShield #Honeypot #Botnet #HASSH #SANS #RadioCSIRT

🔓 La fuite FortiBleed expose les identifiants VPN de près de 75 000 équipements Fortinet dans 194 pays. La base contient des noms d'utilisateur et des mots de passe en clair d'organisations majeures. Un groupe russophone multi-opérateurs aurait mené plus d'un milliard de tentatives d'authentification. Kevin Beaumont confirme l'authenticité d'une partie des données et estime que la moitié des pare-feu Fortinet exposés sur Internet sont concernés.
☁️ Le Centre canadien pour la cybersécurité publie le bulletin AV26-605 relatif au correctif cumulatif trimestriel d'Oracle pour juin 2026. Des correctifs critiques couvrent MySQL, WebLogic, Solaris, VirtualBox, E-Business Suite, PeopleSoft et de nombreux autres produits.
💾 Le CERT-FR émet l'avis CERTFR-2026-AVI-0762 sur de multiples vulnérabilités dans les produits Qnap (QTS, QuTS hero, QuTS cloud, License Center, QuMagie, QVP). Les risques incluent l'exécution de code à distance, l'élévation de privilèges et le déni de service. Dix-huit CVE sont référencées, dont CVE-2026-44083 et CVE-2026-26236.
🎣 La police néerlandaise interpelle six suspects âgés de 15 à 30 ans opérant un centre d'appels frauduleux à Amsterdam. Les fraudeurs pratiquaient le vishing bancaire et se rendaient au domicile de leurs victimes, principalement des personnes âgées, pour voler leurs fonds.
Sources : 
FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices — BleepingComputer : https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/
Bulletin de sécurité Oracle – Correctif cumulatif trimestriel juin 2026 (AV26-605) — Centre canadien pour la cybersécurité : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-oracle-correctif-cumulatif-trimestriel-juin-2026-av26-605
Multiples vulnérabilités dans les produits Qnap (CERTFR-2026-AVI-0762) — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0762/
Helpdesk scammers are making house calls to make their lies feel more real — The Register : https://www.theregister.com/cyber-crime/2026/06/17/helpdesk-scammers-are-making-house-calls-to-make-their-lies-feel-more-real/5257454
⚡️ On ne réfléchit pas, on patch ! 
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #FortiBleed #Fortinet #FortiGate #VPN #SSL #Oracle #PatchTuesday #MySQL #WebLogic #Solaris #Qnap #QTS #CERTFR #Vishing #BankFraud #Netherlands #CVE-2026-44083 #CVE-2026-26236 #CVE-2026-26237 #CVE-2026-22893 #CVE-2025-59382 #RadioCSIRT

🚨 La CISA ajoute deux vulnérabilités à son catalogue KEV sur preuve d'exploitation active : CVE-2026-20262, une faille de Path Traversal dans Cisco Catalyst SD-WAN Manager, et CVE-2026-54420, un Symlink Following dans le plugin LiteSpeed pour cPanel. L'agence cite la Binding Operational Directive 26-04, qui impose aux agences fédérales civiles de prioriser la remédiation des vulnérabilités KEV à haut risque sur les actifs exposés.
🐛 Le chercheur Nightmare Eclipse annonce, dans un message signé PGP, la migration de son blog de Blogger vers blog.projectnightcrawler.dev. Il invoque le signalement automatique par Google des blogs de recherche personnels comme contenu malveillant. Ses travaux antérieurs incluent BlueHammer, la faille YellowKey et le correctif silencieux de RedSun.
🛡️ CVE-2026-7273 affecte les switches Zyxel de la série GS1900, dont le GS1900-48HPv2. Ce stack-based buffer overflow dans le programme CGI du firmware permet à un attaquant non authentifié, sur le réseau local, d'exécuter des commandes OS via une requête HTTP conçue. Score CVSS 8.8, CWE-121. Zyxel recommande la mise à jour du firmware.
🪟 La vulnérabilité CVE-2026-42824 dans Microsoft 365 Copilot, désignée SearchLeak, permettait en un seul clic de voler e-mails et fichiers depuis la mailbox, SharePoint et OneDrive et d'accéder au calendrier. Découverte par Varonis, elle visait Copilot Enterprise Search via un paramètre de lien interprété comme instruction et une exfiltration par balise img via Bing. Microsoft a corrigé le 4 juin.
🎣 Selon SOCRadar via Cyberpress, la plateforme de Phishing-as-a-Service The Quarry usurpe l'IRS et la SSA américaine. Active depuis avril 2025 et gérée par le développeur RockyBelling sur Telegram, elle équipe près de deux cents cybercriminels. Les packages, de 500 à 2000 dollars, incluent phishing kits, traffic cloaking via Adspect, bulk emailers et abus de logiciels RMM.
🔐 IBM X-Force, via GBHackers, relie les groupes de ransomware Rhysida et Interlock à un écosystème criminel commun d'initial access brokers, crypters, downloaders et backdoors. Interlock utilise NodeSnake, InterlockRAT et le crypter JunkFiction ; Rhysida s'appuie sur Endico, Broomstick et le crypter Tomb. Le broker TAG-124 diffuse via des leurres ClickFix. IBM appelle à une chasse fondée sur le comportement.
Sources : 
CISA Adds Two Known Exploited Vulnerabilities to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/06/15/cisa-adds-two-known-exploited-vulnerabilities-catalog
Moving to new blog, avoiding google censorship — Nightmare Eclipse : https://deadeclipse666.blogspot.com/2026/06/moving-to-new-blog-avoiding-google.html
CVE-2026-7273 Zyxel GS1900-48HPv2 Stack-Based Buffer Overflow RCE — CVEFeed.io : https://cvefeed.io/vuln/detail/CVE-2026-7273
Microsoft 365 Copilot-lek maakte via één click diefstal e-mails mogelijk — Security.NL : https://www.security.nl/posting/940691/Microsoft+365+Copilot-lek+maakte+via+één+click+diefstal+e-mails+mogelijk
Cybercriminals Use The Quarry Toolkit to Launch IRS and SSA Phishing Attacks — Cyberpress : https://cyberpress.org/quarry-toolkit-fuels-phishing/
Rhysida and Interlock Ransomware Groups Linked to Initial Access Brokers and Crypter Ecosystem — GBHackers : https://gbhackers.com/rhysida-and-interlock-ransomware/
⚡️ On ne réfléchit pas, on patch ! 
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #Cisco #LiteSpeed #cPanel #Zyxel #MicrosoftCopilot #Microsoft365 #Varonis #SearchLeak #Phishing #PhaaS #SOCRadar #IRS #SSA #Ransomware #Rhysida #Interlock #IBMXForce #CVE-2026-20262 #CVE-2026-54420 #CVE-2026-7273 #CVE-2026-42824 #RadioCSIRT

🇷🇺 Le russe Kaluga Astral confirme une cyberattaque ayant interrompu ses services environ une semaine, touchant déclaration fiscale, GED et messagerie de clients dont des entreprises d'État ; aucune fuite de données clients constatée, aucune attribution (Recorded Future News).
🇫🇷 Le CERT-FR publie l'avis CERTFR-2026-AVI-0752 sur de multiples vulnérabilités Mattermost Server (10.11.x < 10.11.20, 11.6.x < 11.6.5, 11.7.x < 11.7.3), risque non spécifié par l'éditeur, neuf bulletins MMSA du 12 juin.
🐛 L'acteur chinois UNC6508 a compromis des serveurs REDCap exposés pour déployer InfiniteRed et voler des données d'un établissement médical nord-américain ; persistance > 1 an, exfiltration par courriel via une règle de conformité de contenu détournée (BleepingComputer / GTIG).
🚨 La faille critique de désérialisation Jenkins CVE-2026-53435 (CVSS 9.0) est activement exploitée depuis le 15 juin ; correctifs Weekly 2.568 et LTS 2.555.3, deux open-redirect associées corrigées (Cyberpress / DefusedCyber).
🎣 La campagne Payroll Pirate utilise du phishing AiTM pour contourner le MFA, détourner les sessions et rerouter les virements de paie via de faux bénéficiaires et paiements hors cycle (GBHackers / BushidoToken).
📊 Le FIRST relève sa projection à ~66 000 CVE pour 2026 (+46,3 %), porté par la découverte assistée par IA, mais juge la charge de correctifs stable une fois filtrée par KEV et EPSS > 10 % (FIRST.org).
🇵🇱 Le groupe biélorusse GhostWriter (UNC1151 / Storm-0257) étend son phishing aux comptes Gmail personnels de responsables publics polonais et de leurs proches pour voler identifiants et codes 2FA (Recorded Future News / CERT Polska).
Sources :
 Cyberattack on Russian tech firm Astral disrupts business, government services for week — Recorded Future News : https://therecord.media/cyberattack-on-russian-tech-firm-astral-disrupts-business-government-services
Multiples vulnérabilités dans les produits Mattermost — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0752/
Chinese hackers breach REDCap servers, steal medical research — BleepingComputer : https://www.bleepingcomputer.com/news/security/chinese-hackers-breach-redcap-servers-steal-medical-research/
Critical Jenkins RCE Vulnerability Under Active Exploitation in the Wild — Cyberpress : https://cyberpress.org/jenkins-rce-vulnerability/
Payroll Pirate Campaign Uses AiTM Session Hijacking to Bypass MFA and Redirect Salaries — GBHackers : https://gbhackers.com/payroll-pirate-campaign-uses-aitm/
The 2026 Vulnerability Forecast Update: Navigating the AI Epoch — FIRST.org : https://www.first.org/blog/20260615-vulnerability-forecast-update
Belarus-linked hackers target Gmail accounts of Polish public figures and their families — Recorded Future News : https://therecord.media/ghostwriter-targets-personal-gmail-accounts-in-poland
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Astral #Russia #Mattermost #CERTFR #REDCap #InfiniteRed #UNC6508 #GTIG #China #Jenkins #RCE #Deserialization #PayrollPirate #AiTM #MFA #Phishing #FIRST #VulnerabilityForecast #EPSS #KEV #GhostWriter #UNC1151 #Storm0257 #Belarus #Poland #CERTPolska #CVE-2026-53435 #CVE-2026-53436 #CVE-2026-53437 #RadioCSIRT