RadioCSIRT - Edition Française

🐧 La CISA ajoute deux vulnérabilités activement exploitées à son catalogue KEV. La CVE-2022-0492 vise le noyau Linux via les cgroups : authentification incorrecte, élévation de privilèges et évasion de conteneurs à la clé. La CVE-2025-48595, elle, frappe l'Android Framework avec un Integer Overflow.
🐬 La fondation OurSQL voit le jour pour porter l'écosystème MySQL. Structure 501(c)(6), indépendante et vendor-neutral, présidée par Vadim Tkachenko de Percona. Au menu : base de bugs publique, transparency log des correctifs et formations. Oracle n'en est pas membre.
🦊 Le CERT-FR signale de multiples vulnérabilités dans Mozilla Firefox (avis AVI-0684). Toutes les versions antérieures à 151.0.3 sont concernées. Risque non spécifié par l'éditeur, deux CVE au compteur. On met à jour le navigateur.
🩺 Un acteur sous le pseudo « Lagui » revendique le vol des données de 34 millions d'assurés via le DMP. Méthode annoncée : usurpation d'une e-CPS de médecin, puis énumération en modifiant un paramètre d'URL. Les chercheurs flairent un agrégat de fuites recyclées ; l'Assurance Maladie dément toute intrusion.
🗂️ Stored XSS dans GLPI, référencée CVE-2026-5385. Un payload persistant se loge dans la base de connaissances, score CVSS 8,4. Correctif en version 11.0.7. D'après l'advisory Fluid Attacks.
🤖 Des attaquants pro-iraniens détournent des comptes Instagram, dont ceux de l'Obama White House et de l'U.S. Space Force. L'astuce : pousser l'assistant IA de support de Meta à relier le compte à une nouvelle adresse, puis déclencher un reset. Les comptes protégés par MFA ont tenu.
🎮 WeedHack, un Malware-as-a-Service ciblant Minecraft, infecte plus de 116 000 systèmes depuis janvier. Distribution par YouTube et SEO poisoning, infostealer gratuit, accès distant en premium dès 5 dollars. McAfee a tracé 3 820 fichiers JAR malveillants.
📶 Acer corrige deux zero-day de sévérité maximale sur ses routeurs Wave 7. La CVE-2026-49200 expose des identifiants en clair sans authentification ; la CVE-2026-49201 repose sur une clé AES codée en dur ouvrant un backdoor persistant. Patch visé fin juin.
🇬🇭 Le FIRST détaille le modèle ghanéen de CERT sectoriels, hébergés au sein des régulateurs pour s'appuyer sur leurs pouvoirs. Le secteur bancaire affiche 100 % de couverture via le FICSOC. Seuls les logs sont collectés, pas les données métier.
🏴‍☠️ Opération KRATOS 2 : Europol et la Bulgarie frappent le streaming illégal. Bilan : 29 arrestations, neuf groupes criminels démantelés, plus de 27 000 URL retirées. Infrastructure éclatée sur plusieurs pays pour échapper à la détection.
🪖 Aux États-Unis, une commission chiffre à 11 milliards de dollars la création d'une Cyber Force militaire dédiée, forte de 30 000 personnels. Première nouvelle branche depuis la Space Force de 2019. Travaux portés par le CSIS et la FDD.
Sources :
CISA Adds Two Known Exploited Vulnerabilities to Catalog — CISA : https://mail.google.com/mail/u/0/?ogbl#inbox/FMfcgzQgMChRndDxBfJTkBkrWvHzVjGb
OurSQL Foundation Launches to Support MySQL Users, Developers, and Companies — OurSQL / GlobeNewswire : https://www.globenewswire.com/news-release/2026/05/27/3302305/0/en/oursql-foundation-launches-to-support-mysql-users-developers-and-companies.html
Multiples vulnérabilités dans Mozilla Firefox — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0684/
Fuite massive ou coup de bluff ? Un pirate revendique le vol des données médicales de 34 millions de Français — 01net : https://www.01net.com/actualites/fuite-massive-coup-bluff-pirate-revendique-vol-donnees-medicales-34-millions-francais-assurance-maladie-dement.html
CVE-2026-5385 : GLPI Stored XSS in Knowledge Base — CVEFeed : https://cvefeed.io/vuln/detail/CVE-2026-5385
Hackers Used Meta's AI Support Bot to Seize Instagram Accounts — Krebs on Security : https://krebsonsecurity.com/2026/06/hackers-used-metas-ai-support-bot-to-seize-instagram-accounts/
Malware Campaign Targeting Minecraft Users Infects Over 116,000 Systems — Help Net Security : https://www.helpnetsecurity.com/2026/06/03/weedhack-minecraft-malware-campaign/
Acer Working to Patch Max Severity Zero-Days in Wave 7 Routers — BleepingComputer : https://www.bleepingcomputer.com/news/security/acer-warns-of-max-severity-zero-days-affecting-wave-7-routers/
Sector CERTs and How To Build Them — FIRST : https://www.first.org/blog/20260525-Sector-CERTs-and-how-to-build-them
29 Arrested as Law Enforcement Strikes Criminal Networks Behind Illegal Streaming — Europol : https://www.europol.europa.eu/media-press/newsroom/news/29-arrested-law-enforcement-strikes-criminal-networks-behind-illegal-streaming
New Cyber Force Would Cost Up to $11 Billion to Start, Commission Says — The Record : https://therecord.media/new-cyber-force-would-cost-11-billion-commission
⚡️ On ne réfléchit pas, on patch ! 
📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #LinuxKernel #CVE20220492 #Android #CVE202548595 #MySQL #OurSQL #OpenSource #CERTFR #Firefox #Mozilla #DMP #AssuranceMaladie #DataBreach #eCPS #GLPI #StoredXSS #CVE20265385 #Meta #Instagram #AISecurity #SocialEngineering #Minecraft #WeedHack #MaaS #Infostealer #Acer #Wave7 #ZeroDay #Router #FIRST #SectorCERT #Ghana #Europol #Kratos2 #IPTV #CyberForce #Pentagon #RadioCSIRT

⚠️ La CISA ajoute la CVE-2024-21182 à son catalogue KEV : une vulnérabilité non spécifiée dans Oracle WebLogic Server, sur preuve d'exploitation active. Peu de détails techniques publiés, mais l'inscription au KEV impose aux agences fédérales de corriger sans délai.
📬 Le CERT-FR alerte sur une vulnérabilité dans Laravel (avis AVI-0670). Contournement de la politique de sécurité référencé CVE-2026-48019. Versions 12.x antérieures à 12.60.0 et 13.x antérieures à 13.10.0 du framework PHP. On patche.
🎮 Près de 2 000 sites WordPress compromis dans une campagne qui planque son command and control dans des commentaires de profils Steam Community. Six caractères Unicode invisibles encodent la charge, parfois maquillée en ASCII art, et reconstruisent une URL vers hello-mywordl[.]info. Une backdoor PHP attend ensuite un cookie tEcaKKXEsb. C2 hébergé chez Valve, détection compliquée.
🚓 Aux Pays-Bas, le FIOD frappe fort. Deux arrestations le 18 mai et plus de 800 serveurs saisis. L'infrastructure visée hébergeait les actifs de Stark Industries Solutions, sanctionné par l'UE, via the[.]hosting et WorkTitans BV. Cyberattaques et désinformation pro-russes au cœur de l'enquête.
Sources :
CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2024-21182) — CISA : https://www.cisa.gov/news-events/alerts/2026/06/01/cisa-adds-one-known-exploited-vulnerability-catalog
Vulnérabilité dans Laravel — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0670/
WordPress malware campaign hides payloads in Steam profiles — BleepingComputer : https://www.bleepingcomputer.com/news/security/wordpress-malware-campaign-hides-payloads-in-steam-profiles/
Netherlands Seizes 800 Servers, Arrests 2 for Aiding Cyberattacks — Krebs on Security : https://krebsonsecurity.com/2026/05/netherlands-seizes-800-servers-arrests-2-for-aiding-cyberattacks/
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #Oracle #WebLogic #CVE202421182 #CERTFR #Laravel #PHP #CVE202648019 #WordPress #Steam #Malware #Backdoor #C2 #GoDaddy #FIOD #StarkIndustries #MIRhosting #WorkTitans #Sanctions #Russia #PatchManagement #RadioCSIRT

🐝 Perplexity ouvre le code de Bumblebee, un scanner en lecture seule écrit en Go et sans dépendance. Sur les postes de développeurs macOS et Linux, il traque paquets, extensions et configs d'outils d'IA compromis, là où ni les scanners SBOM ni les EDR ne regardent. Windows non couvert au lancement.
⚠️ La CISA ajoute la CVE-2026-48172 à son catalogue KEV : une élévation de privilèges dans le plugin LiteSpeed pour cPanel. N'importe quel compte cPanel peut exécuter des scripts arbitraires avec les droits root. Déjà activement exploitée.
🔓 Rebelote le 29 mai : la CVE-2026-0257 entre au KEV. Contournement d'authentification dans PAN-OS de Palo Alto, permettant d'établir une connexion VPN non autorisée. Échéance de patch fédérale : 1er juin.
📬 Le CERT-FR alerte sur de multiples vulnérabilités dans Roundcube (avis AVI-0644). Exécution de code à distance, injection SQL et SSRF au menu. Versions 1.6.x antérieures à 1.6.16 et 1.7.x antérieures à 1.7.1. On patche le webmail.
🏗️ Le NCSC publie un guide de conception pour le ZTNA. Le constat qui pique : la plupart des déploiements échouent non par manque de fonctionnalités, mais parce qu'ils reconduisent la vieille hypothèse « position réseau = confiance ». Outils neufs, réflexes anciens.
👻 Nightmare Eclipse remet une pièce contre Microsoft. Après le retrait de son dépôt public, le chercheur annonce « Bitskrieg » : une faille qui briserait les garanties de Secure Boot et contournerait entièrement BitLocker. Divulgation annoncée pour juin. Revendications non confirmées par l'éditeur.
⚽ À l'approche de la Coupe du monde 2026, Group-IB démasque GHOST STADIUM : plus de 4 300 domaines clonant la FIFA au pixel près, avec le SSO PingIdentity détourné via de vrais identifiants clients. Fraude aux billets premium estimée entre 71 et 474 millions de dollars.
📡 ShinyHunters publie les données de Charter Communications après un refus de rançon. L'acteur revendique plus de 42 millions d'enregistrements ; Have I Been Pwned en retient 4,9 millions d'adresses e-mail. Charter confirme l'incident mais dément toute exfiltration de données sensibles ou de CPNI.
Sources :
 Perplexity Is Open-Sourcing Bumblebee — Perplexity : https://www.perplexity.ai/fr/hub/blog/perplexity-is-open-sourcing-bumblebee
 CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-48172) — CISA : https://www.cisa.gov/news-events/alerts/2026/05/26/cisa-adds-one-known-exploited-vulnerability-catalog
 CISA Adds One Known Exploited Vulnerability to Catalog (CVE-2026-0257) — CISA : https://www.cisa.gov/news-events/alerts/2026/05/29/cisa-adds-one-known-exploited-vulnerability-catalog
 Multiples vulnérabilités dans Roundcube — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0644/
 Designing secure access with ZTNA — NCSC : https://www.ncsc.gov.uk/blogs/designing-secure-access-with-ztna
 Announcing Bitskrieg / July 14th — Nightmare Eclipse : https://deadeclipse666.blogspot.com/2026/05/announcing-bitskrieg.html
 300+ Fake Domains Used in GHOST STADIUM Campaign Targeting World Cup Fans — CyberPress : https://cyberpress.org/ghost-stadium-targets-fans/
 ShinyHunters Leaks Charter Communications Data, Potentially Impacting 5 Million Customers — Security Affairs : https://securityaffairs.com/192907/uncategorized/shinyhunters-leaks-charter-communications-data-potentially-impacting-5-million-customers.html
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09 
📩 Email : [email protected] 
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

🕹️ 570 systèmes d'exploitation, de 1948 à aujourd'hui, réunis dans une seule VM Linux. Le Virtual OS Museum vous fait passer du Manchester Baby à UNIX System V en un clic. Un voyage temporel dans le silicium, jouable directement depuis votre navigateur.
⚠️ La CISA ajoute la CVE-2026-9082 à son catalogue KEV : une SQL Injection dans le cœur de Drupal, déjà activement exploitée. Le compte à rebours du patch est lancé.
🛠️ Sept bulletins d'un coup pour Mattermost. Le CERT-FR alerte : Desktop App et Server sont touchés. On vérifie sa version, on patche.
💥 CVSS 10. Microsoft publie la CVE-2026-42901 sur Entra ID : Elevation of Privilege, exploitable à distance, sans authentification, et un scope Changed qui déborde du périmètre vulnérable.
🔓 Dans la foulée, la CVE-2026-33843 frappe Azure AD B2C : Elevation of Privilege critique en CVSS 9,1, exploitable à distance et confirmée par Microsoft comme par MITRE.
🤖 Un russophone, un Gemini jailbreaké et 73 clés d'API volées : voilà toute la « stack » d'une campagne qui a vidé le wallet d'au moins une victime MAGA. Faux wallet StellarMonster, RAT GoToResolve, brute-force WordPress assisté par IA. Le cybercrime à acteur unique, dopé au LLM.
🏛️ Comble de l'ironie : l'agence chargée de protéger les États-Unis laisse fuiter ses propres clés AWS GovCloud sur un GitHub public. Le Congrès exige des réponses, la CISA peine encore à révoquer les credentials.
Sources : 
Hackers Compromise Laravel-Lang Packages via 700 GitHub Repos — GBHackers : https://gbhackers.com/compromise-laravel-lang-packages/
L'arche de Noé du code : 570 systèmes d'exploitation dans une seule machine — GoodTech : https://goodtech.info/interim-computer-museum-sdf-570-systemes-exploitation-retro/
CISA Adds One Known Exploited Vulnerability to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/05/22/cisa-adds-one-known-exploited-vulnerability-catalog
Multiples vulnérabilités dans les produits Mattermost — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0632/
CVE-2026-42901 Microsoft Entra ID Elevation of Privilege Vulnerability — CVEFeed.io : https://cvefeed.io/vuln/detail/CVE-2026-42901
CVE-2026-33843 Microsoft Azure Active Directory B2C Elevation of Privilege Vulnerability — CVEFeed.io : https://cvefeed.io/vuln/detail/CVE-2026-33843
Jailbroken Gemini helped Russian-speaking fraudster target MAGA crypto users — The Register : https://www.theregister.com/cyber-crime/2026/05/22/jailbroken-gemini-helped-russian-speaking-fraudster-target-maga-crypto-users/ Lawmakers Demand 
Answers as CISA Tries to Contain Data Leak — KrebsOnSecurity : https://krebsonsecurity.com/2026/05/lawmakers-demand-answers-as-cisa-tries-to-contain-data-leak/
⚡️ On ne réfléchit pas, on patch ! 
📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #SupplyChain #LaravelLang #RCE #CredentialStealer #VirtualOSMuseum #RetroComputing #CISA #KEV #Drupal #SQLInjection #CVE20269082 #CERTFR #Mattermost #Microsoft #EntraID #CVE202642901 #CVSS10 #AzureADB2C #CVE202633843 #PrivilegeEscalation #Gemini #LLM #Jailbreak #CryptoFraud #RAT #WordPress #GitHub #GovCloud #DataLeak #PatchManagement #RadioCSIRT

Cisco a publié un correctif pour une vulnérabilité de sévérité maximale affectant Secure Workload, permettant à un attaquant distant non authentifié d'accéder à des données sensibles. Référencée CVE-2026-20223 et scorée 10.0 en CVSS, la faille provient d'une validation et d'une authentification insuffisantes lors de l'accès aux endpoints de l'API REST. En envoyant une requête API spécialement conçue à un endpoint vulnérable, un attaquant peut lire des informations sensibles et modifier des configurations au-delà des frontières entre tenants, avec les privilèges du compte Site Admin. La faille touche Cisco Secure Workload Cluster Software, en déploiement SaaS comme on-prem, indépendamment de la configuration, et aucun workaround n'est disponible. Les versions corrigées sont la 3.10.8.3 et la 4.0.3.17, les branches 3.9 et antérieures devant migrer vers une release corrigée. Cisco indique avoir découvert la faille lors de tests internes, sans exploitation observée à ce jour. La divulgation intervient une semaine après l'exploitation active de la CVE-2026-20182, un contournement d'authentification dans Catalyst SD-WAN Controller, attribuée au threat actor UAT-8616.
Flipper Devices a officiellement dévoilé le Flipper One, un cyberdeck modulaire basé sur Linux, distinct du Flipper Zero et destiné aux opérations IP de niveau Layer 1 : networking, transfert de données et tâches de calcul intensives. Le matériel repose sur le SoC Rockchip RK3576, doté d'un CPU ARM 8 cœurs, d'un GPU Mali-G52, d'un NPU pour les charges IA locales et de 8 Go de RAM. Une architecture à co-processeur associe ce CPU à un microcontrôleur RP2350, qui maintient le contrôle bas niveau de l'affichage, des entrées et du boot même lorsque l'environnement Linux est hors ligne. La connectivité inclut deux ports Gigabit Ethernet, du Wi-Fi 6E supportant monitor mode et packet injection, et un slot M.2 acceptant modems 5G/LTE, modules SDR ou stockage NVMe. L'appareil fonctionne en toolkit réseau multi-interfaces avec jusqu'à cinq uplinks simultanés, autorisant le sniffing inline, l'analyse man-in-the-middle, le déploiement de VPN gateway et le multi-WAN. Il embarque Flipper OS, système Debian à profils, et l'interface FlipCTL. Flipper Devices collabore avec Collabora pour intégrer le support du RK3576 au kernel Linux mainline.
On apprend que  la CISA, l'agence américiane a mis en ligne le 21 mai 2026 un nouveau Nomination Form permettant aux chercheurs, éditeurs et partenaires industriels de signaler des Known Exploited Vulnerabilities. Ce dispositif vise à renforcer la capacité de la CISA à identifier, valider et diffuser rapidement les KEV. Le formulaire s'inscrit dans le prolongement de la Vulnerability Disclosure Policy Platform et du programme de Coordinated Vulnerability Disclosure de l'agence, qui encadrent la recherche de sécurité de bonne foi et la remédiation coordonnée. Chris Butera, Acting Executive Assistant Director for Cybersecurity, souligne que la détection précoce et la divulgation coordonnée figurent parmi les leviers les plus efficaces pour réduire le risque à grande échelle. Le catalogue KEV demeure la source de référence des vulnérabilités confirmées comme activement exploitées, assorties de consignes de remédiation. La soumission reste possible par e-mail à l'adresse [email protected], en complément du formulaire en ligne accessible depuis le portail KEV de la CISA.
D'après une recherche du rnbo, organisme ukrainien de cybersécurité, des groupes russes étatiques et criminels exploitent de manière croissante les services RDP exposés et les VPN gateways vulnérables pour pénétrer discrètement les réseaux cibles, avant de revendre ou d'instrumentaliser cet accès à des fins d'espionnage et de Ransomware. Ces erreurs de configuration d'accès distant deviennent des points d'entrée à forte valeur, négociés par des Initial Access Brokers sur les forums underground russophones. Les chercheurs ont observé des botnets mobilisant plus de 100 000 adresses IP uniques pour mener timing attacks et énumération de logins contre les services RDP, rendant le blocage par IP inopérant. Les opérations combinent credential stuffing, brute-force et exploitation de vulnérabilités connues d'appliances VPN. Une fois l'endpoint compromis, les courtiers taguent les identifiants valides selon la taille, la géographie et les privilèges de la cible, puis les vendent aux affiliés Ransomware et APT. Contre les réseaux gouvernementaux et d'infrastructures critiques européens et ukrainiens, les groupes pro-russes chaînent Phishing, exploitation VPN et abus RDP post-compromission, déployant des familles comme X2 et LockBit 3.0 après plusieurs jours de Lateral Movement silencieux.
Sources : 
Cisco Patches CVSS 10.0 Secure Workload REST API Flaw Enabling Data Access — The Hacker News : https://thehackernews.com/2026/05/cisco-patches-cvss-100-secure-workload.html
Flipper Introduces Flipper One as a Modular Linux-Based Cyberdeck — GBHackers : https://gbhackers.com/flipper-introduces-flipper-one-as-a-modular-linux-based-cyberdeck/
Flipper One: We Need Your Help — Flipper Devices : https://blog.flipper.net/flipper-one-we-need-your-help/
CISA to allow researchers to report vulnerabilities for KEV — The Record : https://therecord.media/cisa-to-allow-researchers-to-report-vulnerabilities-kev
CISA Enhances Known Exploited Vulnerabilities Catalog to Include New Nomination Form — CISA : https://www.cisa.gov/news-events/news/cisa-enhances-known-exploited-vulnerabilities-catalog-include-new-nomination-form
Russian Hackers Exploit RDP and VPNs to Breach Target Networks — Cyber Press : https://cyberpress.org/russian-hackers-exploit-access/
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : [email protected]
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #Cisco #SecureWorkload #CVE202620223 #CVSS10 #RESTAPI #UAT8616 #CatalystSDWAN #FlipperOne #FlipperDevices #Cyberdeck #Linux #RK3576 #SDR #WiFi6E #PacketInjection #FlipperOS #Collabora #CISA #KEV #NominationForm #CVD #VDP #RDP #VPN #InitialAccessBroker #Ransomware #LockBit #CredentialStuffing #BruteForce #LateralMovement #PatchManagement #RadioCSIRT