RadioCSIRT - Edition Française

Nous revenons dans cet épisode sur le déploiement par la France de sa plateforme de visioconférence souveraine Visio dans l'ensemble des services gouvernementaux d'ici 2027. Cette initiative remplace Microsoft Teams et Zoom au sein de l'administration publique française et s'inscrit dans le plan Suite Numérique visant à garantir la souveraineté numérique. La plateforme Visio intègre des fonctionnalités d'intelligence artificielle développées par Pyannote et est hébergée sur l'infrastructure cloud souveraine Outscale de Dassault Systèmes.
La CISA a ajouté le 27 janvier 2026 la CVE-2026-24858 à son catalogue KEV. Cette vulnérabilité de contournement d'authentification affecte plusieurs produits Fortinet incluant FortiAnalyzer, FortiManager, FortiOS et FortiProxy. L'exploitation permet à un attaquant disposant d'un compte FortiCloud et d'un appareil enregistré de se connecter à d'autres appareils enregistrés sur d'autres comptes lorsque l'authentification SSO FortiCloud est activée. Les organisations doivent suivre les directives de Fortinet pour évaluer leur exposition et appliquer les correctifs disponibles.
Le CERT-FR a publié l'avis CERTFR-2026-AVI-0088 concernant la CVE-2026-21968 dans MariaDB. Cette vulnérabilité permet un déni de service à distance et affecte les versions 10.11.x antérieures à 10.11.16, 11.4.x antérieures à 11.4.10, 11.8.x antérieures à 11.8.6 et 12.2.x antérieures à 12.2.2. Les administrateurs doivent appliquer les correctifs fournis par MariaDB dans le bulletin de sécurité du 26 janvier 2026.
Nous terminons avec SolarWinds qui a publié un avis de sécurité concernant six vulnérabilités dans Web Help Desk dont quatre critiques. Les CVE-2025-40551 et CVE-2025-40553 permettent l'exécution de code à distance non authentifiée via désérialisation de données. Les CVE-2025-40552 et CVE-2025-40554 constituent des contournements d'authentification avec un impact équivalent. Les versions 12.8.8 Hotfix 1 et antérieures sont affectées. La mise à jour vers Web Help Desk 2026.1 corrige l'ensemble de ces vulnérabilités.
Sources
Euronews – France Visio souverain : https://www.euronews.com/next/2026/01/27/france-to-ditch-us-platforms-microsoft-teams-zoom-for-sovereign-platform-amid-security-con
CISA – CVE-2026-24858 Fortinet KEV : https://www.cisa.gov/news-events/alerts/2026/01/27/cisa-adds-one-known-exploited-vulnerability-catalog
CERT-FR – Avis MariaDB : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0088/
BleepingComputer – SolarWinds Web Help Desk : https://www.bleepingcomputer.com/news/security/solarwinds-warns-of-critical-web-help-desk-rce-auth-bypass-flaws/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous revenons dans cet épisode sur la CVE-2026-21509, une vulnérabilité zero-day de contournement de fonctionnalité de sécurité affectant la suite Microsoft Office. Microsoft a publié un avis de sécurité le 26 janvier indiquant une exploitation active dans la nature. La CISA a ajouté cette CVE à son catalogue KEV le même jour, confirmant le niveau de menace critique. Cette vulnérabilité fait partie des cinq nouvelles entrées KEV incluant également CVE-2025-52691 et CVE-2026-23760 affectant SmarterTools SmarterMail, La CVE-2026-24061 pour GNU InetUtils et CVE-2018-14634 pour le noyau Linux.
Les opérateurs de Kimwolf, botnet perturbateur ayant infecté plus de 2 millions d'appareils, ont partagé une capture d'écran indiquant qu'ils auraient compromis le panneau de contrôle de Badbox 2.0. Badbox 2.0 constitue un vaste botnet basé en Chine alimenté par des logiciels malveillants préinstallés sur de nombreux boîtiers de streaming Android TV. Cette interconnexion potentielle donnerait aux opérateurs de Kimwolf un contrôle sur plusieurs millions d'appareils Android supplémentaires, illustrant une consolidation préoccupante des infrastructures malveillantes.
Plus de 6000 serveurs SmarterTools SmarterMail à travers le monde restent exposés à une vulnérabilité critique d'exécution de code à distance actuellement exploitée. Cette situation concerne directement les CVE-2025-52691 et CVE-2026-23760 ajoutées au catalogue KEV. La compromission de ces serveurs de messagerie d'entreprise pourrait donner accès à des communications sensibles et servir de point d'entrée pour des mouvements latéraux dans les réseaux.
Nous terminons avec Stanley, nouveau service de malware-as-a-service proposant des extensions Chrome malveillantes garantissant leur publication sur le Chrome Web Store officiel. Ce service contourne le processus de révision de Google et cible les activités de phishing. Le modèle as-a-service abaisse significativement la barrière d'entrée pour les cybercriminels, leur permettant d'accéder à des capacités techniques sophistiquées sans expertise préalable.
Sources
Krebs on Security – Badbox 2.0 Botnet : https://krebsonsecurity.com/2026/01/who-operates-the-badbox-2-0-botnet/
Cyberpress – SmarterMail RCE : https://cyberpress.org/6000-smartermail-servers-exposed-to-actively-exploited-rce-vulnerability/
BleepingComputer – Stanley MaaS Chrome : https://www.bleepingcomputer.com/news/security/new-malware-service-guarantees-phishing-extensions-on-chrome-web-store/
CISA – Catalogue KEV : https://www.cisa.gov/news-events/alerts/2026/01/26/cisa-adds-five-known-exploited-vulnerabilities-catalog
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous revenons dans cet épisode sur la CVE-2026-24061, vulnérabilité critique vieille de onze ans affectant le serveur telnetd de GNU InetUtils versions 1.9.3 à 2.7. Cette faille permet un contournement d'authentification donnant un accès root en définissant USER sur -f root. GreyNoise détecte des exploitations actives depuis le 21 janvier par 18 adresses IP. Shadowserver recense près de 800000 serveurs Telnet exposés globalement. Le correctif est disponible dans GNU InetUtils version 2.8 publiée le 20 janvier.
L'Irlande propose le Communications Interception and Lawful Access Bill pour remplacer la législation de 1993. Le projet autorise l'interception de toutes communications incluant IoT, email et messageries chiffrées, sans préciser la méthode technique. Il établit une base légale pour l'utilisation de spywares avec approbation judiciaire et l'usage d'IMSI catchers. Le Recording Devices Bill de décembre 2025 ajoute la reconnaissance faciale en temps réel. L'Irish Council for Civil Liberties exprime de sérieuses préoccupations sur la normalisation des mesures exceptionnelles.
Une étude Stanford révèle une chute de 20% des postes d'ingénieurs logiciels juniors entre 2022 et 2025 aux États-Unis. Cinq dirigeants identifient les compétences clés face à l'IA : traduction de la valeur tech en enjeux business, hybridation des profils, esprit critique, curiosité et désapprentissage constant. Diana Schildhouse de Colgate-Palmolive souligne que l'IA accélère l'accès à l'information mais ne fournit pas de stratégie.
Nous terminons avec Microsoft qui stocke les clés de chiffrement BitLocker sans protection sur ses serveurs et les transmet au FBI sur demande judiciaire. Matt Green de Johns Hopkins University précise que contrairement à Apple et Google, Microsoft ne chiffre pas les clés de récupération côté client, annulant la protection du chiffrement de disque.
Sources
BleepingComputer – CVE-2026-24061 Telnet GNU InetUtils : https://www.bleepingcomputer.com/news/security/nearly-800-000-telnet-servers-exposed-to-remote-attacks/
The Register – Communications Interception Bill Irlande : https://www.theregister.com/2026/01/21/ireland_wants_to_give_police/
ZDNet – Compétences IT face à l'IA : https://www.zdnet.fr/pratique/emploi-it-voici-les-5-competences-cles-pour-rester-indispensable-face-a-lia-selon-5-patrons-du-secteur-488843.htm
OSnews – Microsoft BitLocker clés FBI : https://www.osnews.com/story/144265/microsoft-gave-fbi-bitlocker-keys-to-unlock-encrypted-data-because-of-course-they-did/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cet épisode avec cette information de Clubic sur l'alerte de la CISA américaine qui à ajoutée la CVE-2024-37079 à son catalogue KEV. Cette vulnérabilité critique de VMware vCenter Server obtient un score CVSS de 9.8 et affecte l'implémentation du protocole DCERPC. Broadcom avait publié le correctif en juin 2024. VulnCheck confirme l'exploitation active par trois groupes APT chinois : Fire Ant, Warp Panda et UNC3886. Les agences fédérales américaines disposent jusqu'au 13 février pour déployer le patch. (Complément par rapport à l'épisode 558 de RadioCSIRT)

Microsoft publie une mise à jour d'urgence hors-bande KB5078127 le 24 janvier pour corriger les blocages d'Outlook Classic. Le Patch Tuesday KB5074109 du 13 janvier provoquait des freezes pour les profils POP et les fichiers PST stockés sur OneDrive et Dropbox. Les symptômes incluent l'impossibilité de rouvrir Outlook sans terminer le processus et le retéléchargement des emails. Il s'agit de la deuxième mise à jour d'urgence Microsoft en une semaine.

ESET révèle DynoWiper, nouveau malware wiper utilisé par Sandworm dans une tentative d'attaque contre le secteur énergétique polonais les 29 et 30 décembre 2025. Les cibles incluent deux centrales de cogénération et un système de gestion d'électricité renouvelable. L'attaque a échoué. Elle coïncide avec le dixième anniversaire de la cyberattaque de décembre 2015 contre le réseau électrique ukrainien ayant déployé BlackEnergy et KillDisk.

Nous terminons avec Symantec et Carbon Black qui identifient Osiris, nouveau ransomware déployé en novembre 2025 contre un opérateur de restauration en Asie du Sud-Est. Le malware utilise la technique BYOVD avec le driver POORTRY pour neutraliser les solutions de sécurité. Le ransomware utilise un chiffrement hybride ECC et AES-128-CTR, ajoute l'extension .Osiris et présente des similitudes avec INC ransomware.

Sources

Clubic – CVE-2024-37079 VMware vCenter Server : https://www.clubic.com/actualite-596959-piratage-d-etat-quand-la-chine-et-la-russie-s-engouffrent-dans-les-serveurs-vmware-non-mis-a-jour.html
BleepingComputer – Microsoft KB5078127 Outlook : https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-oob-update-to-fix-outlook-freezes/
The Hacker News – DynoWiper Sandworm Pologne : https://thehackernews.com/2026/01/new-dynowiper-malware-used-in-attempted.html
Security Affairs – Osiris ransomware BYOVD : https://securityaffairs.com/187279/security/osiris-ransomware-emerges-leveraging-byovd-technique-to-kill-security-tools.html

On ne réfléchit pas, on patch !

Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web :www.radiocsirt.org
Newsletter Hebdo :https://radiocsirt.substack.com

Nous ouvrons cet épisode avec Oracle, qui publie son Critical Patch Update trimestriel de janvier 2026. CVE-2026-21962 affecte Oracle HTTP Server, WebLogic Server Proxy Plug-in et Fusion Middleware, permettant l'accès non autorisé à distance. Un proof of concept a été publié dès le lendemain, réduisant drastiquement la fenêtre de remédiation pour les organisations.
La CISA ajoute CVE-2024-37079 au catalogue Known Exploited Vulnerabilities suite à des preuves d'exploitation active. Cette faille Out-of-bounds Write dans Broadcom VMware vCenter Server permet l'exécution de code à distance via des paquets DCERPC spécialement conçus. Les agences fédérales américaines ont jusqu'au 13 février 2026 pour appliquer les correctifs.
ISC publie un bulletin pour CVE-2025-13878 affectant BIND 9 versions 9.18.40 à 9.21.16. Les enregistrements BRID ou HHIT malformés provoquent l'arrêt inattendu du daemon named, créant une condition de denial of service pour les infrastructures DNS critiques reposant sur BIND comme serveur authoritative ou récursif.
Patchstack divulgue CVE-2026-24572, une SQL Injection de type Blind dans le plugin WordPress Nelio Content versions jusqu'à 4.1.0. Avec un score CVSS de 8.8 HIGH, la faille est exploitable à distance par un attaquant authentifié avec privilèges low, permettant la compromission complète de la base de données WordPress.
Fortinet FortiGuard Labs documente une campagne phishing multi-stage ciblant la Russie avec Amnesia RAT et ransomware. L'infrastructure abuse de GitHub pour les scripts et Dropbox pour les payloads binaires, utilise defendnot pour désactiver Microsoft Defender, et déploie un ransomware dérivé de Hakuna Matata avec capacités de clipboard hijacking pour rediriger les transactions cryptocurrency.
Nous terminons avec le botnet Kimwolf, qui infecte plus de 2 millions de dispositifs IoT. Infoblox révèle que 25 pourcent de ses clients corporate ont interrogé des domaines Kimwolf depuis octobre 2025. Synthient identifie 33000 adresses dans les universités et 8000 proxies IPIDEA dans les réseaux gouvernementaux, avec présence significative au département de la Défense américain.
Sources
Cyber.gc.ca – Oracle CPU janvier 2026 (AV26-042) : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-oracle-correctif-cumulatif-trimestriel-janvier-2026-av26-042
CISA – KEV CVE-2024-37079 VMware vCenter : https://www.cisa.gov/news-events/alerts/2026/01/23/cisa-adds-one-known-exploited-vulnerability-catalog
Cyber.gc.ca – ISC BIND CVE-2025-13878 (AV26-049) : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-isc-bind-av26-049
CVEFeed.io – CVE-2026-24572 WordPress Nelio Content : https://cvefeed.io/vuln/detail/CVE-2026-24572
The Hacker News – Multi-stage phishing Russie Amnesia RAT : https://thehackernews.com/2026/01/multi-stage-phishing-campaign-targets.html
Krebs on Security – Kimwolf botnet réseaux corporate : https://krebsonsecurity.com/2026/01/kimwolf-botnet-lurking-in-corporate-govt-networks/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com