RadioCSIRT - Edition Française

Nous ouvrons cette édition avec une alerte coordonnée de l'Australian Signals Directorate concernant l'exploitation active d'appliances Cisco Catalyst SD-WAN. L'ASD's ACSC a identifié et signalé à Cisco la vulnérabilité CVE-2026-20127, un Authentication Bypass avec un score CVSS de 10.0 affectant le SD-WAN Controller et le SD-WAN Manager. Les attaquants exploitent une faiblesse du mécanisme de Peering Authentication pour obtenir un accès privilégié, ajouter un Rogue Peer au fabric et établir une persistance via un accès Root. Un guide de Threat Hunting co-rédigé avec la CISA, la NSA, le NCSC britannique et les CERT canadien et néo-zélandais accompagne l'alerte.
La CISA ajoute deux vulnérabilités à son catalogue KEV : CVE-2026-20127 et CVE-2022-20775, une vulnérabilité de Path Traversal sur les mêmes équipements SD-WAN. L'agence publie simultanément l'Emergency Directive ED 26-03, imposant aux agences fédérales civiles américaines un inventaire immédiat, la collecte d'artefacts forensiques, l'application des correctifs et une évaluation de compromission, avec une deadline fixée au 27 février 2026.
Le CERT-FR publie l'alerte CERTFR-2026-ALE-002, confirmant l'exploitation active de CVE-2026-20127. Les versions affectées couvrent Catalyst SD-WAN 20.12.5.x, 20.12.6.x, 20.15.x, 20.18.x et les versions antérieures à 20.9.8.2. Les branches 20.11.x, 20.13.x, 20.14.x et 20.16.x sont vulnérables mais ne recevront pas de correctifs, ayant atteint leur fin de maintenance. Aucun Workaround n'est disponible.
Enfin, selon BleepingComputer, Cisco Talos attribue l'exploitation à un acteur désigné UAT-8616, qualifié de hautement sophistiqué, actif depuis 2023. La chaîne d'attaque combine CVE-2026-20127 pour l'accès initial et CVE-2022-20775 pour l'élévation de privilèges. Les indicateurs de compromission incluent des comptes malveillants créés puis supprimés, des clés SSH injectées, l'activation du PermitRootLogin et des fichiers de logs anormalement petits ou absents.
Sources :
Australian Signals Directorate – Exploitation of Cisco SD-WAN appliances : https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/exploitation-of-cisco-sd-wan-appliances
CISA – Adds Two Known Exploited Vulnerabilities to Catalog : https://www.cisa.gov/news-events/alerts/2026/02/25/cisa-adds-two-known-exploited-vulnerabilities-catalog
CERT-FR – Alerte CERTFR-2026-ALE-002 : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2026-ALE-002/
BleepingComputer – Critical Cisco SD-WAN bug exploited in zero-day attacks since 2023 : https://www.bleepingcomputer.com/news/security/critical-cisco-sd-wan-bug-exploited-in-zero-day-attacks-since-2023/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec la publication par l’Australian Signals Directorate de l’outil open-source Azul. Cette plateforme permet le stockage sécurisé d’échantillons de malware, l’analyse automatisée via sandbox, config extraction et file carving, ainsi que la corrélation de samples partageant des similarités fonctionnelles ou des infrastructures C2. L’objectif affiché est de renforcer la collaboration CTI entre acteurs publics et privés.
Le CERT-FR publie ensuite le bulletin CERTFR-2026-ACT-008, revenant sur les vulnérabilités critiques de la semaine 8. Sont notamment signalées une RCE exploitée affectant Microsoft Edge et Google Chrome, plusieurs SQLi et XSS dans LibreNMS avec code d’exploitation public, ainsi qu’une vulnérabilité notée 10 sur Traefik permettant un contournement de politique de sécurité.
Un avis distinct, CERTFR-2026-AVI-0197, détaille trois nouvelles vulnérabilités dans Microsoft Edge, référencées CVE-2026-2648, CVE-2026-2649 et CVE-2026-2650, impactant les versions antérieures à 145.0.3800.70.
Côté incidents, 01net rapporte qu’une experte en sûreté de l’IA chez Meta a perdu le contrôle d’un agent autonome OpenClaw installé sur un Mac mini. L’agent a ignoré une règle de confirmation préalable et supprimé massivement des e-mails après une compaction du contexte.
Enfin, Google déploie en urgence des correctifs pour trois vulnérabilités critiques dans Chrome, affectant les composants Media, Tint et DevTools, avec des accès mémoire hors limites exploitables via des pages web piégées.
Sources :
Australian Signals Directorate – Azul : https://www.cyber.gov.au/about-us/view-all-content/news/explore-analyse-and-correlate-malware-at-scale-with-azul
CERT-FR – Bulletin CERTFR-2026-ACT-008 : https://www.cert.ssi.gouv.fr/actualite/CERTFR-2026-ACT-008/
CERT-FR – Avis CERTFR-2026-AVI-0197 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0197/
01net – Une experte Meta a perdu le contrôle de son IA : https://www.01net.com/actualites/courir-jusqua-mac-mini-experte-meta-perdu-controle-ia.html
01net – Chrome en danger : https://www.01net.com/actualites/chrome-danger-failles-critiques-obligent-chrome-corriger-urgence.html
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec la compromission massive de plus de 30 000 serveurs OpenClaw en quelques semaines. Selon les analystes de Flare, plusieurs campagnes coordonnées exploitent des serveurs mal configurés et l'écosystème de plugins ClawHub, avec notamment la campagne ClawHavoc reposant sur de faux scripts d'installation déployant des Infostealers et des Keyloggers.
L'actualité se poursuit avec l'annonce par Microsoft de la fin du support pour Windows 10 Enterprise LTSB 2016 le 13 octobre 2026 et Windows Server 2016 le 12 janvier 2027. L'éditeur propose un programme Extended Security Updates comme pont temporaire, à un tarif de 61 dollars par appareil la première année, doublant chaque année consécutive.
AWS publie un rapport d'incident documentant la compromission de plus de 600 firewalls FortiGate dans 55 pays par un groupe russophone à motivation financière. Les attaquants ont exploité des outils d'IA générative commerciaux pour générer Playbooks, scripts d'attaque et Tooling d'automatisation, permettant à un groupe restreint d'opérer à une échelle habituellement réservée à des équipes plus conséquentes.
Côté incidents, PayPal a notifié environ 100 clients d'une exposition de données personnelles causée par une erreur de code dans son module Working Capital. La fuite, active du 1er juillet au 13 décembre 2025, a exposé noms, numéros de Social Security, dates de naissance et coordonnées professionnelles, avec des transactions non autorisées pour certains comptes.
Socket identifie la campagne SANDWORM_MODE exploitant au moins 19 paquets npm malveillants en Typosquatting pour dérober credentials, clés cryptographiques et secrets CI/CD. Un module McpInject cible spécifiquement les assistants de codage IA via l'injection de serveurs MCP malveillants avec Prompt Injection intégrée.
Enfin, les responsables ukrainiens de la cybersécurité confirment lors du Kyiv International Cyber Resilience Forum l'évolution des cyberattaques russes contre l'infrastructure énergétique, désormais orientées vers la collecte de renseignements pour calibrer les frappes de missiles et en évaluer l'efficacité.
Sources :
01net – Alerte OpenClaw : des gangs de hackers prennent d'assaut des serveurs mal configurés : https://www.01net.com/actualites/alerte-openclaw-gangs-hackers-prennent-assaut-serveurs-mal-configures.html
ZDNet – Windows Server 2016 et Windows 10 LTSB : Microsoft siffle la fin de partie : https://www.zdnet.fr/actualites/windows-server-2016-et-windows-10-ltsb-microsoft-siffle-la-fin-de-partie-490681.htm
The Register – AWS says more than 600 FortiGate firewalls hit in AI-augmented campaign : https://www.theregister.com/2026/02/23/aws_fortigate_firewalls/
The Register – PayPal app code error leaked personal info : https://www.theregister.com/2026/02/20/paypal_app_code_error_leak/
The Hacker News – Malicious npm Packages Harvest Crypto Keys, CI Secrets, and API Tokens : https://thehackernews.com/2026/02/malicious-npm-packages-harvest-crypto.html
The Record – Ukraine says cyberattacks on energy grid now used to guide missile strikes : https://therecord.media/ukraine-cyberattacks-guiding-russian-missile-strikes
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec une analyse publiée par Brad Duncan sur le SANS Internet Storm Center, documentant une campagne de Phishing en langue japonaise. Les emails frauduleux usurpent les marques ANA, DHL et myTOKYOGAS, avec des domaines d'expédition et des URLs de Phishing systématiquement enregistrés sous le TLD .cn. L'ensemble des échantillons partagent un même indicateur dans les en-têtes : la signature X-mailer Foxmail 6, 13, 102, 15 [cn], confirmant un acteur unique.
L'actualité se poursuit avec un avis du CERT-FR, référencé CERTFR-2026-AVI-0189, concernant une vulnérabilité dans F5 BIG-IP AFM et DDoS Hybrid Defender. La faille CVE-2026-2507 permet un déni de service à distance sur les versions 17.x non corrigées.
Le Centre canadien pour la cybersécurité a émis le bulletin AV26-148 suite à la publication par IceWarp de correctifs critiques. La vulnérabilité principale, CVE-2025-14500, est une OS Command Injection avec un score CVSS de 9.8, exploitable sans authentification sur Windows et Linux. Deux failles supplémentaires de sévérité moyenne affectent l'interface WebClient.
En parallèle, le CST et le Centre pour la cybersécurité appellent les organisations canadiennes et les opérateurs d'infrastructures essentielles à renforcer leurs défenses face aux cybermenaces pro-russes, à l'approche du quatrième anniversaire de l'invasion de l'Ukraine. Les acteurs ciblés incluent les organismes gouvernementaux, les secteurs public et privé et les réseaux d'infrastructures essentielles, notamment via des attaques DDoS et des campagnes de Ransomware.
Enfin, la CISA a ajouté deux vulnérabilités Roundcube Webmail à son catalogue Known Exploited Vulnerabilities : CVE-2025-49113, une Deserialization critique au score CVSS de 9.9 permettant une Remote Code Execution, et CVE-2025-68461, un Cross-Site Scripting exploitable via des documents SVG malveillants. Les deux failles sont chaînables pour atteindre une compromission complète du serveur.
Sources : 
SANS ISC – Japanese-Language Phishing Emails : https://isc.sans.edu/diary/rss/32734
CERT-FR – CERTFR-2026-AVI-0189 Vulnérabilité dans F5 BIG-IP : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0189/
Centre canadien pour la cybersécurité – Bulletin de sécurité IceWarp AV26-148 : https://www.cyber.gc.ca/fr/alertes-avis/bulletin-securite-icewarp-av26-148
CST – Alerte renforcement des défenses face aux cybermenaces pro-russes : https://www.cyber.gc.ca/fr/nouvelles-evenements/cst-demande-organisations-canadiennes-fournisseurs-dinfrastructures-essentielles-renforcer-defenses-laube-quatrieme-anniversaire-linvasion-lukraine-russie
CISA – CISA Adds Two Known Exploited Vulnerabilities to Catalog : https://www.cisa.gov/news-events/alerts/2026/02/20/cisa-adds-two-known-exploited-vulnerabilities-catalog
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com

Nous ouvrons cette édition avec la découverte par l'équipe de recherche de Flare d'un nouveau Botnet ciblant les systèmes Linux, baptisé SSHStalker. Détecté via un SSH Honeypot sur une période de deux mois, ce Botnet utilise le protocole IRC comme canal de Command and Control. SSHStalker enchaîne un scanner SSH avec un mécanisme de staging rapide pour enrôler les machines compromises dans des canaux IRC, le tout optimisé pour le passage à l'échelle. Fait notable : le Botnet maintient une persistance dormante. Malgré des capacités de DDoS et de Cryptomining intégrées à son arsenal, aucune opération d'impact n'a été observée. Ce comportement suggère une phase de staging d'infrastructure, de test, ou de rétention stratégique d'accès pour usage ultérieur. Les chercheurs ont identifié près de sept mille résultats frais issus d'un scanner SSH datant de janvier 2026, avec des adresses IP réparties sur des hébergeurs Cloud à travers les régions US, EU et APAC. Parmi les indicateurs à surveiller : l'exécution de gcc, make ou d'outils de build sur des serveurs de production, ainsi que la présence de cron jobs s'exécutant chaque minute.
L'actualité se poursuit avec l'ajout par la CISA de deux nouvelles vulnérabilités à son catalogue Known Exploited Vulnerabilities, sur la base de preuves d'exploitation active. Première entrée : CVE-2021-22175, une vulnérabilité de type Server-Side Request Forgery affectant GitLab. Seconde entrée : CVE-2026-22769, une vulnérabilité de type Use of Hard-coded Credentials dans Dell RecoverPoint for Virtual Machines. Conformément à la Binding Operational Directive 22-01, les agences fédérales civiles américaines sont tenues de remédier à ces vulnérabilités dans les délais impartis.
Le CERT-FR a publié l'avis CERTFR-2026-AVI-0181 concernant une vulnérabilité dans Apache Tomcat, référencée CVE-2026-24734. Cette faille permet un contournement de la politique de sécurité. Les correctifs ont été publiés par Apache entre le 23 et le 27 janvier 2026.
En parallèle, une enquête publiée par Bleeping Computer et les chercheurs de Flare révèle que des canaux Telegram underground partagent activement des Proof-of-Concept, des outils offensifs et des identifiants administrateur volés liés aux vulnérabilités critiques de SmarterMail. Deux CVE sont au centre de cette activité : CVE-2026-24423, une faille de Remote Code Execution non authentifiée avec un score CVSS de 9.3, et CVE-2026-23760, un Authentication Bypass permettant de réinitialiser le mot de passe administrateur sans vérification. La weaponization s'est produite en quelques jours après la publication des correctifs. 
Enfin, le CERT Santé a publié une alerte concernant la CVE-2026-2447, une vulnérabilité dans la bibliothèque libvpx utilisée par Firefox et Thunderbird. Cette faille de type Heap-based Buffer Overflow, classée CWE-122, obtient un score CVSS v3.1 de 8.8. Le vecteur d'attaque est réseau, la complexité d'exploitation est faible, aucun privilège n'est requis, mais une interaction utilisateur est nécessaire. 
Sources : 
Linux Magazine – New Linux Botnet Discovered : https://www.linux-magazine.com/Online/News/New-Linux-Botnet-Discovered
CISA – CISA Adds Two Known Exploited Vulnerabilities to Catalog : https://www.cisa.gov/news-events/alerts/2026/02/18/cisa-adds-two-known-exploited-vulnerabilities-catalog
CERT-FR – CERTFR-2026-AVI-0181 Vulnérabilité dans Apache Tomcat : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0181/
Bleeping Computer – Telegram Channels Expose Rapid Weaponization of SmarterMail Flaws : https://www.bleepingcomputer.com/news/security/telegram-channels-expose-rapid-weaponization-of-smartermail-flaws/
CERT Santé – Mozilla CVE-2026-2447 : https://cyberveille.esante.gouv.fr/alertes/mozilla-cve-2026-2447-2026-02-18
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : [email protected]
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com