Résumé de la semaine #02 (du 5 au 9 janvier 2026)

Chaque semaine, les consultants de notre service de veille, synthétisent et analysent les faits marquants de la semaine écoulée.

Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.

CORRECTIFS

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Centreon pour AWIE [1], par TrendMicro pour Apex Central [2], par Gitlab [3], par Android [4], par Google pour Chrome [5] et par Veeam pour Backup & Replication [6]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

INFORMATIONS

Vulnérabilités

Analyse d’un kit d’évasion de VM ESXi exploitant en chaîne les CVE-2025-22224, CVE-2025-22225 et CVE-2025-22226 [7]

Le 7 janvier 2026, les chercheurs de Huntress ont publié une analyse de l’exploitation d’un kit d’évasion de Virtual Machine (VM) VMware ESXi, développé par un acteur vraisemblablement sinophone plus d’un an avant la divulgation publique des failles exploitées. Ces vulnérabilités désormais corrigées, référencées CVE-2025-22224, CVE-2025-22225 et CVE-2025-22226, permettaient respectivement à un attaquant local d’exécuter du code arbitraire, de s’échapper de la sandbox et d’accéder à la mémoire du processus VMX (cf. CXA-2025-1217). Les chercheurs recommandent d’appliquer les correctifs de sécurité détaillés dans la partie recommandation de ce bulletin. Des règles de détection ainsi que des indicateurs de compromission sont disponibles au sein du rapport de Huntress.

Exploitation malveillante de la vulnérabilité critique CVE-2026-0625 affectant des routeurs DSL D-Link en fin de vie [8]

Le 5 janvier 2026, les chercheurs de VulnCheck ont publié une analyse de la vulnérabilité CVE-2026-0625 affectant plusieurs routeurs DSL D-Link en fin de vie (EoL), déjà activement exploitée dans la nature (cf. CXA-2019-1634). Cette faille de type injection de commandes, exploitable sans authentification via les paramètres de configuration DNS, permet à un attaquant distant d’exécuter du code arbitraire sur l’équipement. Les modèles confirmés vulnérables (DSL-526B, DSL-2640B, DSL-2740R, DSL-2780B) ne recevront aucun correctif, D-Link recommandant leur retrait pur et simple. Dans la plupart des configurations domestiques, l’interface CGI n’est accessible que depuis le LAN, ce qui laisse envisager des scénarios de type « attaque via le navigateur » (drive-by, XSS, CSRF). Faute de méthode fiable d’identification des modèles impactés autre que l’inspection directe des firmwares, D-Link poursuit l’analyse de multiples images, y compris pour des plateformes encore supportées.

Ni8mare, vulnérabilité critique référencée CVE-2026-21858 désormais corrigée, permettait une prise de contrôle des instances n8n auto-hébergées exposées [9]

Le 7 janvier 2026, les chercheurs de Cyera ont publié une analyse de Ni8mare, une vulnérabilité critique affectant n8n désormais corrigée et référencée CVE-2026-21858 qui permettait à un attaquant non authentifié d’accéder à des fichiers du serveur et, en cascade, de prendre le contrôle complet d’instances auto‑hébergées exposées via des webhooks de formulaires mal conçus. Dans les cas d’usage typiques observés par les chercheurs, cette faiblesse rendait possible la lecture de fichiers locaux sensibles (base SQLite, fichiers de config, secrets) puis, en combinant ces informations, permettait un contournement d’authentification et une exécution de commandes système via des nœuds n8n légitimes. Cyera estime que cette vulnérabilité touche potentiellement jusqu’à 100 000 instances n8n auto‑hébergées dans le monde, beaucoup étant exposées sur Internet et connectées à des systèmes sensibles (Google Drive, CRM, IAM, CI/CD, bases clients, clés API, etc.).

France

Deux établissements français de santé victimes d’une fuite de données, Doctolib cité sans être directement compromis [10]

Le 4 janvier 2026, plusieurs médias français ont relayé l’information selon laquelle une fuite de données aurait permis la mise en vente sur BreachForums de plus de 150 000 dossiers de patients issus de l’Hôpital privé de la Miotte à Belfort et d’un cabinet d’ophtalmologie de Sallanches. Les fichiers diffusés regroupent des informations d’identité et de contact très complètes (noms, prénoms, dates de naissance, adresses postales et électroniques, numéros de téléphone), dont de nombreuses adresses comportant la mention « Doctolib », signe d’un lien indirect avec la plateforme de prise de rendez‑vous. Si Doctolib n’apparaît pas comme victime de la compromission, son nom est utilisé pour donner du crédit aux données exfiltrées, qui pourraient alimenter des campagnes d’hameçonnage ciblé et des tentatives d’usurpation d’identité. La plateforme de prise de rendez‑vous a précisé que les deux établissements touchés ne sont plus des clients de l’entreprise.

Europe

Le groupe d’attaquants UAT-7290 espionne des fournisseurs de télécommunications en Asie du Sud et en Europe [11]

Le 8 janvier 2026, les chercheurs de Cisco Talos ont publié l’analyse d’une récente campagne d’espionnage ciblant des infrastructures critiques en Asie du Sud et en Europe. Documenté sous le nom UAT-7290, le mode opératoire des attaquants s’est caractérisé par l’exploitation de multiples malware basés sur Linux, dont RushDrop, DriveSwitch, SilentRaid et Bulbature. Actif depuis au moins 2022, le groupe UAT-7290 cherchait à collecter des informations sensibles relatives à des fournisseurs de télécommunications. Les investigations menées par Cisco Talos ont permis d’établir que le groupe d’attaquants avait conduit une reconnaissance approfondie de l’environnement avant de s’y introduire et d’y déployer des malware, conjointement à l’exploitation de PoCs publics tirant parti de failles affectant des périphériques réseau.

Analyse de la campagne PHALT#BLYX visant le secteur de l’hôtellerie européen via une opération ClickFix [12]

Le 5 janvier 2026, les chercheurs de Securonix ont publié une analyse de la campagne PHALT#BLYX, une opération de type ClickFix visant en priorité le secteur de l’hôtellerie via de faux captchas et de faux écrans bleus d’erreur système Windows (BSOD). L’infection repose sur un leurre de fausse annulation de réservation Booking.com avec un montant élevé en euros, redirigeant vers un clone de Booking hébergé sur un site contrôlé par l’attaquant. Le malware final, un exécutable nommé staxs.exe, correspond au RAT DCRAT, injecté par hollowing dans le processus légitime aspnet_compiler.exe et exécuté en mémoire, lui permettant de récupérer l’empreinte complète du système, de maintenir une connexion au C2, et d’offrir des capacités de contrôle à distance.

---

Références portail XMCO

[1]

• https://thewatch.centreon.com/latest-security-bulletins-64/cve-2025-15026-centreon-awie-critical-severity-5357
• https://thewatch.centreon.com/latest-security-bulletins-64/cve-2025-15029-centreon-awie-critical-severity-5356

[2]

• https://success.trendmicro.com/en-US/solution/KA-0022071

[3]

• https://about.gitlab.com/releases/2026/01/07/patch-release-gitlab-18-7-1-released/

[4]

• https://source.android.com/docs/security/bulletin/2026/2026-01-01

[5]

• https://chromereleases.googleblog.com/2026/01/stable-channel-update-for-desktop.html
• https://chromereleases.googleblog.com/2026/01/chrome-for-android-update.html

[6]

• https://www.veeam.com/kb4792

[7]

• https://www.huntress.com/blog/esxi-vm-escape-exploit
• https://www.bleepingcomputer.com/news/security/vmware-esxi-zero-days-likely-exploited-a-year-before-disclosure/

[8]

• https://www.vulncheck.com/advisories/dlink-dsl-command-injection-via-dns-configuration-endpoint
• https://www.bleepingcomputer.com/news/security/new-d-link-flaw-in-legacy-dsl-routers-actively-exploited-in-attacks/

[9]

• https://www.cyera.com/research-labs/ni8mare-unauthenticated-remote-code-execution-in-n8n-cve-2026-21858
• https://github.com/n8n-io/n8n/security/advisories/GHSA-v4pr-fm98-w9pg
• https://www.bleepingcomputer.com/news/security/max-severity-ni8mare-flaw-lets-hackers-hijack-n8n-servers/

[10]

• https://www.clubic.com/actualite-593533-nouvelle-fuite-de-donnees-de-sante-liee-a-doctolib-de-nombreux-infos-de-patients-francais-sur-le-dark-web.html
• https://www.solutions-numeriques.com/fuite-de-donnees-medicales-doctolib-cite-des-etablissements-de-sante-en-premiere-ligne/
• https://www.zataz.com/une-base-de-donnees-doctolib-en-vente-ce-que-zataz-a-decouvert/

[11]

• https://blog.talosintelligence.com/uat-7290/
• https://www.bleepingcomputer.com/news/security/new-china-linked-hackers-breach-telcos-using-edge-device-exploits/
• https://blog.sekoia.io/bulbature-beneath-the-waves-of-gobrat/

[12]

• https://www.securonix.com/blog/analyzing-phaltblyx-how-fake-bsods-and-trusted-build-tools-are-used-to-construct-a-malware-infection/
• https://www.bleepingcomputer.com/news/security/clickfix-attack-uses-fake-windows-bsod-screens-to-push-malware/