Résumé de la semaine #03 (du 12 au 16 janvier 2026)

À l’occasion du Patch Tuesday, le CERT-XMCO met en avant l’application prioritaire de nombreux correctifs de sécurité publiés par des éditeurs majeurs tels que Microsoft, Google, Adobe, Mozilla, Fortinet, Juniper, Progress, Elastic et TYPO3. Ces mises à jour corrigent des vulnérabilités critiques susceptibles d’entraîner des impacts sévères, allant du déni de service à la compromission complète des systèmes.

Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.

CORRECTIFS

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre de son Patch Tuesday [1] et pour Edge [2], par Fortinet pour FortiSIEM [3] et pour FortiOS ainsi que FortiSwitchManager [4], par Progress pour MOVEit WAF [5] et LoadMaster [6], par Juniper pour Junos OS et Junos OS Evolved [7] [8], par Google pour Chrome [9] [10], par Elastic pour Elasticsearch [11], par Adobe pour Illustrator [12], pour Bridge [13], pour Dreamweaver [14], et pour ColdFusion [15], par Mozilla pour Firefox ESR [16] [17], et pour Firefox [18], par TYPO3 [19]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Code d’exploitation

Un code d’exploitation a été publié cette semaine. Un correctif est disponible.

Prise de contrôle du système via une vulnérabilité au sein de FortiSIEM (FG-IR-25-772) [20]

Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2025-64155, affectant FortiSIEM a été publié. L’exploitation de cette vulnérabilité repose sur le chaînage de deux failles distinctes. La première faille exploite le service phMonitor qui expose la fonction handleStorageRequest sans authentification. En ciblant spécifiquement le type de stockage elastic, un attaquant peut injecter des arguments dans une commande curl exécutée en arrière-plan. L’attaquant peut ainsi injecter un reverse shell dans /opt/phoenix/bin/phLicenseTool, un fichier exécuté périodiquement, obtenant ainsi un accès en tant qu’utilisateur admin. La seconde faille permet l’escalade de privilèges vers root. Le fichier /opt/charting/redishb.sh est écrit par l’utilisateur admin mais exécuté par root toutes les minutes via une tâche cron. En injectant un reverse shell dans ce fichier, l’attaquant obtient un accès root complet en moins de 60 secondes. Le CERT-XMCO recommande l’installation des versions suivantes de FortiSIEM disponibles auprès du support Fortinet : FortiSIEM 7.4.1 ; FortiSIEM 7.3.5; FortiSIEM 7.2.7; FortiSIEM 7.1.9.

INFORMATIONS

Vulnérabilités

Amazon corrige la faille de sécurité critique « CodeBreach » affectant ses dépôts GitHub [21]

Le 15 janvier 2026, les chercheurs de Wiz ont annoncé l’identification d’une vulnérabilité critique affectant des produits Amazon Web Services (cf. CXA-2026-0381). Documentée sous le nom de CodeBreach, cette faille de sécurité provenait d’un défaut de configuration des expressions régulières pour les filtres de webhook AWS CodeBuild au sein de plusieurs dépôts GitHub maintenus par AWS. Cette faille permettait à un attaquant d’obtenir les droits d’administration des dépôts affectés afin d’y introduire du code malveillant. Dans un communiqué annexe, Amazon a confirmé que des correctifs de sécurité avaient été appliqués en septembre 2025 à la suite d’une divulgation responsable datant du 25 août dernier. AWS précise par ailleurs qu’aucun code malveillant n’a été introduit au sein des dépôts affectés et qu’aucun environnement client n’a été compromis par la faille CodeBreach.

Exploitation active de la vulnérabilité CVE-2026-23550 affectant Modular Connector [22]

Le 14 janvier 2026, les chercheurs de Patchstack ont signalé l’exploitation active, depuis le 13 janvier, d’une vulnérabilité critique affectant le plugin Modular DS, un plugin modulaire destiné à étendre les capacités d’un service d’annuaire. Référencée CVE-2026-23550 et corrigée le 14 janvier 2026, cette faille résultait d’une erreur d’attribution de privilèges et permettait à un attaquant distant non authentifié d’élever ses privilèges. En raison de l’exploitation active de cette vulnérabilité, il est fortement recommandé d’installer la version 2.5.2 qui la corrige. Modular DS conseille également aux utilisateurs de vérifier leurs sites afin de détecter d’éventuels signes de compromission, tels que la présence de comptes administrateurs inattendus ou des requêtes suspectes issues de scanners automatisés.

France

Microsoft démantèle RedVDS, un fournisseur de VDS exploité par divers groupes cybercriminels [23]

Le 14 janvier 2026, Microsoft a annoncé, dans le cadre d’une coopération internationale menée avec Europol et d’autres services, le démantèlement de RedVDS, une plateforme cybercriminelle développée par l’acteur de la menace Storm-2470. Cette plateforme proposait à la vente des serveurs cloud Windows virtuels avec des droits administrateur complets et sans limitation d’usage. Elle a facilité des milliers de cyberattaques, notamment des vols d’identifiants, des prises de contrôle de comptes et des campagnes de phishing à grande échelle, touchant de nombreux secteurs et plusieurs pays, dont la France.

Le groupe de ransomware Qilin revendique la compromission de Bouygues Energies & Services [24]

Le 10 janvier 2026, le groupe de ransomware Qilin a revendiqué sur son site de fuite de données une cyberattaque ciblant Bouygues Énergies & Services, une entreprise française spécialisée dans les solutions énergétiques et techniques pour les bâtiments, les villes et les industries. Les attaquants affirment avoir exfiltré 31 000 fichiers, représentant 80 Go de données et menacent de les publier sous 13 jours en l’absence de paiement d’une rançon. À ce stade, Bouygues Énergies & Services n’a pas confirmé l’incident publiquement. L’analyse des échantillons mis en ligne par les acteurs de la menace semble indiquer une compromission potentielle de plans et de documents techniques relatifs aux systèmes d’automatisation, de supervision industrielle ainsi qu’à des infrastructures de transport et d’énergie.

---

Références portail XMCO

[1]

• https://msrc.microsoft.com/update-guide/en-us/releaseNote/2026-Jan

[2]

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-0628

[3]

• https://fortiguard.fortinet.com/psirt/FG-IR-25-772

[4]

• https://fortiguard.fortinet.com/psirt/FG-IR-25-084

[5]

• https://community.progress.com/s/article/MOVEit-WAF-Vulnerabilities-CVE-2025-13444-CVE-2025-13447

[6]

• https://docs.progress.com/bundle/whats_new_loadmaster/page/LoadMaster-LTSF-Release.html
• https://docs.progress.com/bundle/release-notes_loadmaster-7-2-54-16/page/Security-Updates.html
• https://docs.progress.com/bundle/release-notes_loadmaster-7-2-62-2/page/Security-Updates.html
• https://docs.progress.com/bundle/release-notes_loadmaster-MT-7-1-35-15/page/Security-Updates.html

[7]

• https://supportportal.juniper.net/s/article/2026-01-Security-Bulletin-Junos-OS-SRX-and-MX-Series-When-TCP-packets-occur-in-a-specific-sequence-flowd-crashes-CVE-2026-21918

[8]

• https://supportportal.juniper.net/s/article/2026-01-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-BGP-update-with-a-set-of-specific-attributes-causes-rpd-crash-CVE-2025-60003

[9]

• https://chromereleases.googleblog.com/2026/01/chrome-for-android-update_14.html

[10]

• https://chromereleases.googleblog.com/2026/01/stable-channel-update-for-desktop_13.html

[11]

• https://discuss.elastic.co/t/elasticsearch-8-19-10-9-1-10-9-2-4-security-update-esa-2026-07/384525

[12]

• https://helpx.adobe.com/security/products/illustrator/apsb26-03.html

[13]

• https://helpx.adobe.com/security/products/bridge/apsb26-07.html

[14]

• https://helpx.adobe.com/security/products/dreamweaver/apsb26-01.html

[15]

• https://helpx.adobe.com/security/products/coldfusion/apsb26-12.html

[16]

• https://www.mozilla.org/en-US/security/advisories/mfsa2026-02/

[17]

• https://www.mozilla.org/en-US/security/advisories/mfsa2026-03/

[18]

• https://www.mozilla.org/en-US/security/advisories/mfsa2026-01/

[19]

• https://typo3.org/security/advisory/typo3-core-sa-2026-001
• https://typo3.org/security/advisory/typo3-core-sa-2026-002
• https://typo3.org/security/advisory/typo3-core-sa-2026-003
• https://typo3.org/security/advisory/typo3-core-sa-2026-004

[20]

• https://fortiguard.fortinet.com/psirt/FG-IR-25-772
• https://horizon3.ai/attack-research/disclosures/cve-2025-64155-three-years-of-remotely-rooting-the-fortinet-fortisiem/
• https://github.com/horizon3ai/CVE-2025-64155

[21]

• https://www.wiz.io/blog/wiz-research-codebreach-vulnerability-aws-codebuild
• https://thehackernews.com/2026/01/aws-codebuild-misconfiguration-exposed.html

[22]

• https://patchstack.com/articles/critical-privilege-escalation-vulnerability-in-modular-ds-plugin-affecting-40k-sites-exploited-in-the-wild/
• https://help.modulards.com/en/article/modular-ds-security-release-modular-connector-252-dm3mv0/#3-1-update-modular-connector-to-version-252-required
• https://securityaffairs.com/186976/security/actively-exploited-critical-flaw-in-modular-ds-wordpress-plugin-enables-admin-takeover.html

[23]

• https://www.microsoft.com/en-us/security/blog/2026/01/14/inside-redvds-how-a-single-virtual-desktop-provider-fueled-worldwide-cybercriminal-operations/
• https://blogs.microsoft.com/on-the-issues/2026/01/14/microsoft-disrupts-cybercrime/
• https://www.bleepingcomputer.com/news/security/microsoft-seizes-servers-disrupts-massive-redvds-cybercrime-platform/

[24]

• https://www.ransomware.live/id/Qm91eWd1ZXMgRW5lcmdpZXMgJiBTZXJ2aWNlc0BxaWxpbg==
• https://x.com/seblatombe/status/2010191349744628033