Résumé de la semaine #05 (du 26 au 30 janvier 2026)

De nombreux correctifs de sécurité critiques ont été publiés cette semaine pour des solutions largement utilisées, dont Ivanti, Fortinet, Google Chrome, Firefox et Microsoft. Leur application est essentielle pour prévenir les risques de fuite de données et de compromission des systèmes.

Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.

CORRECTIFS : VULNÉRABILITÉS À FORT IMPACT

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Ivanti pour Endpoint Manager Mobile [1], par Solarwinds pour Web Help Desk [2], par Fortinet pour FortiAnalyzer, FortiManager, FortiOS, et FortiProxy [3], par Google pour Chrome [4], par Mozilla pour Firefox [5], par GLPI Project [6], par Microsoft pour Microsoft Office et Microsoft 365 Apps [7] et pour Edge [8] [9]. Ces correctifs remédient à des dommages allant de la divulgation d’informations sensibles à la prise de contrôle du système.

Code d’exploitation

Un code d’exploitation a été publié cette semaine. Un correctif est disponible.

Élévation de privilèges via une vulnérabilité au sein de Confluence Data Center et Server [10]

Un code d’exploitation tirant parti de la vulnérabilité, référencée CVE-2024-29415, a été publié. Par ce programme, un attaquant peut envoyer une requête HTTP de type POST vers les points d’accès /rest/tinymce/1/macro/preview ou /rest/api/content/macro/preview afin de soumettre une macro XSLT malveillante. Le corps de la requête contient un document XML intégrant une entité externe pointant vers une URL contrôlée par l’attaquant, accompagnée d’une feuille XSLT valide. Lors du traitement, le serveur tente de résoudre cette entité externe, provoquant une connexion HTTP sortante. La vulnérabilité est confirmée si la réponse présente un code de statut 200, inclut l’élément contextConfigLocation et qu’une interaction HTTP est observée, démontrant le chargement de ressources XML externes non sécurisées. Le CERT-XMCO recommande l’installation des versions 10.2.1 (LTS), 9.2.12 (LTS), 8.5.30 (LTS) d’Atlassian Confluence Data Center et Server.

INFORMATIONS

Vulnérabilités

Exploitation malveillante des failles de sécurité CVE-2026-1281 et CVE-2026-1340 affectant Ivanti Endpoint Manager Mobile [11]

Le 29 janvier 2026, Ivanti a publié un bulletin de sécurité alertant sur l’exploitation malveillante de deux vulnérabilités 0-day affectant sa solution Ivanti Endpoint Manager Mobile. Référencées CVE-2026-1281 et CVE-2026-1340, ces failles désormais corrigées provenaient d’un contrôle inadéquat de la génération de code (CWE-94). Un attaquant distant et non authentifié pouvait les exploiter afin d’exécuter du code arbitraire sur les instances vulnérables (cf. CXA-2026-0718). Pour corriger les deux vulnérabilités qui disposent d’un score CVSS 3.x de 9.8, le CERT-XMCO recommande l’installation des correctifs publiés par Ivanti. Les vulnérabilités seront corrigées de manière permanente dans la version 12.8.0.0 d’Ivanti EPMM, qui sera publiée plus tard au cours du premier trimestre 2026.

Exploitation malveillante de la faille de sécurité 0-day CVE-2026-24858 affectant des produits Fortinet [12]

Le 27 janvier 2026, Fortinet a publié un bulletin de sécurité alertant sur l’exploitation active d’une vulnérabilité critique 0-day au sein de ses produits. Référencée comme CVE-2026-24858, la faille provenait du contournement de l’authentification via un chemin ou un canal alternatif (CWE-288) au sein de FortiOS, FortiManager et FortiAnalyzer. Un attaquant distant, disposant d’un compte FortiCloud et d’un appareil enregistré, pouvait l’exploiter afin de se connecter à d’autres appareils enregistrés sur d’autres comptes, si l’authentification SSO FortiCloud était activée sur ces appareils, une option qui ne l’est pas par défaut (cf. CXA-2026-0651). Afin de protéger ses clients contre une nouvelle exploitation de la CVE-2026-24858, Fortinet a désactivé l’authentification unique (SSO) côté FortiCloud le 26 janvier 2026. Cette dernière a été réactivée le 27 janvier, mais ne prend plus en charge la connexion à partir d’appareils exécutant des versions vulnérables. Fortinet invite ses utilisateurs à vérifier tous les comptes administrateur, à restaurer les configurations à partir de sauvegardes saines et à renouveler tous les identifiants.

Le groupe de ransomware Interlock exploite la faille de sécurité 0-day CVE-2025-61155 affectant GameDriverX64.sys [13]

Le 29 janvier 2026, les chercheurs de Fortinet ont mis en évidence une campagne d’attaques exploitant une faille de sécurité 0-day affectant le pilote anti-triche GameDriverx64.sys. Référencée CVE-2025-61155 et toujours non corrigée à ce stade, cette vulnérabilité a été détournée par le cluster criminel Interlock dans le but de désactiver les solutions EDR et antivirus des victimes. Bien que ces tentatives n’aient pas abouti, le groupe est néanmoins parvenu à compromettre avec succès une organisation du secteur de l’éducation en y déployant son ransomware. Les acteurs de la menace ont obtenu un accès initial à la suite d’une campagne MintLoader, initiée via une attaque de type ClickFix, qui a permis l’installation d’une implémentation JavaScript du Remote Acces Trojan (RAT) NodeSnakeRAT. Les attaquants ont déployé le ransomware Interlock afin de chiffrer l’ensemble des lecteurs logiques connectés. Le ransomware a été propagé à l’aide de multiples scripts Java, mais également via l’outil PsExec et des scripts PowerShell. L’un de ces scripts a notamment permis l’exécution d’un fichier DLL contenant l’outil de contournement Hotta Killer.

Deux vulnérabilités affectant n8n permettaient d’exécuter du code arbitraire (CVE-2026-1470 & CVE-2026-0863) [14]

Le 28 janvier 2026, les chercheurs de JFrog ont annoncé la découverte de deux failles de sécurité affectant la plateforme d’automatisation des flux de travail n8n. Référencées CVE-2026-1470 et CVE-2026-0863, ces vulnérabilités disposent respectivement de score de criticité CVSSv3.1 de 9.9 et 8.5. Les CVE-2026-1470 et CVE-2026-0863 résultaient d’une neutralisation incorrecte des directives dans le code évalué dynamiquement (CWE-95). À l’issue de leurs investigations, les chercheurs de JFrog notent que ces vulnérabilités soulignent la difficulté de mettre en œuvre un environnement d’exécution sécurisé pour les langages dynamiques de haut niveau tels que JavaScript et Python. La vulnérabilité CVE-2026-1470 a été corrigée dans les versions 1.123.17, 2.4.5 et 2.5.1 de n8n, tandis que la vulnérabilité CVE-2026-0863 a été corrigée dans les versions 1.123.14, 2.3.5 et 2.4.2.

Exploitation de la CVE-2025-64328 affectant FreePBX par le cluster criminel INJ3CTOR3 [15]

Le 28 janvier 2026, les chercheurs de Fortinet ont mis au jour l’exploitation active d’une vulnérabilité affectant FreePBX Endpoint Manager, un module dédié à la gestion des terminaux téléphoniques au sein des systèmes FreePBX. Référencée CVE-2025-64328 et corrigée depuis novembre 2025, cette faille permettait à un attaquant distant authentifié disposant de privilèges élevés d’exécuter des commandes shell arbitraires sur le système hôte. Exploitée depuis le début du mois de décembre 2025, la vulnérabilité a été utilisée par le groupe criminel INJ3CTOR3 afin de déployer le webshell EncystPHP au sein d’une organisation indienne spécialisée dans les solutions cloud, les services de communication et les infrastructures informatiques.

Exploitation malveillante de la vulnérabilité CVE-2026-24061 affectant Telnetd de GNU InetUtils [16]

Le 22 janvier 2026, les chercheurs de GreyNoise ont dévoilé l’exploitation active, dès le jour de la publication du correctif, d’une vulnérabilité critique dans le composant telnetd de GNU InetUtils. Référencée sous le nom de CVE-2026-24061 et corrigée le 20 janvier 2026, cette faille permettait à un attaquant distant et non authentifié de contourner l’authentification et d’obtenir un accès root en injectant une valeur spécifiquement conçue dans la variable d’environnement USER. GreyNoise a détecté plusieurs attaques en provenance de 18 adresses IP malveillantes, certaines ayant des objectifs opportunistes, tandis que d’autres semblaient être des tentatives d’exploitation ciblée. Les attaquants cherchaient à réaliser une reconnaissance automatisée pour récupérer des clés SSH et déployer un malware Python. Cependant, ces attaques ont échoué faute de fichiers binaires ou de répertoires sur les systèmes ciblés.

Plusieurs acteurs malveillants continuent d’exploiter la vulnérabilité CVE-2025-8088 affectant WinRAR [17]

Le 27 janvier 2026, les chercheurs du Google Threat Intelligence Group (GTIG) ont publié une analyse sur l’exploitation active de la vulnérabilité CVE-2025-8088 affectant WinRAR. Cette faille, désormais corrigée, permettait à un attaquant local et non authentifié d’envoyer des archives spécialement conçues et ainsi prendre le contrôle du système (cf. CXA-2025-4521). Malgré la disponibilité d’un correctif via la version 7.13 de WinRAR, de nombreuses victimes évoluant dans différents secteurs stratégiques subissent des tentatives d’exploitation de la faille, les corrections n’ayant pas encore été appliquées par l’ensemble des acteurs visés. Les campagnes recensées exploitent des archives RAR malveillantes intégrant des documents leurres et des flux de données alternatifs (ADS) dissimulant les charges utiles. Cette technique permet l’exécution automatique de code lors de la prochaine ouverture de session Windows et sert au déploiement de différentes familles de malwares, notamment des RATs, infostealers ou backdoors pilotés via Telegram ou d’autres serveurs de commande et de contrôle (C2).

Références portail XMCO

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

XMCO

Découvrir d'autres articles

En savoir plus En savoir plus