Exploitation de la faille CVE-2026-22769 affectant la solution « RecoverPoint for Virtual Machines » de Dell et cyberattaque contre la plateforme « Choisir le service public ».
Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.
APPLICATIONS DE CORRECTIFS
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés pour Gogs [1] [2], par Google pour Chrome [3] [4], par Atlassian pour Bamboo Data Center [5], Confluence [6] et Crowd [7], par Splunk [8], par Mozilla pour Firefox [9], Firefox ESR et Thunderbird [10], par Don Ho pour NotePad++ [11], par Microsoft pour Edge [12] et par Jenkins [13].
Code d’exploitation
Cette semaine, 4 codes d’exploitation ont été publiés. Un correctif est disponible pour 2 d’entre eux.
Prise de contrôle du système via une vulnérabilité au sein de pfSense [14]
Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2025-69691 et affectant pfSense a été publié. L’exploitation de cette faille permet à un attaquant distant et authentifié d’exécuter des commandes arbitraires avec les privilèges SYSTEM via l’envoi de commandes malveillantes à l’endpoint pfsense.exe_php. Ce code d’exploitation se présente sous la forme d’une requête curl vers la route /xmlrpc.php de l’instance vulnérable. Cette requête permet d’appeler la méthode pfsense.exec_php afin d’exécuter une commande arbitraire (ici la commande id). Aucun correctif de sécurité ne sera publié par l’éditeur qui a indiqué que cette vulnérabilité résulte de comportements attendus de la part d’utilisateurs authentifiés.
Prise de contrôle du système via une vulnérabilité au sein de pfSense [15]
Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2025-69690 et affectant pfSense a été publié. L’exploitation de cette faille permet à un attaquant distant disposant de privilèges administrateur d’injecter des commandes arbitraires en tant que root via le chargement d’un fichier de configuration spécifiquement conçu. Un attaquant peut exploiter cette vulnérabilité en déposant un fichier de sauvegarde spécialement conçu. Quand une restauration est lancée, la fonction unserialize va désérialiser les données du fichier, déclenchant l’exécution d’une commande arbitraire à travers la propriété post_reboot_commands de la classe pfsense_module_installer. Cette commande est exécutée avec les privilèges root via mwexec (ici la commande id). Aucun correctif de sécurité ne sera publié par l’éditeur qui a indiqué que cette vulnérabilité résulte de comportements attendus de la part d’utilisateurs authentifiés.
Prise de contrôle du système via une vulnérabilité au sein d’Apache Camel [16]
Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2026-25747 et affectant Apache Camel a été publié. L’exploitation de cette faille permet à un attaquant ayant des droits d’écriture dans les fichiers de base de données LevelDB d’injecter un objet Java sérialisé malveillant entrainant une exécution de code arbitraire. Un attaquant peut exploiter cette vulnérabilité en 3 étapes : il commence par générer un objet Java malveillant avec Ysoserial ; puis injecte l’objet dans LevelDB ; avant de déclencher l’exécution de la commande malveillante via désérialisation. L’exécution peut également être déclenchée par le redémarrage de l’application ou quand le mécanisme de scan/récupération est lancé. Le CERT-XMCO recommande l’installation des versions suivantes de Camel disponibles auprès du support Apache : 4.10.9, 4.14.5 et 4.18.0.
Élévation de privilèges et contournement de sécurité via une vulnérabilité au sein d’Apache Camel [17]
Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2026-23552 et affectant Apache Camel a été publié. L’exploitation de cette faille permet à un attaquant de compromettre l’isolation des locataires et ainsi accéder à des informations sensibles, contourner les mécanismes de sécurité et élever ses privilèges. La preuve de concept se présente sous la forme d’un programme écrit en Java. Une fois connecté à Keycloak, deux realms sont créées, acme et globex, possédant des clients confidentiels et le rôle tenant-user au sein de chacun d’entre eux. Un utilisateur alice avec le rôle tenant-user est ensuite créé dans le realm acme. Une route Camel protégée par une KeycloakSecurityPolicy, configurée pour le realm globex, est finalement créée. Le PoC démontre alors que le token JWT de l’utilisateur alice, récupéré depuis acme, est accepté par la route alors qu’elle n’est censée accepter que les tokens du realm globex. Le CERT-XMCO recommande l’installation de la version 4.18.0 d’Apache Camel disponible auprès du support.
INFORMATIONS
Vulnérabilités
Le groupe APT chinois UNC6201 exploite la faille de sécurité CVE-2026-22769 affectant la solution « RecoverPoint for Virtual Machines » de Dell [18]
Le 17 février 2026, les chercheurs du Google Threat Intelligence Group ont publié un bulletin de sécurité à la suite de l’identification d’une vulnérabilité activement exploitée au sein de la solution Dell RecoverPoint for Virtual Machines. Référencée CVE-2026-22769, cette faille de sécurité désormais corrigée dispose d’un score de criticité CVSS de 10 et aurait été détournée en tant que 0-day par le groupe d’attaquants UNC6201, suspecté d’être parrainé par la Chine. La faille serait due à l’utilisation d’identifiants codés en dur et permettait à un attaquant distant et non authentifié d’obtenir un accès non autorisé au système d’exploitation sous-jacent et une persistance au niveau de la racine. Le CERT-XMCO recommande l’installation de la version 6.0.3.1 HF1 de RecoverPoint for Virtual Machines. Cette version est disponible à l’adresse suivante : https://www.dell.com/support/product-details/product/recoverpoint-for-virtual-machines/drivers
France
Compromission de la plateforme « Choisir le service public » [19]
Les 16 et 17 février 2026, les équipes techniques de la plateforme Choisir le service public ont procédé à la notification individuelle par courrier électronique des utilisateurs dont les comptes avaient été compromis. Cette communication, effectuée en application de l’article 34 du Règlement général sur la protection des données (RGPD), visait à informer les personnes concernées de la violation de leurs données personnelles et à leur recommander les mesures de sécurité appropriées. L’incident, qualifié « d’incident de sécurité », concerne l’ensemble des usagers de la plateforme. Les données dérobées incluent non seulement les informations de contact (nom, prénom, adresse mail, numéro de téléphone, date de naissance), mais aussi le niveau de diplôme, le parcours académique, le type de poste recherché, le domaine de spécialisation, les langues maîtrisées avec leur niveau, la catégorie d’emploi visée et les préférences géographiques. Cette granularité pourrait permettre à un attaquant de construire des scénarios de phishing ultra‑ciblés, en jouant sur l’attente de réponses positives à des candidatures ou à des opportunités supposées « sur mesure ».
1,2 million de comptes présents au sein du fichier national des comptes bancaires (FICOBA) ont été compromis [20]
Le 18 février 2026, la Direction Générale des Finances publiques (DGFiP) a publié un communiqué détaillant la compromission du fichier national des comptes bancaires (FICOBA) survenue via l’usurpation des identifiants d’un fonctionnaire. L’attaquant a pu consulter une partie de cette base recensant tous les comptes bancaires ouverts en France, incluant IBAN/RIB, identité, adresse et parfois identifiant fiscal, pour environ 1,2 million de comptes. Dès la détection, la DGFiP a restreint les accès pour stopper l’attaque, limiter le volume de données consultées/extraites et prévoit d’informer individuellement les usagers concernés tout en sensibilisant les établissements bancaires à la vigilance. L’accès initial repose sur la compromission puis l’usurpation des identifiants d’un agent disposant d’habilitations FICOBA, ce qui a permis à l’acteur malveillant de se fondre dans les flux normaux d’échange d’information entre ministères et d’interroger le fichier comme un utilisateur légitime. Une fois connecté, l’acteur a consulté et extrait des enregistrements contenant des données d’identification et de coordonnées bancaires des titulaires de comptes, sans modification apparente des données.
Le groupe de ransomware Cl0p revendique la compromission de La Confédération française démocratique du travail (CFDT) [21]
Le 14 février 2026, le groupe de ransomware Cl0p a revendiqué sur son site vitrine la compromission de la Confédération française démocratique du travail (CFDT). À ce stade, les attaquants n’ont pas précisé la nature des données volées et la demande de rançon effectuée auprès de la CFDT. Pour l’heure, le syndicat français n’a pas confirmé l’incident publiquement. Cette tentative d’extorsion semble motivée par des objectifs financiers, bien qu’aucune information ne soit pour le moment communiquée sur la nature des tactiques, techniques et procédures employées par le groupe de ransomware Cl0p. Au cours des derniers mois, le collectif cybercriminel s’est illustré par l’exploitation de diverses failles de sécurité 0-day affectant des solutions logicielles. En décembre dernier, le CERT-XMCO alertait notamment sur le détournement d’une vulnérabilité par les opérateurs de Cl0p au sein de la solution de partage de fichiers sécurisé Gladinet CentreStack. Ces derniers ont aussi eu recours à l’exploitation de la CVE-2025-61882 en octobre 2025, une faille ayant affecté la solution Oracle E-Business Suite.
Cybercriminel
Campagne d’escroquerie exploitant les Jeux Olympiques d’hiver 2026 [22]
Le 17 février 2026, des chercheurs de Bitdefender ont révélé une campagne d’escroquerie toujours active sur les plateformes de Meta, visant des personnes en Europe et aux États-Unis. Les attaquants diffusent de fausses publicités usurpant la boutique officielle de Milano Cortina 2026 afin de commettre des fraudes, de voler des informations personnelles ou de compromettre des comptes utilisateurs. Les attaquants ont commencé par créer des pages Facebook pour diffuser leurs publicités frauduleuses. Lorsqu’un utilisateur clique sur l’une de ces annonces, il est redirigé vers des sites reproduisant fidèlement la boutique officielle des Jeux Olympiques, intégrant visuels officiels, photographies professionnelles et messages promotionnels. Une incohérence subtile révèle toutefois la fraude : des remises artificiellement majorées, atteignant jusqu’à 80 % alors qu’elles ne dépassent pas 15 % sur le site légitime, conçues pour générer un sentiment d’urgence et pousser à l’achat.
——————————————————————————————————–
Références
[1]
- https://notepad-plus-plus.org/news/v891-released/
- https://notepad-plus-plus.org/news/hijacked-incident-info-update/
[2]
[3]
[4]
[5]
[6]
- https://chromereleases.googleblog.com/2026/02/stable-channel-update-for-desktop.html
- https://chromereleases.googleblog.com/2026/02/chrome-for-android-update.html
[7]
- https://github.com/kubernetes/kubernetes/issues/136678
- https://github.com/kubernetes/kubernetes/issues/136679
- https://github.com/kubernetes/kubernetes/issues/136680
[8]
[9]
[10]
[11]
- https://www.pillar.security/blog/n8n-sandbox-escape-critical-vulnerabilities-in-n8n-exposes-hundreds-of-thousands-of-enterprise-ai-systems-to-complete-takeover
- https://blog.securelayer7.net/cve-2026-25049/
- https://www.endorlabs.com/learn/cve-2026-25049-n8n-rce
- https://www.bleepingcomputer.com/news/security/critical-n8n-flaws-disclosed-along-with-public-exploits/
[12]
- https://cert.gov.ua/article/6287250
- https://www.bleepingcomputer.com/news/security/russian-hackers-exploit-recently-patched-microsoft-office-bug-in-attacks/
[13]
- https://jfrog.com/blog/cve-2025-11953-critical-react-native-community-cli-vulnerability/
- https://thehackernews.com/2026/02/hackers-exploit-metro4shell-rce-flaw-in.html
- https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-react-native-metro-bug-to-breach-dev-systems/
[14]
- https://www.bleepingcomputer.com/news/security/cisa-flags-critical-solarwinds-rce-flaw-as-actively-exploited/
- https://thehackernews.com/2026/02/cisa-adds-actively-exploited-solarwinds.html
[15]
- https://securitylabs.datadoghq.com/articles/web-traffic-hijacking-nginx-configuration-malicious/
- https://thehackernews.com/2026/02/hackers-exploit-react2shell-to-hijack.html
[16]
- https://notepad-plus-plus.org/news/clarification-security-incident/
- https://thehackernews.com/2026/02/notepad-official-update-mechanism.html
- https://notepad-plus-plus.org/assets/data/IoCFromFormerHostingProvider.txt
- https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/
- https://securelist.com/notepad-supply-chain-attack/118708/
[17]
- https://securelist.com/notepad-supply-chain-attack/118708/
- https://notepad-plus-plus.org/assets/data/IoCFromFormerHostingProvider.txt
- https://notepad-plus-plus.org/news/clarification-security-incident/
[18]
- https://unit42.paloaltonetworks.com/shadow-campaigns-uncovering-global-espionage/
- https://www.theregister.com/2026/02/05/asia_government_spies_hacked_37_critical_networks/
[19] https://www.sgdsn.gouv.fr/files/files/Publications/20260129_SNC_0.pdf
