Résumé de la semaine #09 (du 23 au 27 février 2026)

Exploitation de la vulnérabilité 0-day CVE-2026-20127 au sein de produits Cisco et compromission d’équipements FortiGate exposés sur Internet par un cluster criminel russophone, les experts du service de veille cyber Yuno vous livrent une synthèse des évènements clés pour vous permettre de rester informés et d’anticiper les risques.

Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.

APPLICATIONS DE CORRECTIFS

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Solarwinds pour Serv-U file server [1], par Juniper pour Junos OS [2], par Cisco pour Catalyst [3], par Trend Micro [4], par Centreon [5] [6], par Gitlab [7], par Mozilla pour Firefox, Firefox ESR et Thunderbird [8] [9] [10] [11], par Grafana [12], par Google pour Chrome [13], et par Microsoft pour Edge [14] [15].

Code d’exploitation

Un code d’exploitation a été publié cette semaine. Un correctif est disponible.

Prise de contrôle du système via une vulnérabilité au sein de Chrome [16]

Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2026-2441 et affectant Chrome a été publié. L’exploitation de cette faille permet à un attaquant distant et non authentifié d’exécuter du code arbitraire au sein d’une sandbox. En incitant sa victime à ouvrir une page spécialement conçue dans une version vulnérable de Chrome, un attaquant est alors en mesure de déclencher une vulnérabilité de type use-after-free dans le moteur CSS, pouvant conduire à l’exécution de code arbitraire dans le contexte du navigateur. Le CERT-XMCO recommande l’installation de l’une des versions suivantes de Chrome disponibles via le mécanisme de mise à jour automatique : 144.0.7559.75 pour la version Linux ; 145.0.7632.75/76 pour la version Windows et 145.0.7632.75/76 pour la version macOS. Google indique que cette vulnérabilité a été activement exploitée comme 0-day.

Informations

Vulnérabilités

Le mode opératoire UAT-8616 exploite la vulnérabilité 0-day CVE-2026-20127 au sein de produits Cisco [17]

Le 25 février 2026, les chercheurs de Cisco Talos ont publié un bulletin de sécurité signalant l’exploitation malveillante d’une vulnérabilité critique au sein des solutions Cisco Catalyst SD-WAN Controller et Cisco Catalyst SD-WAN Manager. Référencée CVE-2026-20127, cette faille de sécurité provenait d’un défaut au sein du mécanisme d’authentification de peering, qui ne validait pas correctement les pairs et permettait un contournement de l’authentification via des requêtes spécialement conçues. Cette vulnérabilité permettait à un attaquant distant et non authentifié d’envoyer des requêtes spécifiquement conçues pour contourner les mesures d’authentification et obtenir des privilèges administrateur. D’après les investigations de Cisco Talos, le mode opératoire UAT-8616 serait responsable de l’identification de la faille CVE-2026-2012 et de son exploitation en tant que 0-day. Des traces malveillantes de l’opération ont été observées par Cisco Talos, suggérant une campagne d’attaques active depuis au moins trois ans.

Exploitations malveillantes de la faille de sécurité CVE-2026-1731 au sein de produits BeyondTrust [18]

Le 19 février 2026, l’Unit42 de Palo Alto a publié un bulletin de sécurité sur l’exploitation malveillante d’une faille affectant des produits BeyondTrust. Référencée CVE-2026-1731 et désormais corrigée, cette vulnérabilité provenait d’une mauvaise neutralisation d’éléments spéciaux. Elle permettait à un attaquant distant et non authentifié d’envoyer des requêtes spécifiquement conçues afin de prendre le contrôle de l’appareil. Un code d’exploitation est publiquement disponible. Pour endiguer les risques de détournement de cette faille, le CERT-XMCO recommande l’installation des versions 25.3.2 ou Patch BT26-02-RS de Remote Support, ainsi que 25.1.1 ou Patch BT26-02-PRA de Privileged Remote Access, disponibles auprès du support. Des tentatives d’exploitation de la CVE-2026-1731 ont été signalées par l’Unit42 aux États-Unis, en France, en Allemagne, en Australie et au Canada, contre de multiples secteurs d’activités, tels que les services financiers, juridiques, les hautes technologies, l’enseignement supérieur, le commerce de gros et de détail et la santé. Conjointement à ces observations, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a confirmé le 13 février dernier que cette faille avait aussi été exploitée lors d’attaques par ransomware.

Europe

Compromission d’équipements FortiGate exposés sur Internet par un cluster criminel russophone [19]

Le 20 février 2026, les chercheurs d’Amazon Threat Intelligence ont révélé une campagne d’attaque opportuniste menée par un cluster criminel russophone à motivation financière. Les attaquants ont exploité plusieurs services commerciaux d’IA générative afin de compromettre plus de 600 équipements FortiGate exposés sur Internet dans plus de 55 pays, entre le 11 janvier et le 18 février 2026. L’opération cherchait principalement à compromettre des environnements Active Directory, exfiltrer des bases de données d’identifiants ainsi que cibler des infrastructures de sauvegarde. Cette campagne illustre le gain capacitaire que l’intelligence artificielle peut offrir aux cybercriminels. Selon les chercheurs, le mode opératoire observé suggère l’implication probable d’un individu isolé ou d’un petit groupe qui, grâce à l’appui de l’IA, a pu atteindre un niveau d’efficacité et une envergure opérationnelle auparavant réservés à des équipes plus structurées et expérimentées.

France

Un acteur cybercriminel revendique le vol de 16 GB données chez Airbus sur le forum Exploit [20]

Le 23 février 2026, un acteur malveillant connu sous le pseudonyme AckLine a publié sur la plateforme criminelle Exploit un échantillon de données, susceptible d’appartenir à un environnement de développement d’Airbus. Dans sa publication, le cybercriminel a précisé être en possession de 16 GB de données compressées, désormais mises en vente sur le forum. Bien que la nature exacte du mode opératoire employé par l’attaquant ne soit pas établie, AckLine a indiqué qu’il avait infiltré un environnement de DevOps lié à Airbus pendant plus de deux mois. Pour l’heure, l’entreprise aérospatiale européenne n’a pas communiqué publiquement sur ce potentiel vol de données.

——————————————————————————————————–

Références

Références
[1]

• https://documentation.solarwinds.com/en/success_center/servu/content/release_notes/servu_15-5-4_release_notes.htm

[2]

• https://supportportal.juniper.net/s/article/2026-02-Out-of-Cycle-Security-Bulletin-Junos-OS-Evolved-PTX-Series-A-vulnerability-allows-a-unauthenticated-network-based-attacker-to-execute-code-as-root-CVE-2026-21902

[3]

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-authbp-qwCX8D4v

[4]

• https://success.trendmicro.com/en-US/solution/KA-0022458

[5]

• https://thewatch.centreon.com/latest-security-bulletins-64/cve-2026-2749-centreon-open-tickets-critical-severity-5493

[6]

• https://thewatch.centreon.com/latest-security-bulletins-64/february-release-monthly-security-bulletin-for-centreon-infra-monitoring-critical-5502

[7]

• https://about.gitlab.com/releases/2026/02/25/patch-release-gitlab-18-9-1-released/

[8]

• https://www.mozilla.org/en-US/security/advisories/mfsa2026-10/#CVE-2026-2447

[9]

• https://www.mozilla.org/en-US/security/advisories/mfsa2026-15/
• https://www.mozilla.org/en-US/security/advisories/mfsa2026-14/

[10]

• https://www.mozilla.org/en-US/security/advisories/mfsa2026-17/
• https://www.mozilla.org/en-US/security/advisories/mfsa2026-16/

[11]

• https://www.mozilla.org/en-US/security/advisories/mfsa2026-12/
• https://www.mozilla.org/en-US/security/advisories/mfsa2026-13/

[12]

• https://github.com/grafana/grafana/blob/main/CHANGELOG.md
• https://github.com/grafana/grafana/releases/tag/v12.4.0

[13]

• https://chromereleases.googleblog.com/2026/02/stable-channel-update-for-desktop_23.html
• https://chromereleases.googleblog.com/2026/02/chrome-for-android-update_23.html

[14]

• https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#february-20-2026

[15]

• https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#february-26-2026

[16]

• https://cxsecurity.com/issue/WLB-2026020022

[17]

• https://blog.talosintelligence.com/uat-8616-sd-wan/
• https://www.ncsc.gov.uk/news/exploitation-cisco-catalyst-sd-wans
• https://www.cisa.gov/news-events/directives/ed-26-03-mitigate-vulnerabilities-cisco-sd-wan-systems
• https://www.cisa.gov/news-events/alerts/2026/02/25/cisa-and-partners-release-guidance-ongoing-global-exploitation-cisco-sd-wan-systems
• https://www.cisa.gov/news-events/directives/supplemental-direction-ed-26-03-hunt-and-hardening-guidance-cisco-sd-wan-systems
• https://www.bleepingcomputer.com/news/security/critical-cisco-sd-wan-bug-exploited-in-zero-day-attacks-since-2023/
• https://thehackernews.com/2026/02/cisco-sd-wan-zero-day-cve-2026-20127.html

[18]

• https://unit42.paloaltonetworks.com/beyondtrust-cve-2026-1731/
• https://thehackernews.com/2026/02/beyondtrust-flaw-used-for-web-shells.html
• https://www.bleepingcomputer.com/news/security/cisa-beyondtrust-rce-flaw-now-exploited-in-ransomware-attacks/

[19]

• https://aws.amazon.com/fr/blogs/security/ai-augmented-threat-actor-accesses-fortigate-devices-at-scale/
• https://www.bleepingcomputer.com/news/security/amazon-ai-assisted-hacker-breached-600-fortigate-firewalls-in-5-weeks/
• https://therecord.media/gen-ai-fortigate-hackers-russia

[20]

• https://dailydarkweb.net/airbus-se-devops-environment-data-breach/