FortiBleed, FortiSandbox, PeopleSoft (du 13 au 19 juin 2026)

Exploitation malveillante des vulnérabilités CVE-2026-39813, CVE-2026-39808 etCVE-2026-25089 affectant Fortinet FortiSandbox et compromission de plus de 75 000 accès admin Fortinet, les experts du service de veille cyber Yuno vous livrent une synthèse des évènements clés pour vous permettre de rester informés et d’anticiper les risques.

Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.

‍

Correctifs

‍

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés parOracle [1] [2] [3] [4], par Google pour Chrome [5], par F5 pour Nginx [6], par Dell pour Poweredge [7], par Mozilla pour Firefox [8], par Android [9], par TYPO3 [10], par Apache pour CXF [11] et par Kubernetes [12]. Ces correctifs remédient à des dommages allant du déni de service à laprise de contrôle du système.

‍

Code d’exploitation

‍

Cette semaine, 3 codes d'exploitation ont été publiés. Un correctif est disponible pour chacun d'entre eux.

Prise decontrôle du système via une vulnérabilité au sein Oracle PeopleSoft [13]

Un code d'exploitation tirant parti de la vulnérabilité référencéeCVE-2026-35273 et affectant Oracle PeopleSoft a été publié. L'exploitation de cette faille permet à un attaquant distant et non authentifié de prendre le contrôle du système. Il envoie une requête POST vers l'endpoint /PSEMHUB/hub avec le paramètre OPERATION contenant une payload Java générée par la commande generate_java_gadget("dns", "http://{{interactsh-url}}", "base64"). Cette payload est encodée en Base64 et vise à déclencher une désérialisation d'objet côté serveur. En cas de succès, le serveur effectue une requête DNS vers l'adresse {{interactsh-url}}, ce qui permet de confirmer l'exploitation de la vulnérabilité. Le succès de l'attaque est validé par la réception d'un codeHTTP 200, la présence de la chaîne rO0ABX dans la réponse et la détection d'une interaction DNS. Le CERT-XMCO recommande l'installation des correctifs de sécurité disponibles via le site du support Oracle.

Contournement de sécurité via une vulnérabilité au sein de produits CheckPoint [14]

Un code d'exploitation tirant parti de la vulnérabilité référencéeCVE-2026-10520 et affectant des produits CheckPoint a été publié.L'exploitation de cette faille permet à un attaquant distant et non authentifié d’établir un tunnel VPN d’accès distant sans mot de passe valide. Il fonctionne en trois phases principales. Premièrement il établit une connexion IKEv1standard avec le serveur VPN et négocie les paramètres de chiffrement.Deuxièmement, il effectue un échange de clés Diffie-Hellman pour générer une clé secrète partagée. Enfin, il envoie un message contenant un certificat valide (fourni dans le template) accompagné d'une fausse signature (256 bytes remplis de caractères aléatoires au lieu d'une signature cryptographique légitime). Si le serveur accepte cette fausse signature et établit la connexionVPN malgré tout, cela confirme que la vulnérabilité existe et que l'authentification a pu être contournée avec succès. Le CERT-XMCO recommande l'installation de la dernière version de Security Gateways appliquant le dernier hotfix.

Prise de contrôle du système via une vulnérabilité au sein de Poly Voice [15]

Un code d'exploitation tirant parti de la vulnérabilité référencéeCVE-2026-0826 et affectant Poly Voice a été publié. L'exploitation de cette faille permet à un attaquant distant et non authentifié de prendre le contrôle du système. Il commence par envoyer une requête SIP OPTIONS afin d'identifier le modèle et la version de l'appareil cible et de vérifier si la fonctionnalitéICE est activée. Il construit ensuite une requête SIP INVITE contenant des données SDP spécialement forgées avec l'attribut a=candidate: afin de provoquer un dépassement de tampon sur la pile. Le payload intègre une chaîne ROP permettant d'appeler la fonction system() et d'exécuter la commande fournie parle payload cmd/unix/bind_socat_tcp. La requête malveillante est transmise via UDP sur le port 5060. En cas de succès, l'attaquant obtient une exécution de code à distance avec les privilèges root sur l'équipement ciblé. Le CERT-XMCO recommande l'installation des versions suivantes des produits Poly Voice de VVXUCS 6.4.8 : Trio 8300 UCS 8.1.7, Trio 8500 UCS 7.2.8 et Trio 8800 UCS 7.2.8.

‍

Vulnérabilités

‍

Exploitation malveillante des vulnérabilités CVE-2026-39813, CVE-2026-39808 et CVE-2026-25089 affectant Fortinet FortiSandbox [16]

Le 15 juin 2026, les chercheurs deDefused ont alerté sur l'exploitation malveillante de multiples failles de sécurité critiques affectant la solution Fortinet FortiSandbox. RéférencéesCVE-2026-39813, CVE-2026-39808 et CVE-2026-25089, ces vulnérabilités, désormais corrigées, permettaient à un attaquant distant d'élever ses privilèges et de prendre le contrôle du système par le biais d'opérations par injection de commandes de faible complexité et ne nécessitant aucune interaction de l'utilisateur (cf. CXA-2026-2671 et CXA-2026-4214). Au total, la CISA a recensé26 vulnérabilités de Fortinet qui ont été détournées lors d'attaques ces dernières années, dont 13 ont été utilisées par des groupes de ransomware. Pour endiguer les risques d'exploitation ultérieure des failles susmentionnées, leCERT-XMCO recommande l'application des correctifs de sécurité publiés par Fortinet et détaillés dans des bulletins dédiés (cf. CXA-2026-2671 etCXA-2026-4214).

Découverte de la chaîne de vulnérabilités SearchLeak transformant Microsoft 365 Copilot en outil d’exfiltration de données [17]

Le 15 juin 2026, les chercheurs de Varonis Threat Labs ont publié une analyse de SearchLeak, une nouvelle technique offensive permettant de détourner Microsoft 365 Copilot Enterprise pour accéder et extraire en un clic des données sensibles. Cette attaque exploite la manière dont Copilot interagit avec les données Microsoft 365(e-mails, fichiers, réunions, codes d’authentification) pour transformer un simple lien Microsoft légitime en outil d’exfiltration transparent pour l’utilisateur. L’étude souligne que ce cas illustre une nouvelle génération de risques propres aux assistants IA intégrés aux suites bureautiques, où une combinaison de failles peut conduire à des fuites massives sans recourir à un malware classique. Microsoft a indiqué avoir corrigé ces vulnérabilités côté service pour les clients Copilot Enterprise, sans action requise, mais les auteurs recommandent aux organisations d’intégrer désormais ces scénarios dans leurs modèles de menace, leurs contrôles de sortie et leurs politiques de durcissement des services IA.

‍

Cybercriminel

‍

FortiBleed : plus de 75 000 accès admin Fortinet compromis [18]

Le 17 juin 2026, le chercheur Kevin Beaumont a relayé l'alerte que publiait 4 jours plus tôt Volodymyr "Bob" Diachenko sur LinkedIn détaillant une fuite massive d’identifiants Fortinet/FortiGate désormais connue sous le nom de FortiBleed. Cette fuite regroupe un vaste ensemble de comptes VPN Fortine/FortiGate associés à 73 932 URLs de pare‑feux répartis au travers de 194 pays. D'après les données de Shodan, 50% de l'ensemble des pare-feu Fortinet actuellement exposés à Internet seraient compris dans le dataset FortiBleed. Cette fuite de données concernerait notamment des grands groupes, des opérateurs d’infrastructures critiques et des entités gouvernementales. Les premières analyses effectuées par Hudson Rock montrent que de nombreux mots de passe complexes ont été reconstitués à partir de configurations Fortinet et de logs d’infostealers.

Le Conseil de l’Europe enquête sur un possible vol de près de 300 Go de données sensibles mené par ShinyHunters [19]

Le 15 juin 2026, les journalistes de SecurityWeek et de BleepingComputer ont relayé des revendications de ShinyHunters concernant une potentielle compromission du Conseil de l’Europe et le vol de près de 300 Go de données liées à la structure. Le groupe d’extorsion affirme avoir exfiltré plus de 429000 fichiers issus de plusieurs départements, principalement des données RH et de paie, couvrant plus de 10 000 employés entre 2011 et 2026. Le Conseil del’Europe, principale organisation de défense des droits humains en Europe, indique à ce stade mener une enquête interne et ne pas pouvoir confirmer publiquement l’ampleur ni les détails de l’incident.

‍

Géopolique

OffensiveDDoS de NoName057(16) visant le G7 à Évian [20]

Le 15 juin 2026, LeParisien a publié une analyse d’une série de cyberattaques ayant visé plusieurs institutions et services publics de Haute‑Savoie, à l'occasion du premier jour du sommet du G7 à Évian. L’opération, revendiquée par le collectif pro‑russe NoName057(16), a pris la forme d’attaques par déni de service distribué perturbant notamment les sites de la préfecture de Haute‑Savoie, de communes comme Thonon‑les‑Bains ou Saint‑Gingolph, et de services de tourisme et de transport locaux. Les autorités soulignent un impact qualifié de mineur, les perturbations étant essentiellement limitées à des ralentissements ou indisponibilités temporaires des portails en ligne.

‍

Intelligence artificielle

Suspension des modèles Fable 5 et Mythos 5 d’Anthropic à destination des ressortissants non américains [21]

Le 13 juin 2026, certains responsables d'Anthropic ont expliqué avoir désactivé les modèles Fable 5 et Mythos 5 pour se conformer à une directive américaine imposant de restreindre leur accès aux ressortissants étrangers, tout en contestant le bien‑fondé et la procédure de cette décision. Cette mesure, qui affecte l’ensemble des utilisateurs, découle de préoccupations officielles liées au potentiel de ces modèles à faciliter des usages offensifs en cybersécurité et s’inscrit dans un durcissement plus large des contrôles d’exportation visant les systèmes d’IA les plus puissants. Fable 5, conçue comme une version plus largement disponible d’un modèle sous‑jacent plus puissant nommé Mythos 5, appliquait déjà des garde‑fous renforcés, notamment via un classifieur de sécurité et des restrictions d’usage, mais n’a pas échappé à cette suspension généralisée. Anthropic cherche à rétablir l’accès à Fable 5 et Mythos 5 « dès que possible», tout en appelant à un cadre légal plus transparent, prévisible et techniquement fondé pour toute future mesure de blocage ou de rappel de modèles d’IA, ce qui préfigure de nouveaux débats de gouvernance autour de l’IA générative avancée.

‍

——————————————————————————————————-

‍