PAN-OS, Linux, Netlogon, Gitea (du 1 au 5 juin 2026)

Exploitation malveillante de la faille de sécurité CVE-2026-41089 au sein de Windows Netlogon et compromission de packages npm Red Hat dans le cadre d’une nouvelle attaque de la chaine d’approvisionnement logicielle, les experts du service de veille cyber Yuno vous livrent une synthèse des évènements clés pour vous permettre de rester informés et d’anticiper les risques.

Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Google pour Chrome [1], par Cisco pour Unified Communications Manager [2], par MariaDB [3], par Google pour Android [4], par Mozilla pour Firefox [5] [6], par Microsoft pour Edge [7] [8], par Don Ho pour NotePad++ [9] et par Docker pour Docker Engine [10]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

‍

Code d’exploitation

4 codes d'exploitation ont été publiés cette semaine. 4 correctifs sont disponibles.

Contournement de sécurité via une vulnérabilité au sein dePAN-OS [11]

Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2026-0257 et affectant PAN-OS a été publié.L’exploitation de cette faille permet à un attaquant distant non authentifié de contourner le mécanisme d’authentification de GlobalProtect. Il commence par récupérer la chaîne de certificats TLS exposée par le service HTTPS GlobalProtect. Le programme extrait ensuite les clés publiques RSA des certificats identifiés, puis les utilise pour chiffrer un cookie d’Authentication Override forgé contenant notamment le nom de l’utilisateur ciblé, le système d’exploitation client, un identifiant machine, un horodatage et une adresse IP client. Le cookie généré est ensuite encodé en base64 puis transmis à l’endpoint /ssl-vpn/login.esp via le paramètre portal-userauthcookie. Le programme teste successivement les contextes gateway et portal, puis analyse la réponse XML retournée par l’équipement. En cas de succès, la passerelle ou le portail GlobalProtect accepte le cookie forgé comme un cookie d’authentification valide, permettant à l’attaquant de s’authentifier sans disposer d’identifiants valides. Le CERT-XMCO recommande l’installation des versions corrigées dePAN-OS suivantes en fonction de la branche utilisée, la branche PAN-OS :12.1.4-h6; 12.1.7; 11.2.4-h17; 11.2.7-h14; 11.2.10-h7; 11.2.12; 11.1.4-h33;11.1.6-h32; 11.1.7-h6; 11.1.10-h25; 11.1.13-h5; 11.1.15; 10.2.7-h34;10.2.10-h36; 10.2.13-h21; 10.2.16-h7; 10.2.18-h6 et la branche Prisma Access :11.2.7-h13; 10.2.10-h36.

Élévation de privilèges via une vulnérabilité au sein du noyau Linux [12]

Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2026-46243 et affectant le noyau Linux a été publié. L’exploitation de cette faille permet à un attaquant d'élever ses privilèges. Le script forge une description de clé cifs.spnego depuis l’espace utilisateur. Cette description contient un identifiant de processus contrôlé ainsi que le paramètre upcall_target=app. Si la cible est vulnérable, cette description n’est pas rejetée par le noyau, bien qu’elle ne provienne pas légitimement du client CIFS. La requête provoque ensuite l’exécution du helper cifs.upcall avec des privilèges élevés via le mécanisme request-key. Ce dernier interprète les champs fournis dans la description de clé comme s’ils avaient été générés par le noyau. En raison de la valeur upcall_target=app, cifs.upcall bascule alors dans les espaces de noms associés au processus indiqué par l’attaquant. Une fois ce changement d’espace de noms effectué, le helper réalise une résolution NSS. Le code d’exploitation abuse de ce comportement  une configuration NSS et une librairie NSS malveillante dans l’environnement contrôlé par l’attaquant. Cette librairie est alors chargée parcifs.upcall avec des privilèges élevés. L’exploitation réussie permet à un attaquant local non privilégié d’obtenir une élévation de privilèges. LeCERT-XMCO recommande l’installation des dernières versions stables du noyauLinux suivant en fonction de la branche utilisée : Linux kernel 5.10.258; Linux kernel 5.15.209; Linux kernel 6.1.175; Linux kernel 6.6.142; Linux kernel6.12.92; Linux kernel 6.18.34; Linux kernel 7.0.11; Linux kernel 7.1-rc5. Ces versions sont disponibles à l’adresse suivante : https://www.kernel.org/.

Contournement de sécurité et divulgation d'informations via une vulnérabilité au sein de Gitea [13]

Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2026-27771 et affectant Gitea a été publié.L'exploitation de cette faille permet à un attaquant distant et non authentifié de contourner les mécanismes de sécurité et d'accéder à des informations sensibles. Ce code d’exploitation se présente sous la forme d’un template Nuclei. Ce PoC envoie d’abord une requête GET /v2/ pour vérifier l’accessibilité de l’API, qui répond par un 401 Unauthorized. Il enchaîne ensuite avec GET /v2/token?service=container_registry&scope=* afin de récupérer un token, qu’il extrait depuis la réponse. Enfin, il utilise ce token dans une requête GET /v2/_catalog avec l’en-tête Authorization: Bearer{{token}} pour obtenir la liste complète des dépôts du registre, pouvant contenir du code source propriétaire, des secrets intégrés (clés API, identifiants de base de données, clés de fournisseurs cloud) ainsi que des informations de configuration interne issues d’images de conteneurs privées. LeCERT-XMCO recommande l'installation de la version 1.26.2 de Gitea disponible à l'adresse suivante : https://github.com/go-gitea/gitea/releases/tag/v1.26.2.

Prise de contrôle du système via une vulnérabilité au sein de Notepad++ [14]

Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2026-48778 et affectant Notepad++ a été publié.L’exploitation de cette faille permet à un attaquant local et non authentifié de prendre le contrôle du système. Ce code d'exploitation se présente sous la forme d'un programme écrit en Python. En incitant sa victime à ouvrir ce programme, un attaquant est alors en mesure de modifier le fichier de configuration de Notepad++ afin de détourner le comportement de certaines fonctionnalités et provoquer l'exécution d'un programme arbitraire (calc.exe) à la place de la commande normalement prévue. Le CERT-XMCO recommande l'installation de la version 8.9.6.1 de Notepad++ disponible à l'adresse suivante : https://notepad-plus-plus.org/news/v8961-released/.

‍

‍

Vulnérabilités

Exploitation malveillante dela faille de sécurité CVE-2026-41089 affectant Windows Netlogon [15]

Le 29 mai 2026, le Centre belge de cybersécurité (CCB) a signalé l'exploitation malveillante d'une faille de sécurité critique affectant Windows Netlogon. Référencée CVE-2026-41089 (score CVSS v3.1 : 9.8) et corrigée dans le cadre du Patch Tuesday du mois de mai 2026, cette vulnérabilité provenait d'un dépassement de tampon basé sur la pile au sein de Netlogon (CWE-121) et permettait à un attaquant distant et non authentifié d'exécuter du code arbitraire. Le Centre belge de cybersécurité a exhorté les administrateurs à corriger immédiatement les serveurs vulnérables à la CVE-2026-41089. Cette faille de sécurité affecte toutes les versions de Windows Server actuellement prises en charge, y compris la dernière version, Windows Server 2025. Pour endiguer les risques d'exploitation de la CVE-2026-41089, le CERT-XMCO recommande d'installer les dernières mises à jour de sécurité publiées par Microsoft.

Exploitation malveillante de la faille de sécuritéCVE-2026-0257 au sein de PAN-OS et Prisma Access [16]

Le 29 mai 2026, Palo AltoNetworks a alerté sur l'exploitation malveillante d'une vulnérabilité affectantPAN-OS et Prisma Access. Référencée CVE-2026-0257 (CVSS 4.0 : 7.8) et désormais corrigée, cette faille résultait d'un défaut de contrôle d'intégrité des cookies (CWE-565). Un attaquant distant et non authentifié pouvait l'exploiter afin de contourner des restrictions de sécurité afin d'établir une connexion VPN non autorisée. La faille de sécurité CVE-2026-0257 a été ajoutée au catalogue KEV de laCISA le 1er juin 2026.

Exploitation malveillante de la faille de sécuritéCVE-2026-20245 au sein de Catalyst SD-WAN Manager [17]

Le 4 juin 2026, l'éditeur Cisco a signalé l'exploitation malveillante d'une faille de sécurité affectant Catalyst SD-WAN Manager. Référencée CVE-2026-20245, cette vulnérabilité provient d'un défaut d'échappement ou d'encodage des entrées au sein du CLI (Command LineInterface) (CWE-116). Elle permet à un attaquant local disposant des privilèges netadmin d'obtenir les privilèges root via l'injection de commandes. L'exploitation en tant que 0-day de la vulnérabilité CVE-2026-20245 n'a pour le moment pas été attribué à un groupe d'attaquants spécifique. Pour l'heure, aucun correctif de sécurité n'est disponible. Afin d'endiguer les risques associés à l'exploitation malveillante de la CVE-2026-20245, le CERT-XMCO propose diverses mesures d'atténuation détaillées dans un bulletin annexe.

‍

‍

Cybercriminel

Analyse de Microsoft prodiguant des éclairages supplémentaires sur l’attaque de la chaîne d’approvisionnement npm Miasma [18]

Le 2 juin 2026, les chercheurs de Microsoft ont publié une analyse détaillée de la campagne Miasma ciblant les paquets npm officiels@redhat-cloud-services, apportant des précisions significatives sur la compromission de la chaîne d’approvisionnement. Cette analyse confirme que les attaquants ont abusé du pipeline GitHub Actions/OIDC de RedHatInsights/javascript-clients pour publier de multiples versions trojanisées tout en conservant des artefacts de confiance. Le papier détaille également les agissements d'un dropper JavaScript volumineux, qui télécharge et exécute le runtime Bun afin de charger une payload multiplateforme construite pour le vol de secrets et la compromission d’environnements CI/CD. Par ailleurs, des IoC supplémentaires publiés par Microsoft ainsi que des règles de détection peuvent désormais être intégrés à vos capacités défensives.

‍

‍

France

Le groupe hacktivisteHider_Nex revendique des attaques par DDoS contre la RATP et Leroy Merlin [19]

Le 3 juin 2026, le groupe hacktiviste Hider_Nex a revendiqué des attaques par déni de service distribué (DDoS) contre les sites web d'entités françaises. Revendiquées sur son canal Telegram, les attaques du groupe semblent être opérées par opportunisme et le collectif revendique des positions pro-palestiniennes. En l'état, le CERT-XMCO a identifié 2 attaques contre des firmes françaises :l'établissement public RATP et l'enseigne de grande distribution Leroy Merlin.Il n'est pas à exclure que ce collectif hacktiviste cible de nouveau les sites web d'entités françaises à l'avenir. Pour le moment, Hider_Nex ne précise pas les motivations de son passage à l'acte contre la France, ni même les raisons ayant motivé ses opérations malveillantes à l'encontre des deux cibles susmentionnées. Le CERT-XMCO avait déjà documenté des attaques par DDoS opérées par Hider_Nex en septembre 2025.

‍

——————————————————————————————————-

Références

[1]

·      https://chromereleases.googleblog.com/2026/06/stable-channel-update-for-desktop.html

·      https://chromereleases.googleblog.com/2026/06/chrome-for-android-update.html

[2]

·      https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cucm-ssrf-cXPnHcW

[3]

·      https://mariadb.com/docs/server/security/cve/community-server

[4]

·      https://source.android.com/docs/security/bulletin/2026/2026-06-01?hl=fr

[5]

·      https://www.mozilla.org/en-US/security/advisories/mfsa2026-54/

[6]

·      https://www.mozilla.org/en-US/security/advisories/mfsa2026-53/

[7]

·      https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security

[8]

·      https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security

[9]

·      https://notepad-plus-plus.org/downloads/v8.9.6.2/

[10]

·      https://docs.docker.com/engine/release-notes/29/#2953

[11]

·      https://github.com/sfewer-r7/CVE-2026-0257

·      https://security.paloaltonetworks.com/CVE-2026-0257

·      https://www.rapid7.com/blog/post/etr-rapid7-observed-exploitation-of-pan-os-globalprotect-authentication-bypass-vulnerability-cve-2026-0257/

[12]

·      https://lore.kernel.org/linux-cve-announce/2026060140-CVE-2026-46243-3d1c@gregkh/

·      https://github.com/manizada/CIFSwitch

·      https://heyitsas.im/posts/cifswitch/

[13]

·      https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2026/CVE-2026-27771.yaml

[14]

·      https://www.exploit-db.com/exploits/52606

[15]

·      https://x.com/CCBalert/status/2060392708259131674

·      https://ccb.belgium.be/advisories/warning-microsoft-patch-tuesday-may-2026-patches-118-vulnerabilities-16-critical-102#:~:text=It%20is%20now%20actively%20exploited%20in%20the%20wild

·      https://www.bleepingcomputer.com/news/microsoft/critical-windows-netlogon-remote-code-execution-flaw-now-exploited-in-attacks/

[16]

·      https://security.paloaltonetworks.com/CVE-2026-0257

·      https://thehackernews.com/2026/05/pan-os-globalprotect-authentication.html

·      https://securityaffairs.com/192933/security/cve-2026-0257-rapid7-caught-attackers-abusing-forged-vpn-cookies-against-multiple-customers.html

·      https://www.bleepingcomputer.com/news/security/palo-alto-globalprotect-vpn-auth-bypass-flaw-now-exploited-in-attacks/

[17]

·      https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-privesc-4uxFrdzx

·      https://www.bleepingcomputer.com/news/security/new-cisco-sd-wan-flaw-exploited-in-zero-day-attacks-to-gain-root/

·      https://www.securityweek.com/cisco-warns-of-7th-sd-wan-zero-day-exploited-in-2026/

[18]

·      https://www.microsoft.com/en-us/security/blog/2026/06/02/preinstall-persistence-inside-red-hat-npm-miasma-credential-stealing-campaign/

[19]

·      https://x.com/FalconFeedsio/status/2062297374979207344

·      https://www.xmco.fr/publications/la-france-cible-de-lhacktivisme-geopolitique

‍