Résumé de la semaine #14 (du 30 mars au 3 avril 2026)

Campagnes d’ingérencenumérique ciblant les élections municipales françaises et exploitation comme0-day de la vulnérabilité CVE-2026-20131 affectant des produits Cisco par legroupe de ransomware Interlock, les experts du service de veille cyber Yuno vouslivrent une synthèse des évènements clés pour vous permettre de rester informéset d’anticiper les risques.

Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Cisco [1] [2], par Microsoft pour Edge [3], par Google pour Chrome [4], par Watchguard pour Fireware Web UI [5], par F5 pour BIG-IP APM [6], par Docker pour Desktop [7] et pour Engine [8]. 

Codes d'exploitation

Cette semaine, 5 codes d'exploitation ont été publiés. Un correctif est disponible pour chacun d'entre eux.

Contournement de sécurité via une vulnérabilité au sein de Symfony [9]

Un code d'exploitation tirant parti de la vulnérabilité référencée CVE-2025-64500, affectant Symfony a été publié. L'exploitation de cette faille permet à un attaquant de contourner des restrictions de sécurité. Ce code d'exploitation se présente sous la forme d'un programme écrit en YAML. En envoyant des requêtes web spécialement conçues avec des chemins URL malformés (sans le / initial), un attaquant est en mesure de l'exploiter afin de contourner les contrôles d'accès et d'accéder à des points de terminaison protégés tels que les ressources d'administration ou internes. Le CERT-XMCO recommande l'installation de l'une des versions suivantes de Symfony : 7.3.7, 6.4.29, 5.4.50.

Élévation de privilèges et contournement de sécurité via une vulnérabilité au sein de Cisco Catalyst SD-WAN [10]

Un code d'exploitation tirant parti de la vulnérabilité référencée CVE-2026-20127 affectant Cisco Catalyst SD-WAN a été publié. Cette vulnérabilité permet à un attaquant distant et non authentifié, d’envoyer des requêtes spécifiquement conçues pour contourner les mesures d'authentification et obtenir des privilèges administrateur. Ce code d'exploitation se présente sous la forme d'un programme écrit en Ruby. Un attaquant peut contourner l'authentification en envoyant un message DTLS spécialement conçu qui manipule le champ verify_status, amenant ainsi le système à le reconnaître à tort comme un pair de confiance. L'attaquant établit une connexion DTLS 1.2 à l'aide d'un certificat auto-signé, ignore les étapes d'authentification habituelles et envoie un message CHALLENGE_ACK_ACK falsifié avec une valeur verify_status différente de zéro. Une fois authentifié, l'attaquant peut injecter une clé publique SSH dans le fichier authorized_keys du système via un message du plan de contrôle, obtenant ainsi un accès SSH persistant et non autorisé au contrôleur. Le CERT-XMCO recommande l'installation de l'une des versions suivantes de Cisco Catalyst SD-WAN : 20.9.8.2 (27/02/26), 20.12.6.1, 20.12.5.3, 20.15.4.2, 20.18.2.1.

Prise de contrôle du système et manipulation de données via une vulnérabilité au sein de Magento [11]

Un code d'exploitation tirant parti de la vulnérabilité nommée PolyShell, affectant Magento (aka Adobe Commerce) a été publié. L'exploitation de cette faille permet d'accéder à des informations sensibles, de manipuler des données ainsi que de prendre le contrôle du système. Ce code d’exploitation se présente sous la forme d’un template Nuclei. Il commence par interroger l’endpoint POST /graphql afin de récupérer un SKU valide d’un produit exposé par l’instance ciblée. Il crée ensuite un panier invité via POST /rest/default/V1/guest-carts, ce qui lui permet d’obtenir un identifiant de panier exploitable sans authentification. Dans un troisième temps, il envoie une requête POST vers /rest/default/V1/guest-carts/{{cart_id}}/items contenant un objet cart_item spécialement forgé. Cet objet transporte, dans les custom_options, un champ file_info contenant un fichier PNG/PHP encodé en base64, déclaré comme image via le type MIME image/png, mais nommé avec une extension .php. Le serveur traite alors ce contenu comme un fichier d’option personnalisée et l’écrit dans le répertoire pub/media/custom_options/quote/, dans une arborescence dérivée du nom du fichier. Enfin, le template tente d’accéder directement au fichier déposé via /pub/media/custom_options/quote/... puis /media/custom_options/quote/.... Si la réponse HTTP contient la chaîne RESULT:2674, cela confirme que le fichier téléversé a non seulement été écrit sur le disque, mais également interprété comme un script PHP par le serveur web. Ainsi, un attaquant distant et non authentifié peut aller jusqu'à l'exécution de code à distance. Le CERT-XMCO recommande l’installation des dernières versions supportées d’Adobe Commerce, Adobe Commerce B2B et Magento Open Source.

Divulgation d'informations via une vulnérabilité au sein de Citrix Netscaler [12]

Un code d'exploitation tirant parti de la vulnérabilité CVE-2026-3055, affectant Citrix Netscaler a été publié. L'exploitation de cette faille permet à un attaquant de récupérer des sessions sensibles, y compris des sessions administrateur. Ce code d’exploitation, expliqué par les chercheurs de WatchTower, se présente sous la forme de requêtes HTTP spécialement forgées. Il commence par cibler l’endpoint /saml/login ou /wsfed/passive d’un équipement Citrix NetScaler ADC ou NetScaler Gateway configuré comme fournisseur d’identité SAML. Dans un premier cas, il envoie un paramètre SAMLRequest contenant un document XML encodé en base64. Le serveur tente alors d’extraire certains champs attendus sans vérifier correctement leur présence. Il accède ainsi à des zones mémoire résiduelles. Dans un second cas, le code envoie une requête vers /wsfed/passive en incluant le paramètre wctx sans lui associer de valeur. Le serveur tente ensuite d’accéder au buffer censé contenir les données associées. Cette étape provoque une lecture mémoire hors limites. Enfin, les données lues sont intégrées dans le cookie NSC_TASS renvoyé dans la réponse HTTP, sous une forme encodée en base64. Une fois décodé, ce cookie peut contenir des fragments de mémoire précédemment utilisés par le processus, comme des portions de requêtes HTTP, des identifiants ou des jetons de session. En répétant les requêtes, un attaquant peut collecter plusieurs fragments mémoire et augmenter ses chances de récupérer des informations sensibles, pouvant aller jusqu’au détournement de session sur l’équipement.r. L'exploitation de cette faille permet à un attaquant de récupérer des sessions sensibles, y compris des sessions administrateur. Le CERT-XMCO recommande l'installation des versions suivantes de Citrix NetScaler : NetScaler ADC et NetScaler Gateway 14.1-66.59, NetScaler ADC et NetScaler Gateway 13.1-62.23, NetScaler ADC 13.1-FIPS, NetScaler ADC 13.1-NDcPP 13.1.37.262.

Élévation de privilèges via une vulnérabilité au sein de Netbird (GHSA-rxmp-8h9v-56cx) [13]

Un code d'exploitation tirant parti d'une vulnérabilité non référencée affectant Netbird a été publié. L'exploitation de cette faille permet à un attaquant distant et disposant de privilèges élevés d'élever ses privilèges. Ce code d'exploitation se présente sous la forme d'un programme écrit en Go. Le script exploite une race condition en envoyant de nombreuses requêtes concurrentes via un RequestEngine. Il envoie des requêtes PUT simultanées pour modifier les rôles d’utilisateurs afin de passer un admin en user et un autre utilisateur en owner en utilisant différents tokens d’authentification. À cause du mauvais traitement du timing côté serveur, les contrôles d’autorisation peuvent être contournés, ce qui permet une élévation de privilèges. Le CERT-XMCO recommande l'installation de la version 0.65.3 de Netbird disponible disponible auprès de l'éditeur.

Informations

Vulnérabilités exploitées

Le leak du code source de Claude Code a été utilisé pour diffuser l'infostealer Vidar [14]

Le 1er avril 2026, les chercheurs de Zscaler ThreatLabz ont publié une analyse de la fuite de code source de Claude Code et de son utilisation comme leurre pour diffuser l'infostealer Vidar via de faux dépôts GitHub. La fuite résulte d’une erreur de packaging dans le package npm officiel @anthropic-ai/claude-code 2.1.88, qui embarquait un fichier source map de 59,8 Mo pointant vers une archive complète de 513 000 lignes de TypeScript, ensuite massivement clonée et forkée sur GitHub. Des dépôts leaked-claude-code se présentant comme la fuite légitime, avec prétendues fonctionnalités déverrouillées, serviraient ainsi désormais de vecteur d'attaque. Le 2 avril 2026, Adversa AI a de son côté révélé une vulnérabilité non référencée critique dans Claude Code : au‑delà de 50 sous‑commandes chaînées dans une commande shell, le moteur de permissions cesse d’appliquer les règles de type deny et bascule sur un simple prompt générique, ce qui permet de contourner silencieusement des politiques de protection.

Cybercriminel

Confirmation par le CERT-EU de la compromission de la Commission européenne par ShinyHunters, exposant plus de 30 entités européennes [15]

Le 2 avril 2026, le CERT‑EU a publié un communiqué détaillant la compromission de l’infrastructure cloud AWS hébergeant la plateforme web Europa.eu de la Commission européenne, consécutive à l’attaque de supply chain visant l’outil Trivy et attribuée au groupe TeamPCP. Cette attaque a conduit à l’utilisation malveillante d’un secret AWS doté de droits de gestion sur d’autres comptes de la Commission, permettant de poursuivre des actions de reconnaissance et d'exfiltration de données avant détection par le CSOC le 24 mars. Les données volées, environ 91,7 Go compressés, concernent jusqu’à 71 clients du service d’hébergement Europa (42 services internes de la Commission et au moins 29 autres entités de l’UE), puis ont été publiées le 28 mars sur le site de fuite du groupe d’extorsion ShinyHunters.

TeamPCP intègre un infostealer au sein du paquet PyPI de Telnyx [16]

Le 27 mars 2026, les chercheurs d’Aikido, rejoints par ceux de StepSecurity, ont publié une analyse détaillée de la compromission du SDK Python officiel Telnyx sur PyPI, distribuée dans deux versions récentes piégées par le groupe TeamPCP; ce paquet, très populaire, enregistre plus de 740 000 téléchargements par mois sur PyPI. Cette opération complexe, s'appuyant sur des techniques de stéganographie dans des fichiers audio WAV pour dissimuler un voleur d’identifiants, vise directement les environnements d’exécution Python, depuis les pipelines CI/CD jusqu’aux serveurs et postes de développement. Elle s’inscrit dans la continuité d’une série d’incidents de supply chain déjà attribués à TeamPCP, ayant notamment compromis Trivy et LiteLLM.

Une attaque visant la chaîne d'approvisionnement d'Axios permet de déployer un RAT multiplateforme via un compte npm compromis [17]

Le 30 mars 2026, les chercheurs de StepSecurity ont publié une analyse de la compromission de la bibliothèque HTTP axios sur npm, où deux versions malveillantes (1.14.1 et 0.30.4) ont été publiées grâce aux identifiants compromis d’un mainteneur (jasonsaayman) pour déposer un RAT multiplateforme. L’attaque repose sur l’ajout d’une dépendance cachée, plain-crypto-js@4.2.1, jamais utilisée dans le code, dont l’unique rôle est d’exécuter un script postérieur à l'installation qui contacte un serveur de commande et de contrôle (C2) et récupère une payload adaptée à macOS, Windows ou Linux. L’objectif apparent est avant tout la compromission de secrets de développement et d’environnements CI/CD, plutôt qu’un simple déploiement opportuniste de malware sur des postes isolés.

L'opérateur de ransomware Shinyhunters affirme avoir compromis des données de Cisco Systems, Inc. [18]

Le 1er avril 2026, les analystes du CERT-XMCO ont signalé que le groupe de ransomware ShinyHunters a revendiqué un accès non autorisé à l’environnement de développement interne de Cisco Systems, Inc, dans le contexte de la compromission de la chaîne d’approvisionnement lié à l’outil Trivy. D'après nos observations effectuées sur leur site hébergé sur Tor, corrélées par les révélations de SocRadar, les assaillants affirment avoir exfiltré des données sensibles, dont du code source, des données issues de dépôts GitHub, des buckets AWS ainsi que des ressources internes et des enregistrements Salesforce. Pour l'heure, aucun élément publiquement disponible ne permet d'établir un éventuel lien entre cet incident et celui documenté le 31 mars par BleepingComputer. Le collectif a fixé un ultimatum au 3 avril 2026 avant publication. À ce stade, aucune fuite publique complète n’a été observée par nos services.

France

Cybermalveillance.gouv.fr publie son rapport d'activité 2025 [19]

Le 26 mars 2026, Cybermalveillance.gouv.fr a publié son rapport d'activité de l'année 2025 dans lequel l'agence revient sur les tendances et les faits marquants de l'année écoulée, ses nouvelles productions et les projets auxquels elle a contribué pour sensibiliser ses publics. L'année 2025 a notamment été marquée par des fuites de données touchant les cibles les plus vulnérables : TPE, opérateurs, services publics, établissement de santé, collectivité territoriales, etc. Le rapport d'activité de l'année 2025 dresse le bilan de la cybermenace en France, s'inscrivant dans la perspective de la stratégie 2025-2030 dont l'objectif est de mettre en place une résilience cyber collective en réponse à l'accélération de menaces (cf. CXN-2025-3456). Ce document souligne que la menace cyber restera soutenue en 2026, ce qui renforce la nécessité d’intensifier les efforts de sensibilisation et de coopération face au phishing et aux fuites de données.

——————————————————————————————————-