Résumé de la semaine #17 (du 20 au 24 avril 2026)

Le groupe de ransomware CoinbaseCartel revendique la compromission du groupe énergétique français Engie et détection d'attaques par supply chain ciblant les écosystèmes npm, PyPI et CI/CD, les experts du service de veille cyber Yuno vous livrent une synthèse des évènements clés pour vous permettre de rester informés et d’anticiper les risques.

Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Oracle dans le cadre de son Patch d'avril 2026 [1], par n8n [2], par Atlassian pour Confluence [3] et Jira [4] [5], par Docker pour Docker Engine [6], par Apple pour iPadOS et iOS [7], par Mattermost [8], par Mozilla pour Thunderbird [9] et par Google pour Chrome [10].

Codes d'exploitation

Un code d'exploitation a été publié cette semaine. Un correctif est disponible.

Prise de contrôle du système via une vulnérabilité au sein de FortiSandbox [11]

Un code d'exploitation tirant parti de la vulnérabilité référencée CVE-2026-39808 et affectant FortiSandbox a été publié. L'exploitation de cette faille permet à un attaquant distant et non authentifié de prendre le contrôle du système via l'exécution de commandes arbitraires. Dans un premier temps, le programme envoie une requête spécifiquement conçue GET /fortisandbox/job-detail/trail/tracer-behavior?jid=|(echo <string> > /web/ng/<filename>.txt)|, où la valeur de jid est URL-encodée pour masquer les caractères spéciaux, de sorte que le pipe | rompe le flux normal et permette l’exécution de la commande echo sur le système sous-jacent. Cette commande, exécutée avec des privilèges élevés, crée dans le répertoire web de l’appliance un fichier texte au nom aléatoire contenant une chaîne aléatoire, servant de marqueur d’exploitation réussie. Dans un second temps, le template envoie une requête GET /ng/<filename>.txt afin de récupérer ce fichier et confirmer que l’appliance FortiSandbox est vulnérable. Le CERT-XMCO recommande l'installation de la version 4.4.9 de FortiSandbox disponible auprès du support.

Informations

Vulnérabilités

Exploitation malveillante de la faille de sécurité CVE-2026-33626 affectant LMDeploy (GHSA-6w67-hwm5-92mq) [12]

Le 22 avril 2026, les chercheurs de Sysdig ont publié une analyse sur la récente exploitation malveillante d'une faille de sécurité affectant LMDeploy, une boîte à outils utilisée pour la compression, le déploiement et la diffusion de LLM. Référencée CVE-2026-33626 (aka GHSA-6w67-hwm5-92mq), cette vulnérabilité provenait d'une falsification de requête côté serveur au sein du module vision-langage de LMDeploy. Désormais corrigée, elle permettait à un attaquant distant et non authentifié d'accéder aux services de métadonnées cloud, aux réseaux internes et aux ressources sensibles.

Exploitation malveillante de la faille de sécurité CVE-2026-20133 affectant Cisco Catalyst SD-WAN Manager [13]

Le 20 avril 2026, l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté une nouvelle vulnérabilité à son catalogue de failles activement exploitées par des acteurs malveillants (KEV). Référencée sous le nom de CVE-2026-20133, cette vulnérabilité désormais corrigée affectait Cisco Catalyst SD-WAN Manager. Son exploitation permettait à un attaquant distant et authentifié d'accéder à des informations sensibles en accédant à l'API d'un système vulnérable.

Exploitation active de la faille de sécurité CVE-2026-34197 affectant Apache ActiveMQ et ActiveMQ Broker [14]

Le 16 avril 2026, l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté une nouvelle vulnérabilité à son catalogue de failles activement exploitées par des acteurs malveillants (KEV). Référencée sous le nom de CVE-2026-34197, cette vulnérabilité désormais corrigée affectait Apache ActiveMQ et ActiveMQ Broker. Son exploitation aurait permis à des attaquants de prendre le contrôle de systèmes vulnérables.

Compromissions de la chaîne d'approvisionnement

L'attaque ayant ciblé la chaîne d'approvisionnement de Checkmarx affecte désormais Bitwarden CLI [15]

Le 23 avril 2026, Bitwarden, Socket et Checkmarx ont publié des avis de sécurité relatifs à la récente attaque par supply chain ayant ciblé KICS, un scanner gratuit et open source qui aide les développeurs à identifier les vulnérabilités de sécurité dans le code source, les dépendances et les fichiers de configuration. Cette opération malveillante a été identifiée à la suite de la réception d'une alerte de Dockerpar Socket, concernant des images malveillantes envoyées au dépôt Docker Hub officiel checkmarx/kics. Le mode opératoire malveillant responsable de la compromission de KICS ciblerait désormais Bitwarden CLI.

Détection d'attaques par supply chain, ciblant les écosystèmes npm, PyPI et CI/CD (Namastex, KICS, Xinference) [16]

Le 21 avril 2026, les chercheurs de StepSecurity et Socket ont publié des alertes de sécurité après la découverte d'une nouvelle campagne d'attaques par supply chain ciblant les écosystèmes npm, PyPI, Docker et GitHub Actions. Le mode opératoire de l’attaque visait en premier lieu la compromission d’identifiants de comptes développeurs, puis la diffusion latérale du code malveillant via la publication de paquets à partir de ces comptes compromis. Sur la base des investigations menées sur les tactiques, techniques et procédures employées par les attaquants, les chercheurs ont noté de multiples similarités avec le mode opératoire du groupe TeamPCP observé dans le cadre de ses récentes opérations malveillantes, documentées sous le nom de CanisterWorm.

La plateforme de développement cloud Vercel confirme une intrusion informatique au sein de ses systèmes internes [17]

Le 20 avril 2026, la plateforme de développement cloud Vercel a publié un avis de sécurité suite à la détection d'un incident ayant entraîné un accès non autorisé à certains de ses systèmes internes. Des investigations seraient toujours en cours pour identifier et résoudre cette compromission. Les premiers éléments communiqués par la société américaine mentionnent la compromission d'un nombre limité d'identifiants de clients de Vercel.

France

Le groupe de ransomware CoinbaseCartel revendique la compromission du groupe énergétique français Engie [18]

Le 20 avril 2026, le groupe de ransomware CoinbaseCartel a revendiqué sur son site vitrine la compromission du groupe industriel énergétique français Engie. En l'état, le collectif cybercriminel n'a indiqué ni la quantité, ni la nature des données volées. Aucun échantillon de données n'a été publié sur le site du groupe d'attaquants. À ce stade, Engie n’a pas non plus confirmé publiquement l’incident. Le groupe de ransomware CoinbaseCartel a revendiqué sa première victime le 15 septembre 2025. Les opérateurs de ce collectif cybercriminel motivé par des objectifs financiers ont depuis lors publié les noms de 157 entités victimes sur leur site vitrine.