Résumé de la semaine #19 (du 2 au 8 mai 2026)

Exploitation massive de la CVE-2026-41940 affectant cPanel pour déployer le ransomware Sorry et détection de programmes d'installation trojanisés du logiciel DAEMON Tools, les experts du service de veille cyber Yuno vous livrent une synthèse des évènements clés pour vous permettre de rester informés et d’anticiper les risques.

Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifspubliés par Linux Foundation pour ArgoCD [1][2],par Progress pour MoveIT [3],par Rancher Labs pour Rancher [4],par Cisco [5][6],par Apache pour HTTPd Server [7],par Android [8],par Google pour Chrome [9],par AWS pour Elastic Container Service [10],par Mozilla pour Thunderbird [11] et par Microsoft pour Edge [12].Ces correctifs remédient à des dommages allant du déni de service à la prise decontrôle du système.

Code d’exploitation

Cette semaine, 4 codes d'exploitation ont été publiés. Un correctif est disponible pour 3 d'entre eux.

Prise de contrôle du système via une vulnérabilité au sein de PAN-OS [13]

Un code d'exploitation tirant parti de la vulnérabilité référencée CVE-2026-0300et affectant PAN-OS a été publié. L'exploitation de cette faille permet à un attaquant distant et non authentifié de prendre le contrôle du système. Ce code d'exploitation envoie une requête HTTP POST contenant une charge utiles pécialement forgée vers l’endpoint /php/login.php, permettant à l’attaquantd'écrire en dehors des limites mémoires et d'exécuter du code arbitraire. La charge utile repose sur un débordement de tampon avec un long padding, suivied'adresse de retour encodée en little endian, puis d'une suite d’instructionsneutres permettant de guider l’exécution vers les commandes malveillantes (NOPsled) et enfin d’octets contenant ces commandes. Aucun correctif de sécuritén'est disponible à l'heure actuelle. Le correctif n’étant pas encoredisponible, il est recommandé de mettre en place les mesures de contournementsuivantes : restreindre l’accès au portail d’authentification User-IDuniquement aux zones de confiance, désactiver le portail d’authentificationUser-ID lorsqu’il n’est pas nécessaire.

Prise de contrôle du système via une vulnérabilité au sein d'Apache ActiveMQ [14]

Un code d'exploitation tirant parti de la vulnérabilité référencée CVE-2026-40466et affectant Apache ActiveMQ a été publié. L'exploitation de cette faille permet à un attaquant distant et authentifié de prendre le contrôle du système.Ce code d'exploitation se présente sous la forme d'une requête HTTP POST envoyée à l'endpoint /api/jolokia/ du serveur Apache ActiveMQ. Il invoque l'opération addNetworkConnector via l’API Jolokia en lui fournissant un URI detype HTTP Discovery contrôlé par l’attaquant. Cet URI contourne le filtrage du schéma vm:// en renvoyant, lors d’une seconde étape, un URI malveillant, ce qui provoque la création d'un broker virtuel en mémoire, qui va à son tour charger un fichier de configuration XML distant hébergé sur le serveur de l'attaquant.Ce fichier est ensuite interprété par le moteur Spring embarqué dans ActiveMQ, qui instancie un composant MethodInvokingFactoryBean dont le rôle est d'enchaîner les appels Runtime.getRuntime().exec(), provoquant l'exécution de commandes systèmes arbitraires sur le serveur cible. Le CERT-XMCO recommande l'installation de l'une des versions suivantes d'Apache ActiveMQ : 5.19.6 et6.2.4. Ces versions sont disponibles à l'adresse suivante :https://activemq.apache.org/components/classic/download/.

Prise de contrôle du système via une vulnérabilité au sein de ProFTPD [15]

Un code d'exploitation tirant parti de la vulnérabilité référencée CVE-2026-42167et affectant ProFTPD a été publié. L'exploitation de cette faille permet à un attaquant de prendre le contrôle du système. Le PoC illustre deux vecteurs d’injection SQL dans le logging FTP : avant authentification via la commandeUSER, et après authentification via un nom de fichier (STOR). Dans les deux cas, l’attaquant peut injecter des requêtes SQL pour soit créer un compte viaune porte dérobée avec privilèges élevés, soit exécuter des commandes sur le serveur PostgreSQL si le rôle le permet. L’attaque repose sur un contournement du mécanisme d’échappement, qui autorise l’exécution de requêtes SQL empilées.Le CERT-XMCO recommande l'installation de la version 1.3.9a de ProFTPD disponible à l'adresse suivante : http://www.proftpd.org/.

Divulgation d'informations via une vulnérabilité au sein de Spring Framework [16]

Un code d'exploitation tirant parti de la vulnérabilité référencée CVE-2025-41242et affectant Spring Framework a été publié. L'exploitation de cette faille permet à un attaquant distant et non authentifié d'accéder à des informations sensibles. Ce code d'exploitation envoie une requête GET /阮严灵丰丰甲来/.../etc/passw%64avec unsafe: true, en utilisant un chemin obfusqué et un encodage partiel pour contourner les filtres. Si le serveur est vulnérable, la requête retourne un statut 200 avec le contenu d’un fichier sensible. Les matchers vérifient alors la présence du motif root:.*:0:0:, le header application/octet-stream, et lestatus_code == 200, confirmant une faille d'erreur de traversée de répertoire.Le CERT-XMCO recommande l'installation de l'une des versions 6.2.10, 6.1.22 ou5.3.44 de Spring Framework disponibles auprès du support VMware.

Vulnérabilités

Exploitation massive de la CVE-2026-41940 affectant cPanel pour déployer le ransomware Sorry[17]

Le 29 avril 2026, les chercheurs de Rapid7 ont révélé l’exploitation d’une vulnérabilité affectant cPanel et WHM, corrigée le 28 avril 2026. RéférencéeCVE-2026-41940, elle permettait à un attaquant distant non authentifié de contourner les mécanismes de sécurité. Selon l’hébergeur KnownHost, cette faille, pour laquelle un PoC est publiquement disponible, aurait été exploitée comme une vulnérabilité 0-day depuis le 23 février 2026. Le 2 mai 2026, Bleeping Computer a également indiqué qu’elle aurait servi à des attaques visant la compromission de sites web et le chiffrement de données via le ransomware Sorry. Tous les utilisateurs de cPanel et WHM sont invités à installer immédiatement les mises à jour de sécurité disponibles afin de protéger leurs sites web contre les attaques de ransomware et les vols de données.

Un code d'exploitation malveillant tire parti de la faille de sécuritéCVE-2026-31431 pour distribuer une backdoor [18]

Le 30 avril 2026, les chercheurs d’IP Ninja ont émis une alerte de sécurité après avoir identifié un code d’exploitation malveillant. Présenté comme exploitant une vulnérabilité nommée Copy Fail, ce PoC servirait en réalité à déployer une backdoor sur les systèmes cherchant à l'utiliser. La faille de sécurité, référencée CVE-2026-31431, provenait d'un défaut de transfert de ressources entre plusieurs sphères au sein de l'API crypto (CWE-669). Elle permettait à un attaquant local et authentifié d'obtenir un accès root. Pour endiguer les risques associés à ce PoC malveillant, IP Ninja a publié des indicateurs de compromission disponibles ici. La CISA a de son côté alerté sur l'exploitation active de la faille de sécurité sur les systèmes Linux. Pour les administrateurs n’ayant pas encore appliqué le correctif de la CVE-2026-31431, la solution principale est d’installer le patch du noyau en amont (commit a664bf3d603d).

Campagne d'espionnage réalisée par le groupe APT chinois SHADOW-EARTH-053 vial'exploitation de vulnérabilités N-day [19]

Le30 avril 2026, Trend Micro a révélé qu’un groupe APT chinois cible la Pologne et plusieurs pays d’Asie en visant des entités gouvernementales et des infrastructures critiques via l’exploitation de vulnérabilités N-day, notamment dans Microsoft Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858,CVE-2021-27065) et React (CVE-2025-55182). Ces activités sont attribuées au groupe SHADOW-EARTH-053, actif depuis décembre 2024 et impliqué dans des opérations d’espionnage et de vol de propriété intellectuelle. L'analyse deTrend Micro met en évidence un chevauchement entre SHADOW-EARTH-053 etSHADOW-EARTH-054, avec environ la moitié des cibles communes et des similitudes d’outils, d’infrastructures et de techniques. Toutefois, il s’agit probablement d’activités indépendantes exploitant des vulnérabilités et méthodes similaires, plutôt que d’une coordination directe.

Nouvelle vulnérabilité affectant Windows RPC nommée PhantomRPC [20]

Le24 avril 2026, les chercheurs de Kaspersky, ont analysé une nouvelle vulnérabilité de l'architecture RPC probablement présente dans toutes les versions de Windows et nommée PhantomRPC. Cette technique permet à des processus disposant de privilèges d’usurpation d’identité, d’élever leurs permissions au niveau SYSTEM. Microsoft n’a pas publié de correctif malgré sa divulgation officielle. Le RPC est une source importante de failles de sécurité du fait de sa complexité et de son utilisation répandue. Cependant, il est recommandé aux organisations de surveiller les exceptions RPC afin de détecter des connexions à des serveurs indisponibles, utiliser les outils fournis pour analyser leur environnement via le dépôt de recherche, et de limiter SeImpersonatePrivilege évitant de l’accorder à des processus non essentiels.

Cybercriminel

Révocation de certificat DigiCert à la suite d'une compromission affectant ses systèmes internes [21]

Le 4avril 2026, DigiCert a révélé avoir été ciblé par une campagne de phishing ayant conduit à la compromission de deux de ses terminaux. Cette opération a permis la signature de malware, dont le Remote Acces Trojan (RAT) ZhongStealer, via des certificats DigiCert EV récemment émis, utilisés par un groupe cybercriminel chinois connu sous le nom de GoldenEyeDog (alias APT-Q-27).DigiCert précise que l’ensemble des certificats potentiellement associés à cette activité a été révoqué le 17 avril et que les commandes en cours ont été annulées afin de bloquer l’accès des attaquants. Par ailleurs, l’incident a provoqué des faux positifs dans Microsoft Defender, avec des certificats racine DigiCert à tort détectés comme malveillants et parfois supprimés du magasinWindows. Microsoft a confirmé l’erreur, corrigé la détection et indiqué qu’une simple mise à jour de Security Intelligence vers la version 1.449.430.0 ou ultérieure est suffisante.

Kaspersky détecte des programmes d'installation trojanisés du logiciel DAEMON Tools [22]

Le 5mai 2026, les chercheurs de Kaspersky ont publié un bulletin de sécurité faisant suite à la détection d'installers compromis du logiciel DAEMON Tools, un utilitaire Windows permettant de monter des fichiers image disque comme des lecteurs virtuels. Cette opération malveillante serait active depuis au moins le 8 avril dernier et aurait permis à des attaquants d'infecter des milliers de systèmes ayant téléchargé le produit depuis le site officiel. L'éditeur Kaspersky précise que cette campagne d'attaques serait toujours en cours et rappelle que les versions 12.5.0.2421 à 12.5.0.2434 de DAEMON Tools, en particulier les binaires DTHelper.exe, DiscSoftBusServiceLite.exe et DTShellHlp.exe, sont détournées par les acteurs de la menace.

France

Publicationpar le COMCYBER-MI de son rapport sur la cybercriminalité en 2025 [23]

Le24 avril 2026, le COMCYBER-MI a publié son rapport sur la cybercriminalité en2025, mettant en évidence une menace désormais industrielle, structurée et mondialisée, visant particulièrement les infrastructures critiques. Il souligne l’évolution des modes opératoires, portée par le Cybercrime-as-a-Service, l’intelligence artificielle et la crypto-criminalité. Le rapport met également en avant le renforcement du cadre juridique et de la coopération internationale pour mieux coordonner la lutte contre ces réseaux transnationaux. Enfin, il propose une analyse prospective des évolutions à venir, marquées par l’informatique quantique, l’intégration accrue de l’IA dans les attaques et le développement des menaces hybrides.

——————————————————————————————————-