Site version bêta
Site version bêta
Site version bêta
Site version bêta
Besoin d'être sécurisé ?
< Retour

Résumé de la semaine #20 (du 9 au 15 mai 2026)

Publication du Patch Tuesday de Microsoft et exploitation malveillante de la CVE-2026-20182au sein de Cisco Catalyst SD-WAN, les experts du service de veille cyber Yuno vous livrent une synthèse des évènements clés pour vous permettre de rester informés et d’anticiper les risques.

Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre de son Patch Tuesday [1], par Cisco pour Catalyst [2], par Google pour Chrome [3], par Linux Foundation pour ArgoCD [4],par SAP [5], par Fortinet pour FortiAuthenticator [6], pour FortiSandbox [7] et pour FortiOS [8], par Ivanti pour Ivanti Xtraction [9] et Ivanti Endpoint Manager Mobile [10], par Linux pour son Kernel [11], par Apple pour Safari [12], pour macOS [13], et pour iOS ainsi que iPadOS [14], par Adobe pour Premiere Pro [15] et pour Commerce ainsi que Magento [16], par Mozilla pourFirefox [17], pour Thunderbird [18], et pour Firefox ESR [19] et par F5 pourBIG-IP [20]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Code d’exploitation

 

Cette semaine, 3 codes d'exploitation ont été publiés. Un correctif est disponible pour l’un d'entre eux.

Élévation de privilèges via une vulnérabilité au sein du noyau Linux [21]

Un code d'exploitation tirant parti de la vulnérabilité référencée CVE-2026-46300et affectant le noyau Linux a été publié. L'exploitation de cette faille permet à un attaquant local d'élever ses privilèges. Le PoC démarre en créant un environnement isolé via un share(CLONE_NEWUSER | CLONE_NEWNET), puis met en place une association IPsec ESP-in-TCP avec NETLINK_XFRM (AES-128-GCM, SPI0x100). Il construit ensuite une table de correspondance via AF_ALG pour contrôler le flux de chiffrement et déterminer les IV permettant de produire chaque valeur d’octet. L’exploitation repose sur un enchaînement splice() +TCP_ULP espintcp : un couple sender/receiver injecte des données issues d’unfichier cible dans un flux TCP, puis force le noyau à les traiter comme du traficESP, provoquant une modification XOR directe dans la page cache. En répétant ce mécanisme octet par octet avec les bons IV et séquences, le PoC réécrit progressivement une portion du fichier en mémoire. Une fois le payload entièrement injecté dans les 192 premiers octets, le binaire modifié est exécuté via execve("/usr/bin/su"), déclenchant setresuid(0,0,0) et setresgid(0,0,0) pour obtenir un shell root. Le CERT-XMCO recommande l'installation des commits cef401de7be8 et f4c50a4034e6 de Linux Kernel disponible à l'adresse suivante :https://lists.openwall.net/netdev/2026/05/13/79

Élévation de privilèges via une vulnérabilité au sein de Windows 11 [22]

Un code d'exploitation visant le processus CTFMON de Windows a été publié. La vulnérabilité, non référencée, affecte Windows 11. L'exploitation de cette faille permet à un attaquant disposant d'un accès utilisateur standard d'élever ses privilèges localement (LPE) en contournant l'UAC. Ce code d'exploitation se présente sous la forme d'un programme écrit en C++ utilisant l'API Win32 et des fonctions non documentées de ntdll. Le programme crée un faux raccourci système pour piéger conhost.exe au moment où il s'ouvre avec des droits élevés, ce qui donne à l'attaquant un accès privilégié. Il modifie ensuite des clés de registre normalement protégées pour désactiver le verrouillage de session, puis verrouille l'ordinateur pour forcer l'utilisateur à se reconnecter dans un environnement compromis. Aucun correctif de sécurité n'est disponible à l'heure actuelle.

Contournement de sécurité via une vulnérabilité au sein de produits Microsoft [23]

Un code d’exploitation visant à contourner BitLocker via l’environnement de récupération Windows a été publié. La vulnérabilité, non référencée, affecteWindows 11 ainsi que Windows Server 2022 et Windows Server 2025. L’exploitation de cette faille permet à un attaquant disposant d’un accès physique à une machine protégée par BitLocker de contourner la sécurité du système. Ce code d’exploitation se présente sous la forme d’une arborescence FsTx contenant des journaux transactionnels Windows préfabriqués. L’exploitation consiste à placer cette arborescence dans le répertoire System Volume Information\FsTx d’un volume accessible par la machine ciblée via un support amovible. L’attaquant force ensuite le redémarrage de la machine vers Windows Recovery Environment.Lors de ce démarrage, WinRE traite les journaux FsTx fournis par l’attaquant.Ce traitement permet de détourner le comportement attendu de l’environnement de récupération et de faire apparaître une invite de commande avec un accès au volume protégé par BitLocker. Ainsi, un attaquant peut contourner la sécurité du système. Aucun correctif de sécurité n'est disponible à l'heure actuelle.

Vulnérabilités

Exploitation malveillante de la faille de sécurité critique CVE-2026-20182 au sein de Cisco Catalyst SD-WAN [24]

Le14 mai 2026, les chercheurs de Cisco Talos ont publié un bulletin de sécurité alertant sur l'exploitation active d'une vulnérabilité affectant Cisco Catalyst SD-WAN. Référencée CVE-2026-20182, cette faille était due à une authentification incorrecte (CWE-287) lors de l'authentification de peering dans Cisco Catalyst SD-WAN Controller et Cisco Catalyst SD-WAN Manager. En envoyant des requêtes spécialement conçues au système vulnérable, un attaquant distant et non authentifié pouvait exploiter cette faille pour contourner l'authentification et obtenir des privilèges d'administrateur sur le système.

Exploitation de la CVE-2026-41940 affectant cPanel & WHM pour déployer la backdoor Filemanager [25]

Le11 mai 2026, les chercheurs de Qi An Xin ont publié un bulletin de sécurité relatif à l’exploitation malveillante d’une vulnérabilité critique affectant cPanel & WHM. Cette faille, référencée CVE-2026-41940 (score CVSS 9.8),permet à un attaquant d'effectuer un contournement d’authentification à distance sans identifiants valides. Selon les analyses publiées, le groupe de la menace Mr_Rot13 exploiterait activement cette faille afin de déployer une backdoor nommée Filemanager sur des environnements compromis. Plus de 2 000 adresses IP malveillantes opèrent actuellement des tentatives d'exploitation automatisées de la vulnérabilité.

Exploitation malveillante de la faille de sécurité CVE-2026-0300 affectant le logicielPAN-OS de Palo Alto Networks [26]

Le 6mai 2026, les chercheurs de l'Unit 42 de Palo Alto Networks ont signalé l'exploitation malveillante d'une vulnérabilité 0-day affectant le logicielPAN-OS. Référencée CVE-2026-0300, cette faille de sécurité provient d'un défaut de dépassement de tampon dans le service User-ID Authentication Portal(CWE-787). En envoyant des paquets spécifiquement conçus, un attaquant distant et non authentifié peut exécuter du code arbitraire avec des privilèges root uniquement sur les pare-feu des séries PA et VM configurés pour utiliser leportail d'authentification User-ID.

Cybercriminel

Nouvellevague d'attaques du groupe cybercriminel TeamPCP via la distribution du verMini Shai-Hulud [27]

Les11 et 12 mai 2026, StepSecurity et Aikido ont publié des bulletins de sécurité alertant sur la poursuite des activités malveillantes du mode opératoireTeamPCP, initialement détectées au mois d'avril dernier et ayant mené à la compromission de paquets npm de SAP. Le collectif cybercriminel ciblerait activement de nouveaux paquets NPM légitimes via la distribution du ver informatique Mini Shai-Hulud afin de voler des authentifiants d'accès à des environnements de développement et des runners CI/CD.

——————————————————————————————————-

Références

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

Envie de rejoindre l'aventure ?
Contactez-nous