Résumé de la semaine #22 (du 23 au 29 mai 2026)

Exploitation malveillante de la faille de sécurité CVE-2026-35616 au sein de FortiClient EMS et compromission de l'agence d'assurance Almerys, ayant entraîné une fuite de données, les experts du service de veille cyber Yuno vous livrent une synthèse des évènements clés pour vous permettre de rester informés et d’anticiper les risques.

Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Google pour Chrome [1], par Oracle dans le cadre de son Patch de mai 2026 pour Communications [2], pour E-Business Suite [3], pour Hospitality Applications [4], pour Database Server [5], et pour REST Data Services [6], par Metabase [7], par ESRI pour ArcGIS Server [8], par Samba [9], par Microsoft pour Edge [10] [11], par 7-Zip [12], par Don Ho pour NotePad++ [13], par Veeam pour Backup & Replication [14], par MariaDB [15] et par F5 pour Nginx [16].Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

Code d’exploitation

Cette semaine, 4 codes d'exploitation ont été publiés. Un correctif est disponible pour chacun d'entre eux.

Manipulation de données et divulgation d'informations via 2 vulnérabilités au sein de cPanel [17]

Des codes d'exploitations tirant parti des vulnérabilités référencées sous les IDsSEC-73755 et SEC-73728 et affectant cPanel ont été publiés. L'exploitation de ces failles permet de déclencher deux XSS, une réfléchie et une stockée, entraînant une divulgation d'informations et une manipulation de données. Concernant la XSS réfléchie, en incitant sa victime à suivre un lien spécifiquement conçu, un attaquant pouvait forcer le navigateur à exécuter un code JavaScript malveillant via l'endpoint /mailman/listinfo?mpidentity=[payload]en injectant une charge XSS dans le paramètre mpidentity. Pour la XSS stockée, en envoyant un email spécialement conçu à une liste de diffusion, un attaquant pouvait forcer le navigateur du modérateur à exécuter du code JavaScript malveillant lors de la consultation de la file de modération/mailman/admindb/[list]?msgid=[id], en injectant une charge XSS dans l’en-têteFrom du message. Le CERT-XMCO recommande l'installation de l'une des versions suivantes de cPanel : 1.86.0.45; 11.94.0.32; 11.102.0.43; 11.110.0.120(cl6110); 11.110.0.121; 11.118.0.68; 11.124.0.41; 11.126.0.62; 11.130.0.26;11.132.0.35; 11.134.0.29; 11.136.0.13 et la version de WordPress Squared:11.136.1.16.

Prise de contrôle du système via une vulnérabilité au sein d'Apache Tomcat [18]

Un code d'exploitation tirant parti de la vulnérabilité référencée CVE-2026-34486et affectant Apache Tomcat a été publié. L'exploitation de cette faille permet à un attaquant distant et non authentifié de prendre le contrôle du système. Le script ouvre une connexion TCP vers Host:4000 et envoie un paquet binaire structuré selon un protocole propriétaire (headers FLT2002/TLF2003, champs de longueur et métadonnées). Il construit un payload sérialisé contenant un gadgetJava de désérialisation (HashMap/URL) dans lequel est injecté un domaine interactsh_url encodé en hexadécimal. Lors de la désérialisation côté serveur, ce gadget peut déclencher une résolution réseau sortante (DNS ou HTTP) vers l’URL fournie, permettant une validation out-of-band. La connexion est ensuite fermée après envoi et une tentative de lecture courte. Le CERT-XMCO recommande l'installation de l'une des versions suivantes d'Apache Tomcat :10.1.54;11.0.21;9.0.117.

Élévation de privilèges via une vulnérabilité au sein du noyau Linux [19]

Un code d'exploitation tirant parti de la vulnérabilité référencée CVE-2026-43500et affectant le noyau Linux a été publié. L'exploitation de cette faille permet à un attaquant local et authentifié d'élever ses privilèges. Il commence par vérifier l’accès en écriture avec writable?(WRITABLE_DIR) puis crée exploit_file selon l’architecture via kernel_arch. Si live_compile? est activé, le code est compilé sur la cible avec upload_and_compile, sinon un binaire est déployé avec upload_and_chmodx. Dans les deux cas, register_file_for_cleanupplanifie sa suppression. L’exploit est ensuite exécuté viacmd_exec(exploit_file) pour tenter de modifier /etc/passwd, avec contrôle du succès via "Success!". Si c’est réussi, l’élévation de privilèges est lancée avec cmd_exec("/usr/bin/su - root -c '#{payload.encoded}'").Enfin, on_new_session nettoie le système en vidant les caches avec echo 3 >/proc/sys/vm/drop_caches. Le CERT-XMCO recommande l'installation du commit suivant pour les versions vulnérables du noyau Linux à la CVE-2026-43500:d0d5c0cd1e71.

Élévation de privilèges via une vulnérabilité au sein du noyau Linux [20]

Un code d'exploitation tirant parti de la vulnérabilité référencée CVE-2026-43284et affectant le noyau Linux a été publié. L'exploitation de cette faille permet à un attaquant local et authentifié d'élever ses privilèges. Ce dernier commence par vérifier les prérequis avec setuid?(SUID_BINARY_PATH) etwritable?(WRITABLE_DIR) pour s’assurer qu’il peut viser un binaire SUID et écrire sur le système. Il génère ensuite une payload ELF viaframework.payloads.create("linux/#{arch}/exec") et generate_simple('Format'=> 'elf'), configurée avec PrependSetuid. Le PoC dépose ensuite l’exploit sur la machine avec upload_and_compile ou upload_and_chmodx selon le mode. Il déclenche l’exploitation via cmd_exec("echo -n ... | base64 -d |#{exploit_file} ..."), qui exécute le binaire d’attaque. Enfin, si l’attaque réussit, il lance cmd_exec(suid_binary_path) pour obtenir les privilèges root. Le CERT-XMCO recommande l'installation des commits suivants pour les versions vulnérables du noyau Linux à la CVE-2026-43284 :cac2661c53f3;03e2a30f6a27; 7da0dde68486; 6d8192bd69bb.

‍

Vulnérabilités

Exploitation comme 0-day de la CVE-2026-5426 affectant KnowledgeDeliver pour distribuer le webshell Godzilla [21]

Le 25 mai 2026, les chercheurs de Google ont révélé l’exploitation active en tant que 0-day d’une vulnérabilité affectant KnowledgeDeliver, un LMS largement utilisé au Japon. Référencée CVE-2026-5426, cette faille permettait à un attaquant distant non authentifié de prendre le contrôle du système. Elle a été exploitée par un acteur de la menace pour déployer le webshell en mémoire Godzilla (aka BLUEBEAM), puis la backdoor Cobalt Strike BEACON. Les attaques reposaient sur l’utilisation d’une clé machineKey statique présente dans les déploiements de KnowledgeDeliver antérieurs au 24 février 2026. Afin de se prémunir contre cette menace, il est recommandé de générer une clé machineKey unique et cryptographiquement robuste pour chaque instance de KnowledgeDeliver. Afin de se protéger contre cette menace, il est recommandé d’appliquer les correctifs de sécurité disponibles et d’intégrer les IoCs ainsi que les règles de détection publiés par Google.

Exploitation malveillante de la faille de sécurité CVE-2026-35616 au sein de FortiClient EMS [22]

Le 27 mai 2026, les chercheurs d'Arctic Wolf ont signalé l'exploitation malveillante d'une faille de sécurité affectant les déploiements FortiClient EMS. Référencée CVE-2026-35616, cette vulnérabilité critique (CVSS v3.1 9.8)désormais corrigée était due à un défaut de contrôle d’accès (CWE-284). Un attaquant distant et non authentifié pouvait exploiter cette vulnérabilité afin d’exécuter du code ou des commandes non autorisés via l’envoi de requêtes spécialement conçues à l’application FortiClient EMS (cf. CXA-2026-2387). Pour endiguer les risques associés à l'exploitation de la CVE-2026-35616, ArcticWolf propose des IOCs disponibles ici.

‍

Cybercriminel

Vague d’attaques supply chain ciblant les environnements de développement et CI/CD [23]

Le 24 mai 2026, les chercheurs de Socket ont détecté une campagne d’attaques visant la chaîne d’approvisionnement logicielle et ayant conduit à la compromission d’une trentaine de paquets malveillants sur npm, PyPI etCrates.io. Cette opération cybercriminelle, menée par l’intermédiaire du stealer TrapDoor, s’inscrit dans la continuité d’autres activités malveillantes documentées sur la même période sous les noms de Megalodon et Laravel-Lang, ayant respectivement ciblé des workflows CI/CD GitHub et l’écosystèmePHP/Composer. Afin de faire face à ces menaces, les éditeurs de sécurité ont publié des indicateurs de compromission (IoC), disponibles dans la sous-catégorie « Avis d’expert » de ce bulletin. Ceux-ci recensent également les différents paquets compromis.

Démantèlement des services cybercriminels Fox Tempest et First VPN, ayant facilité des attaques par ransomware [24]

Les 19 et 21 mai 2026, Microsoft, le FBI et Europol ont annoncé le démantèlement d'infrastructures cybercriminelles ayant facilité la conduite d’attaques par ransomware. La première infrastructure, documentée sous le nom de Fox Tempest, proposait un service frauduleux de signatures de code de type Malware-Signing-as-a-Service (MSaaS), permettant à des attaquants de contourner les mécanismes de détection de malware. La seconde, promue sous le nom de FirstVPN, aurait été employée pour mener des activités de scan, des attaques par déni de service distribué, la distribution de souches de ransomware, ainsi que l’infection de systèmes, intégrés par la suite à des botnets.

‍

France

Compromission de l'agence d'assurance Almerys, ayant entraîné une fuite de données [25]

Le 21 mai 2026, un attaquant utilisant le pseudonyme Lagui a publié sur le forum cybercriminel PwnForums une base de données attribuée à Almerys, un gestionnaire du tiers-payant du secteur de l’assurance santé. Selon ses déclarations, la fuite contiendrait plus de 44 millions d’enregistrements, dont environ 15,4 millions de numéros de sécurité sociale uniques. Cet incident a été confirmé par Almerys le 25 mai 2026. L’entreprise a indiqué que la fuite concerne l’ensemble de ses clients et pourrait avoir entraîné l’exposition de plusieurs données personnelles, notamment les noms, prénoms, dates de naissance, rangs de naissance, numéros de sécurité sociale, informations relatives aux assureurs santé, numéros de contrat ainsi que les dates de début et de fin de couverture. En revanche, les informations bancaires, les données médicales, les remboursements de soins, les adresses postales, les numéros de téléphone, les adresses électroniques et les mots de passe ne seraient pas affectés par cette fuite.