Résumé de la semaine #07 (du 9 au 13 février 2026)

Publication du Patch Tuesday par Microsoft et cyberattaque contre les services de télécommunications internes de la Commission européenne, les experts du service de veille cyber Yuno vous livrent une synthèse des évènements clés pour vous permettre de rester informés et d’anticiper les risques.

Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.

APPLICATIONS DE CORRECTIFS

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre de son Patch Tuesday [1], par Fortinet pour FortiNAC et FortiPortal [2], pour FortiClient [3], pour FortiAuthenticator [4], et pour FortiOS [5], par Gitlab [6] [7], par Beyond Trust pour Remote Support et Privileged Remote Access [8], par PostgreSQL [9], par Grafana [10], par Google pour Chrome [11], par Apple pour macOS [12], pour Safari [13], et pour iOS et iPadOS [14], par Ivanti pour Endpoint Manager [15] et par Adobe pour Bridge [16].

Code d’exploitation

Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible.

Prise de contrôle du système via une vulnérabilité au sein de Beyond Trust Remote Support et Privileged Remote Access [17]

Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2026-1731, affectant Beyond Trust Remote Support et Privileged Remote Acces a été publié. Ce code d’exploitation se présente sous la forme d’un template Nuclei. Le template commence par envoyer une requête GET vers le chemin /get_mech_list?version=3 afin de récupérer le champ company. Il forge ensuite une requête avec comme en-tête X-Ns-Company le champ company et une payload encodée en hexadécimal dans une trame WebSocket binaire (RFC 6455) contenant une commande d’exfiltration DNS. Le CERT-XMCO recommande l’installation de l’une des versions suivantes des produits Beyond Trust affectés : Remote Support version 25.3.2 ou Patch BT26-02-RS et Privileged Remote Access version 25.1.1 ou Patch BT26-02-PRA, disponibles auprès du support.

Déni de service via une vulnérabilité au sein d’Adminer [18]

Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2026-25892 affectant Adminer a été publié. Ce code d’exploitation se présente sous la forme d’un programme écrit en YAML. En incitant sa victime à ouvrir ce programme, un attaquant est alors en mesure de lancer automatiquement une requête HTTP forgée vers l’instance Adminer ciblée, encapsulant un paramètre version[] malveillant à destination de l’endpoint ?script=version. Le script se charge de contacter directement l’URL exposée d’Adminer, sans interaction supplémentaire de la victime, en envoyant la charge utile responsable de l’injection de tableau dans le paramètre version. Cette requête provoque alors un appel à openssl_verify() avec un type de donnée inattendu, entraînant une erreur interne répétée (HTTP 500) qui rend l’interface Adminer indisponible tant que l’état de l’application n’est pas réinitialisé. Le CERT-XMCO recommande l’installation de la version 5.4.2 d’Adminer disponible à l’adresse suivante : https://github.com/vrana/adminer/releases/tag/v5.4.2.

INFORMATIONS

Vulnérabilités

Nouvelle exploitation de la CVE-2025-55182 (React2Shell) affectant React [19]

Le 5 février 2026, les chercheurs de Flare ont révélé une campagne active depuis décembre 2025 menée par le groupe cybercriminel TeamPCP (alias PCPcat, ShellForce et DeadCatx3) ciblant des environnements cloud natifs. Basée sur un ver informatique, cette opération exploite des API Docker exposées, des clusters Kubernetes, des tableaux de bord Ray, des serveurs Redis ainsi que la vulnérabilité critique React2Shell (CVE-2025-55182), une faille corrigée affectant React. L’objectif des attaquants est de déployer une infrastructure distribuée de proxy et d’analyse à grande échelle, avant de compromettre les serveurs afin d’exfiltrer des données, déployer des ransomware, extorquer des fonds et miner des cryptomonnaies.

Compromission d’autorités néerlandaises via les failles CVE-2026-1281 et CVE-2026-1340 affectant Ivanti Endpoint Manager Mobile [20]

Le 6 février 2026, les autorités néerlandaises du Rijksoverheid ont publié un communiqué indiquant que les vulnérabilités référencées CVE-2026-1281 et CVE-2026-1340 affectant Ivanti Endpoint Manager Mobile (EPMM) avaient été exploitées contre l’Autoriteit Persoonsgegevens et la Raad voor de rechtspraak. Cette campagne a permis un accès non autorisé à des données professionnelles d’employés (noms, adresses e‑mail professionnelles, numéros de téléphone, détails d’appareils) via des attaques à distance non authentifiées. Les attaquants ont ciblé un système MDM central utilisé pour gérer les appareils mobiles, ce qui a mécaniquement élargi la surface d’impact à plusieurs institutions européennes et nationales.

Nouvelles compromissions réalisées par le groupe APT chinois Lotus Blossom via l’exploitation d’une vulnérabilité dans NotePad++ [21]

Le 11 février 2026, les chercheurs de Palo Alto ont révélé de nouvelles compromissions attribuées au groupe APT chinois Lotus Blossom, exploitant une vulnérabilité affectant Notepad++. Cette faille, non référencée et corrigée, permettait de contourner les mécanismes de vérification des mises à jour afin de distribuer un installeur malveillant, facilitant ainsi une attaque de la chaîne d’approvisionnement logicielle. Plusieurs organisations, notamment en Europe, ont été touchées dans les secteurs de l’administration centrale, du cloud, de l’énergie, de la fabrication et du développement logiciel. Active depuis mi-août 2025, cette campagne avait déjà fait l’objet d’une alerte de sécurité publiée le 2 février par l’éditeur Don Ho et Rapid7.

Exploitation de la CVE-2026-23760 affectant SmarterMail pour distribuer Warlock [22]

Les 3 et 9 février 2026, le directeur commercial de SmarterTools, en collaboration avec les chercheurs de ReliaQuest, a confirmé l’utilisation active de la vulnérabilité CVE-2026-23760 affectant SmarterMail, déjà ciblée dès janvier 2026. Cette faille a été exploitée par le mode opératoire Storm-2603, attribué à la Chine, dans le cadre de campagnes de déploiement du ransomware Warlock. Le groupe avait auparavant été identifié pour son recours à la chaîne de vulnérabilités ToolShell. L’exploitation de CVE-2026-23760 a conduit à la compromission directe de SmarterTools, l’éditeur de SmarterMail.

Ajout au KEV de la CVE‑2026‑24423, exploitée dans la nature pour déployer des ransomware [23]

Le 5 février 2026, la CISA a ajouté la CVE-2026-24423 à son catalogue des vulnérabilités exploitées (KEV), confirmant son exploitation active par des opérateurs de ransomware ciblant des serveurs SmarterMail exposés, en particulier dans des environnements d’entreprises et de prestataires de services. Cette vulnérabilité, désormais corrigée, permettait à un attaquant non authentifié d’abuser de la fonctionnalité ConnectToHub pour faire exécuter au serveur des commandes provenant d’une infrastructure contrôlée par l’assaillant, menant à une prise de contrôle complète du système. Cette vulnérabilité fait suite à l’observation, dans la nature, de l’exploitation de WT‑2026‑0001 / CVE-2026-23760, documentée par WatchTowr et Huntress, qui permettait à un attaquant de prendre le contrôle d’un compte administrateur sans connaître son ancien mot de passe, puis d’atteindre une exécution de code.

Exploitation de plusieurs vulnérabilités affectant SolarWinds pour déployer des outils légitimes à des fins malveillantes [24]

Les 6 et 8 février 2026, les chercheurs de Microsoft et Huntress ont signalé l’exploitation active de plusieurs vulnérabilités affectant SolarWinds Web Help Desk, pouvant permettre l’exécution de code à distance sur la machine hôte sans authentification. Selon Huntress, la campagne identifiée le 16 janvier reposait sur l’exploitation des CVE-2025-26399 et CVE-2025-40551, cette dernière ayant déjà été signalée comme exploitée par le CISA et disposant d’un code d’exploitation public. Pour Microsoft, des compromissions ont été observées dès décembre 2025, mais il n’a pas encore été possible de déterminer si elles impliquaient l’exploitation de la CVE-2025-40551, de la CVE-2025-40536 ou de la CVE-2025-26399. Toutes ces vulnérabilités disposent d’un correctif disponible.

Europe

La Commission européenne dévoile avoir été la cible d’une cyberattaque visant ses services de télécommunications internes [25]

Le 6 février 2026, la Commission européenne a publié un communiqué indiquant que son infrastructure centrale de gestion des appareils mobiles avait identifié le 30 janvier des traces de cyberattaque susceptibles d’avoir exposé les noms et numéros de téléphone de certains membres du personnel, sans compromission des terminaux eux‑mêmes. La réponse rapide des équipes a permis de contenir l’incident et de nettoyer le système en moins de neuf heures, tandis que CERT‑EU menait les investigations techniques. Cette intrusion visait spécifiquement une plateforme critique pour l’administration des smartphones de la Commission. Les premières analyses indiquent une possible exfiltration de données limitées, sans capacité confirmée des assaillants à pousser des payloads ou à prendre le contrôle des smartphones gérés.

France

Campagne de désinformation réalisée par le MOI russe Storm-1516 ciblant Emmanuel Macron [26]

Le 6 février 2026, VIGINUM a révélé une campagne de désinformation orchestrée par le Mode Opératoire Informationnel (MOI) russe Storm-1516, visant le président français Emmanuel Macron. Menée le 4 février 2026, cette opération a impliqué, avec le soutien du MOI CopyCop, également lié à la Russie, la diffusion sur la plateforme X d’une vidéo affirmant faussement qu’Emmanuel Macron serait lié au milliardaire Epstein, à la suite de la récente publication de nouveaux dossiers par la justice américaine. Selon l’agence française, le site web utilisé dans cette campagne a été créé par le MOI CopyCop, attribué à John Mark Dougan, un ancien policier américain exilé en Russie depuis 2016. Ce dernier gère et maintient une partie des infrastructures numériques exploitées par Storm-1516 et mène régulièrement des opérations de désinformation ciblant la France.

——————————————————————————————————–

Références

[1] 

• https://notepad-plus-plus.org/news/v891-released/
• https://notepad-plus-plus.org/news/hijacked-incident-info-update/

[2]

•  https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security

[3]

• https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-post-authentication-command-injection-vulnerability-in-the-ddns-configuration-cli-command-of-zld-firewalls-02-05-2026

[4]

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cmm-file-up-kY47n8kK

[5] 

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wsa-archive-bypass-Scx2e8zF](https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-wsa-archive-bypass-Scx2e8zF

[6] 

• https://chromereleases.googleblog.com/2026/02/stable-channel-update-for-desktop.html
• https://chromereleases.googleblog.com/2026/02/chrome-for-android-update.html

[7]

• https://github.com/kubernetes/kubernetes/issues/136677

• https://github.com/kubernetes/kubernetes/issues/136678
• https://github.com/kubernetes/kubernetes/issues/136679
• https://github.com/kubernetes/kubernetes/issues/136680

[8]

• https://horizon3.ai/attack-research/cve-2025-40551-another-solarwinds-web-help-desk-deserialization-issue/

[9] 

• https://www.exploit-db.com/exploits/52472
• https://github.com/OilSeller2001/PoC-for-CVE-2025-9074

[10] 

• https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2024/CVE-2024-6671.yaml

[11] 

• https://github.com/n8n-io/n8n/security/advisories/GHSA-6cqr-8cfr-67f8

• https://www.pillar.security/blog/n8n-sandbox-escape-critical-vulnerabilities-in-n8n-exposes-hundreds-of-thousands-of-enterprise-ai-systems-to-complete-takeover
• https://blog.securelayer7.net/cve-2026-25049/
• https://www.endorlabs.com/learn/cve-2026-25049-n8n-rce
• https://www.bleepingcomputer.com/news/security/critical-n8n-flaws-disclosed-along-with-public-exploits/

[12] 

• https://cert.gov.ua/article/6287250
• https://www.bleepingcomputer.com/news/security/russian-hackers-exploit-recently-patched-microsoft-office-bug-in-attacks/

[13] 

• https://www.vulncheck.com/blog/metro4shell_eitw

• https://jfrog.com/blog/cve-2025-11953-critical-react-native-community-cli-vulnerability/
• https://thehackernews.com/2026/02/hackers-exploit-metro4shell-rce-flaw-in.html
• https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-react-native-metro-bug-to-breach-dev-systems/

[14] 

• https://www.cisa.gov/news-events/alerts/2026/02/03/cisa-adds-four-known-exploited-vulnerabilities-catalog

• https://www.bleepingcomputer.com/news/security/cisa-flags-critical-solarwinds-rce-flaw-as-actively-exploited/
• https://thehackernews.com/2026/02/cisa-adds-actively-exploited-solarwinds.html

[15] 

• https://securitylabs.datadoghq.com/articles/web-traffic-hijacking-nginx-configuration-malicious/
• https://thehackernews.com/2026/02/hackers-exploit-react2shell-to-hijack.html

[16] 

• https://notepad-plus-plus.org/news/hijacked-incident-info-update/

• https://notepad-plus-plus.org/news/clarification-security-incident/
• https://thehackernews.com/2026/02/notepad-official-update-mechanism.html
• https://notepad-plus-plus.org/assets/data/IoCFromFormerHostingProvider.txt
• https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/
• https://securelist.com/notepad-supply-chain-attack/118708/

[17] 

• https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/

• https://securelist.com/notepad-supply-chain-attack/118708/
• https://notepad-plus-plus.org/assets/data/IoCFromFormerHostingProvider.txt
• https://notepad-plus-plus.org/news/clarification-security-incident/

[18] 

• https://unit42.paloaltonetworks.com/shadow-campaigns-uncovering-global-espionage/
• https://www.theregister.com/2026/02/05/asia_government_spies_hacked_37_critical_networks/

[19] https://www.sgdsn.gouv.fr/files/files/Publications/20260129_SNC_0.pdf