Recrudescence des cyberattaques iraniennes dans le contexte du conflit armé et détournement du kit d’exploits iOS Coruna dans le cadre d’attaques cybercriminelles, les experts du service de veille cyber Yuno vous livrent une synthèse des évènements clés pour vous permettre de rester informés et d’anticiper les risques.
Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.
APPLICATIONS DE CORRECTIFS
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Mitel pour MiVoice MX-ONE [1], par OpenStack [2], par Android [3], par Cisco pour Secure FMC Software et Security Cloud Control (SCC) [4] et Secure Firewall Adaptive Security Appliance [5] et par GLPI [6] [7].
Code d’exploitation
Un code d’exploitation a été publié cette semaine. Un correctif est disponible.
Prise de contrôle du système et contournement de sécurité via 2 vulnérabilités au sein de SolarWinds Web Help Desk [8]
Un code d’exploitation tirant parti des vulnérabilités référencées CVE-2025-40552 et CVE-2025-40553, affectant SolarWinds Web Help Desk ont été publiées. Ce code d’exploitation se présente sous la forme d’un script Python. Il commence par initialiser une session sur l’application. L’objectif est de récupérer un token anti-CSRF renvoyé dans les cookies. Ensuite, il tente un contournement d’authentification (CVE-2025-40552). Pour cela, il provoque une erreur WebObjects. Il force ensuite le serveur à attacher une page interne à la session. Si le contournement réussit, le script enchaîne avec la CVE-2025-40553. Il envoie une requête vers l’endpoint JSON-RPC de WHD. Le corps JSON appelle une méthode côté serveur. Il fournit aussi des paramètres destinés à contourner les mécanismes de filtrage. Cette étape vise à faire matérialiser au serveur un objet Java contrôlé. L’objet est choisi pour déclencher une connexion JDBC vers la base locale embarquée lors de sa validation. Enfin, le script tente d’exécuter une requête SQL malveillante. Celle-ci mène à une exécution de commande système. L’exécution s’appuie sur une fonctionnalité SQL disponible côté serveur de base de données. Le CERT-XMCO recommande l’installation du correctif SolarWinds Web Help Desk 2026.1.
Informations
Vulnérabilités
Coruna : un kit d’exploits iOS de niveau étatique serait détourné dans le cadre d’attaques cybercriminelles [9]
Le 3 mars 2026, les chercheurs de Google et iVerify ont documenté une campagne d’espionnage sophistiquée s’appuyant sur l’exploitation de multiples failles de sécurité iOS, découvertes dans un kit d’attaque historiquement utilisé par des acteurs étatiques russes contre des instances ukrainiennes. Documenté sous le nom de Coruna, ce kit a été observé pour la première fois en février 2025 et serait composé de 23 exploits répartis sur cinq chaînes d’exploitation distinctes, permettant de cibler des appareils mobiles fonctionnant sous iOS 13 à 17.2.1. Les observations d’iVerify sont confirmées par les découvertes indépendantes de Google suggérant la distribution malveillante de Coruna par les modes opératoires UNC6353 et UNC6691, des clusters respectivement attribués à des instances étatiques russes et à un groupe chinois motivé par des objectifs financiers.
Exploitation de la vulnérabilité référencée CVE-2026-22719 affectant VMware Aria Operations [10]
Le 3 mars 2026, Broadcom et la CISA ont signalé l’exploitation active d’une vulnérabilité critique affectant VMware Aria Operations, une solution de supervision et d’optimisation des environnements cloud et virtualisés. Corrigée le 24 février 2026 et référencée CVE-2026-22719, cette faille permettait à un attaquant distant non authentifié d’exécuter des commandes arbitraires. Lors de la publication initiale du bulletin de sécurité, l’éditeur n’avait pas signalé d’exploitation active de cette vulnérabilité et, à ce stade, aucun élément ne permet de déterminer si la faille a été exploitée avant la mise à disposition du correctif. Afin de se protéger contre cette menace, il est recommandé d’appliquer le correctif publié par Broadcom. À défaut, les mesures de contournement proposées par l’éditeur doivent être mises en œuvre.
Exploitation comme 0-day de la CVE-2026-21513 affectant Windows par le groupe APT russe APT28 [11]
Le 20 février 2026, les chercheurs d’Akamai ont mis en évidence l’exploitation en tant que 0-day d’une vulnérabilité affectant le framework MSHTML, composant utilisé par Windows pour afficher du contenu web. Corrigée dans le cadre du Patch Tuesday de Microsoft du 11 février 2026 et référencée CVE-2026-21513, cette faille permettait à un attaquant distant non authentifié, de contourner certains mécanismes de sécurité et d’exécuter potentiellement du code arbitraire. Selon les chercheurs, la vulnérabilité aurait été exploitée dès le 30 janvier 2026 par le groupe APT associé à la Russie, APT28. Cette vulnérabilité s’appuie sur un fichier de raccourci Windows (LNK) spécialement élaboré, au sein duquel un contenu HTML est intégré immédiatement après la structure LNK classique. Lorsque la victime ouvre ce fichier, celui-ci initie une communication avec un domaine, attribué à APT28 et régulièrement employé dans les attaques en plusieurs phases associées à cette campagne.
Le groupe étatique chinois Silver Dragon opère une campagne d’espionnage en Europe et en Asie du Sud [12]
Le 3 mars 2026, les chercheurs de CheckPoint ont publié l’analyse d’une campagne d’espionnage opérée par un groupe étatique chinois contre des organisations stratégiques en Europe et en Asie du Sud. Documenté sous le nom de Silver Dragon, ce mode opératoire serait sous l’égide du groupe chinois APT41 et actif depuis au moins 2024. D’après la télémétrie de CheckPoint, la victimologie des attaques se concentrerait sur des entités gouvernementales et des organismes stratégiques évoluant dans divers pays européens, dont l’Italie, la Pologne et la Hongrie. L’accès initial au sein des instances d’intérêt serait principalement obtenu via la compromission de serveurs vulnérables et exposés sur Internet. Des activités de phishing ont également été sporadiquement menées par Silver Dragon. Une fois les instances infectées, le groupe chinois utiliserait des shellcode loaders personnalisés et Cobalt Strike pour établir sa persistance.
Conflit Moyen-Orient
Recrudescence des cyberattaques iraniennes dans le contexte du conflit armé entre l’Iran, Israël et les États‑Unis [13]
Le 2 mars 2026, le Centre national britannique de cybersécurité (NCSC) a publié un avis de sécurité relatif au risque de recrudescence des cyberattaques opérées par l’Iran et ses proxys criminels dans un contexte d’escalade du conflit au Moyen-Orient. Selon le NCSC, ces activités pourraient prendre plusieurs formes, allant du dommage réputationnel via des opérations par déni de service distribué (DDoS), à la compromission totale d’instances informatiques via la distribution de leurres de phishing ou encore via le sabotage de systèmes de contrôle industriel. Cette semaine, plusieurs éditeurs de cybersécurité ont documenté des opérations cyber parrainées par l’État iranien en réponse aux attaques aériennes menées le 28 février 2026 par les États-Unis et Israël. Compte tenu des capacités et des précédentes cyberattaques associées aux groupes iraniens, les prochaines opérations soutenues par Téhéran pourraient associer des actions fortement médiatisées, destinées à renforcer la narration politique du régime, à des attaques plus discrètes visant à générer un avantage militaire comparatif. Cette hypothèse est formulée par l’éditeur CheckPoint, ayant détecté une intensification du ciblage des caméras IP localisées dans plusieurs pays du Moyen-Orient permettant à l’Iran de coordonner des lancements de missile et en évaluer les dommages causés. Pour l’heure, le ciblage des dispositifs de caméras se concentrerait sur les marques Hikvision et Dahua. Les attaquants tenteraient d’en prendre le contrôle par l’intermédiaire de vulnérabilités disposant de correctifs de sécurité et publiquement référencées sous les noms de CVE-2017-7921, CVE-2021-36260, CVE-2023-6895, CVE-2025-34067 et CVE-2021-33044. Selon Ctrl-Alt-Intel, MuddyWater aurait également exploité plusieurs vulnérabilités affectant différents produits informatiques pour mener des opérations d’espionnage au Moyen-Orient.Orient.
France
Compromission de Lisi Group par le groupe de ransomware Qilin [14]
Le 1er mars 2026, le groupe de ransomware Qilin a revendiqué, sur son site de fuite de données, la compromission de Lisi Group, un industriel français spécialisé dans la fabrication de composants pour les secteurs de l’aéronautique; de l’automobile et de la santé. Sur sa plateforme, le groupe criminel publie 13 images mettant en avant des données financières, contractuelles et personnelles sensibles appartenant à l’entreprise et à certains de ses partenaires. D’après le média CyberNews, Lisi Group aurait confirmé un incident touchant sa division aérospatiale, tout en précisant que l’impact restait très limité. La société a également assuré que ses opérations n’avaient pas été perturbées et qu’« aucune compromission de son infrastructure n’a été constatée ».
Compromissions de plusieurs organisations françaises par le collectif criminel Lapsus$ [15]
Le 27 février 2026, le collectif criminel Lapsus$ a déclaré sur son canal Telegram avoir compromis l’entreprise de construction Eiffage. Depuis le 30 décembre 2025, le groupe y revendique également la compromission de plusieurs autres entités françaises, dont la société aéronautique OSAC Aero, l’enseigne de retail Lacoste, l’Université de Lille, ainsi que le ministère de l’Intérieur et le ministère de l’Agriculture. À ce stade, aucun élément ne permet de déterminer les modalités de ces compromissions ni d’établir l’existence d’un vecteur d’accès initial commun à l’ensemble des incidents. Par ailleurs, le site de revendication de Lapsus$ reste indisponible, ce qui ne permet pas de procéder à une vérification indépendante des déclarations du groupe. Les opérateurs du canal Telegram ont indiqué le 1er mars que leur infrastructure était temporairement hors service en raison d’actions légales engagées par un tiers non identifié.
——————————————————————————————————-
Références
[1]
[2]
[3]
[4]
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-rce-NKhnULJh
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-onprem-fmc-authbypass-5JPp45V2
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-sql-injection-2qH6CcJd
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-cmd-inject-S9ZM4EJf
[5]
[6]
[7]
[8]
- https://labs.watchtowr.com/buy-a-help-desk-bundle-a-remote-access-solution-solarwinds-web-help-desk-pre-auth-rce-chain-s/
- https://github.com/watchtowrlabs/watchTowr-vs-SolarWinds-WebHelpDesk-CVE-2025-40552-CVE-2025-40553
- https://www.solarwinds.com/trust-center/security-advisories/cve-2025-40552
- https://www.solarwinds.com/trust-center/security-advisories/cve-2025-40553
[9]
- https://cloud.google.com/blog/topics/threat-intelligence/coruna-powerful-ios-exploit-kit?hl=en
- https://iverify.io/blog/coruna-inside-the-nation-state-grade-ios-exploit-kit-we-ve-been-tracking
- https://www.bleepingcomputer.com/news/security/spyware-grade-coruna-ios-exploit-kit-now-used-in-crypto-theft-attacks/
[10]
- https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36947
- https://www.cisa.gov/news-events/alerts/2026/03/03/cisa-adds-two-known-exploited-vulnerabilities-catalog
- https://thehackernews.com/2026/03/cisa-adds-actively-exploited-vmware.html
[11]
- https://www.akamai.com/blog/security-research/2026/feb/inside-the-fix-cve-2026-21513-mshtml-exploit-analysis
- https://thehackernews.com/2026/03/apt28-tied-to-cve-2026-21513-mshtml-0.html
[12]
- https://research.checkpoint.com/2026/silver-dragon-targets-organizations-in-southeast-asia-and-europe/
- https://thehackernews.com/2026/03/apt41-linked-silver-dragon-targets.html
[13]
- https://www.ncsc.gov.uk/news/ncsc-advises-uk-organisations-take-action-following-conflict-in-middle-east
- https://securityaffairs.com/188800/apt/middle-east-crisis-prompts-uk-warning-on-potential-iranian-cyber-activity.html
- https://www.security.com/threat-intelligence/iran-cyber-threat-activity-us
- https://research.checkpoint.com/2026/interplay-between-iranian-targeting-of-ip-cameras-and-physical-warfare-in-the-middle-east/
- https://unit42.paloaltonetworks.com/iranian-cyberattacks-2026/
- https://ctrlaltintel.com/threat%20research/MuddyWater/
- https://github.com/telekom-security/malware_analysis/blob/main/iocs/Ivanti-CVE-2026-1281-Exploitation.csv
- https://github.security.telekom.com/2026/03/ivanti-CVE-2026-1281-exploitation.html
- https://x.com/BushidoToken/status/2029652723692445946
- https://github.security.telekom.com/2026/03/ivanti-CVE-2026-1281-exploitation.html
[14]
- https://www.ransomware.live/id/TElTSSBHcm91cEBxaWxpbg==
- https://cybernews.com/security/qilin-lisi-group-ransomware-breach/
[15]
