Campagnes d’ingérence numérique ciblant les élections municipales françaises et exploitation comme 0-day de la vulnérabilité CVE-2026-20131 affectant des produits Cisco par le groupe de ransomware Interlock, les experts du service de veille cyber Yuno vous livrent une synthèse des évènements clés pour vous permettre de rester informés et d’anticiper les risques. 

Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.

APPLICATIONS DE CORRECTIFS

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Elastic pour Elasticsearch [1], par Google pour Chrome [2] [3], par Oracle pour identity Manager et Web Services Manager [4], par Synology [5], par Ubiquiti Networks pour UniFi Network application [6], par Jenkins [7], par Atlassian pour Bamboo Data Center and Server [8], Jira Data Center & Server, Jira Service Management Data Center & Server [9] et pour Confluence Data Center et Server [10], par Microsoft pour Edge [11] [12] ainsi que par Apple pour iOS, iPadOS et macOS [13].

Codes d’exploitation

Un code d’exploitation a été publié cette semaine. Un correctif est disponible.

Prise de contrôle du système via une vulnérabilité au sein du plugin « Saisies pour formulaire » de SPIP [14]

Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2025-71243, affectant le plugin « Saisies pour formulaire » de SPIP a été publié. Le template fonctionne en deux temps : il commence par identifier si la cible utilise bien SPIP en analysant certains en-têtes HTTP spécifiques, puis injecte du code PHP malveillant via le paramètre _anciennes_valeurs de la page de contact, qui n’est pas correctement filtré. La confirmation de l’exécution peut se faire de trois manières : en observant directement la réponse du serveur, ou via des techniques Out-Of-Band (DNS ou HTTP) reposant sur un serveur externe Interactsh. L’exploitation de cette faille permet à un attaquant distant et non authentifié d’exécuter du code arbitraire sur le serveur hébergeant le site SPIP. Le CERT-XMCO recommande l’installation de la version 5.11.1 du plugin « Saisies pour formulaire » de SPIP.

Informations

Vulnérabilités

Exploitation de la chaîne d’exploits iOS DarkSword par des entreprises commerciales et divers acteurs de la menace [15]

Le 18 mars 2026, les chercheurs du Google Threat Intelligence Group (GTIG) ont publié une analyse de la chaîne d’exploits iOS DarkSword, utilisée par des entreprises commerciales et divers acteurs de la menace pour compromettre des iPhones via Safari et déployer les implants GHOSTKNIFE, GHOSTSABER et GHOSTBLADE sur des cibles en Arabie saoudite, Turquie, Malaisie et Ukraine. DarkSword est efficace contre les versions allant de 18.4 à 18.7 d’iOS, et s’appuie sur six vulnérabilités (deux RCE JavaScriptCore, un bypass PAC, deux escapes de sandbox et une élévation noyau) pour obtenir des privilèges kernel et installer des implants de surveillance sophistiqués, aujourd’hui corrigés dans iOS 26.3 et versions intermédiaires.

Exploitation comme 0-day de la vulnérabilité CVE-2026-20131 affectant Cisco par le groupe de ransomware Interlock [16]

Le 18 mars 2026, les chercheurs d’Amazon ont signalé l’exploitation en 0-day d’une vulnérabilité affectant Cisco Secure Firewall Management Center (FMC). Corrigée le 4 mars 2026 et référencée CVE-2026-20131, elle permettait à un attaquant distant non authentifié d’exécuter du code arbitraire avec des privilèges root. Exploitée dès le 26 janvier 2026 par le groupe de ransomware Interlock, l’analyse a montré qu’un serveur mal configuré avait exposé tous les outils opérationnels d’Interlock, incluant ses Remote Access Trojan, scripts de reconnaissance et techniques d’évasion.

Les opérateurs du botnet RondoDox exploitent 174 failles de sécurité [17]

Le 11 mars 2026, les chercheurs de Bitsight ont publié l’analyse d’une campagne d’attaques opérée via l’exploitation de 174 vulnérabilités affectant diverses technologies telles que React. Le groupe d’attaquants à l’origine de cette activité malveillante aurait recours à des scans massifs d’instances vulnérables et exposées sur Internet, afin de les compromettre puis de les ajouter au botnet RondoDox.

Exploitation active de la vulnérabilité corrigée CVE-2025-47813 affectant Wing FTP Server [18]

Le 16 mars 2026, la CISA a signalé l’exploitation d’une vulnérabilité corrigée en mai 2025 affectant Wing FTP Server, un serveur FTP sécurisé et multiplateforme avec interface d’administration web. Référencée CVE-2025-47813, elle permettait à un attaquant distant et authentifié, disposant de privilèges limités, d’accéder à des informations sensibles. La vulnérabilité avait fait l’objet d’une analyse approfondie et un PoC avait été publié par les chercheurs de RCE Security en juin 2025. À ce jour, aucune information sur ses conditions d’exploitation n’a été divulguée.

Campagne d’espionnage attribuée à APT28 exploitant la CVE-2025-66376 affectant Zimbra et ciblant une agence gouvernementale ukrainienne [19]

Le 20 mars 2026, les chercheurs de Seqrite Labs ont publié une analyse de l’opération GhostMail, une campagne de phishing ciblant une agence gouvernementale ukrainienne via l’exploitation d’une vulnérabilité affectant Zimbra. Référencée CVE-2025-66376 et désormais corrigée, elle permettait à un attaquant d’accéder à des informations sensibles et de manipuler des données. L’attaque repose sur l’envoi d’un mail de demande de stage d’apparence bénin, rédigé en ukrainien, dans lequel tout le chaînon d’infection est encapsulé dans le corps HTML, sans pièce jointe ni lien suspect.

France

Campagnes d’ingérence numérique ciblant les élections municipales françaises [20]

Le 20 mars 2026, le SGDSN a publié un nouveau bulletin du Réseau de Coordination et de Protection des Élections (RCPE), créé pour évaluer les menaces d’ingérence numérique étrangère (INE) lors des élections municipales 2026. Depuis la création du réseau, quatre opérations ciblant spécifiquement le scrutin ont été identifiées, visant à décrédibiliser le processus électoral, semer la méfiance envers les médias, nuire à la réputation de candidats ou de partis, et polariser le débat public numérique. Selon les derniers bulletins, ces campagnes, dont certaines liées à des modes opératoires associés à la Russie, n’ont eu pour l’instant qu’un impact limité.

——————————————————————————————————-

Références

[1]

• https://discuss.elastic.co/t/elasticsearch-8-19-8-9-1-8-security-update-esa-2026-18/385534

[2]

• https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_18.html
• https://chromereleases.googleblog.com/2026/03/chrome-for-android-update_18.html

[3]

• https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_13.html
• https://chromereleases.googleblog.com/2026/03/chrome-for-android-update_13.html

[4]

• https://www.oracle.com/security-alerts/alert-cve-2026-21992.html?source=:em:gbc:ie:cpo:::RC_WWMK210714P00017:SEV400444462

[5]

• https://www.synology.com/fr-fr/security/advisory/Synology_SA_26_03

[6]

• https://community.ui.com/releases/Security-Advisory-Bulletin-062-062/c29719c0-405e-4d4a-8f26-e343e99f931b

[7]

• https://www.jenkins.io/security/advisory/2026-03-18/

[8]

• https://confluence.atlassian.com/security/security-bulletin-march-17-2026-1721271371.html

[9]

• https://confluence.atlassian.com/security/security-bulletin-march-17-2026-1721271371.html

[10]

• https://confluence.atlassian.com/security/security-bulletin-march-17-2026-1721271371.html

[11]

• https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security

[12]

• https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security

[13]

• https://support.apple.com/en-us/126604

[14]

• https://leportail.xmco.fr/watch/advisory/CXA-2026-1860
• https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-71243.yaml
• https://chocapikk.com/posts/2026/spip-saisies-rce/
• https://github.com/Chocapikk/CVE-2025-71243

[15]

• https://cloud.google.com/blog/topics/threat-intelligence/darksword-ios-exploit-chain?hl=en
• https://www.darkreading.com/threat-intelligence/darksword-iphone-exploit-spies-thieves/

[16]

• https://aws.amazon.com/fr/blogs/security/amazon-threat-intelligence-teams-identify-interlock-ransomware-campaign-targeting-enterprise-firewalls
• https://thehackernews.com/2026/03/interlock-ransomware-exploits-cisco-fmc.html

[17]

• https://www.bitsight.com/blog/rondodox-botnet-infrastructure-analysis
• https://www.securityweek.com/rondodox-botnet-targeted-174-vulnerabilities/

[18]

• https://www.cisa.gov/news-events/alerts/2026/03/16/cisa-adds-one-known-exploited-vulnerability-catalog
• https://github.com/MrTuxracer/advisories/blob/master/CVEs/CVE-2025-47813.txt
• https://nvd.nist.gov/vuln/detail/CVE-2025-47813
• https://www.wftpserver.com/serverhistory.htm
• https://thehackernews.com/2026/03/cisa-flags-actively-exploited-wing-ftp.html

[19]

• https://www.seqrite.com/blog/operation-ghostmail-zimbra-xss-russian-apt-ukraine/
• https://securityaffairs.com/189673/security/russian-apt-targets-ukraine-via-zimbra-xss-flaw-cve-2025-66376.html

[20]

• https://www.sgdsn.gouv.fr/publications/bulletins-du-reseau-de-coordination-et-de-protection-des-elections