Bienvenue sur Cyberveille

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-05-24 → 2026-05-31. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-0257 CVSS: N/A EPSS: 41.50% VLAI: Medium (confidence: 0.9436) CISA: KEV ProduitPalo Alto Networks — Cloud NGFW Publié2026-05-13T18:15:10.172Z Authentication bypass vulnerabilities in the GlobalProtect portal and gateway of Palo Alto Networks PAN-OS® software allows the attacker to bypass security restrictions and establish an unauthorized VPN connection. Panorama and Cloud NGFW are not impacted by these issues. ...

Cette page présente les vulnérabilités les plus discutées sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la période analysée. Période analysée : 2026-05-01 → 2026-06-01. Les données sont collectées via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider à la priorisation de la veille et de la remédiation. 📌 Légende : CVSS : score officiel de sévérité technique. EPSS : probabilité d’exploitation observée. VLAI : estimation de sévérité basée sur une analyse IA du contenu de la vulnérabilité. CISA KEV : vulnérabilité activement exploitée selon la CISA. seen / exploited : signaux observés dans les sources publiques. CVE-2026-31431 CVSS: 7.8 EPSS: 2.23% VLAI: High (confidence: 0.9602) CISA: KEV ProduitLinux — Linux Publié2026-04-22T08:15:10.123Z In the Linux kernel, the following vulnerability has been resolved: crypto: algif_aead - Revert to operating out-of-place This mostly reverts commit 72548b093ee3 except for the copying of the associated data. There is no benefit in operating in-place in algif_aead since the source and destination come from different mappings. Get rid of all the complexity added for in-place operation and just copy the AD directly. ...

📰 Source : secjuice.com — publié le 31 mai 2026. Article de fond destiné aux analystes malware, junior comme senior, abordant la méthodologie et la philosophie de l’analyse de malware. 🎯 Contexte général L’article pose la question centrale : l’analyse de malware se résume-t-elle à la maîtrise d’outils ? La réponse développée est non : le mindset de l’analyste est l’élément différenciateur, les outils n’étant que des facilitateurs. 🛠️ Outils mentionnés L’article cite une liste d’outils courants utilisés en analyse statique et dynamique : ...

📰 Source : BleepingComputer | Date de publication : 29 mai 2026 | Contexte : Suite à la violation de données de 2023 ayant exposé les informations de près de 7 millions de clients de 23andMe (désormais Chrome Holding Co.), le procureur général de Californie Rob Bonta a déposé une plainte formelle contre l’entreprise. 🔍 Incident d’origine (2023) L’attaque a été révélée en octobre 2023, lorsque des acteurs malveillants ont proposé à la vente des enregistrements volés à 23andMe, accompagnés de fuites d’échantillons de données pour en prouver l’authenticité. L’entreprise a confirmé l’authenticité des données et attribué l’intrusion à une attaque par credential stuffing ciblant des comptes avec des identifiants faibles. ...

🔍 Contexte Publié le 30 mai 2026 sur BleepingComputer, cet article rapporte la divulgation d’une vulnérabilité locale d’élévation de privilèges dans le noyau Linux, nommée CIFSwitch, découverte par Asim Viladi Oglu Manizada, ingénieur sécurité chez SpaceX. 🧩 Mécanisme de la vulnérabilité Le sous-système CIFS du noyau Linux ne vérifie pas que les requêtes de clé cifs.spnego proviennent bien du client CIFS du noyau. Un utilisateur non privilégié peut ainsi : Créer une requête cifs.spnego forgée pour déclencher le workflow d’authentification normal Abuser du helper cifs.upcall (exécuté en root) qui fait confiance aux champs contrôlés par l’attaquant Forcer un changement de namespace, puis déclencher une résolution NSS (Name Service Switch) avant l’abandon des privilèges Charger un module NSS malveillant pour obtenir une exécution de code en root 📦 Versions et distributions affectées La faille a été introduite en 2007 et affecte les combinaisons vulnérables du noyau CIFS et de cifs-utils (versions 6.14 et supérieures, ainsi que certaines versions antérieures). Les distributions confirmées vulnérables dans leur configuration par défaut incluent : ...

🔍 Contexte Publié le 27 mai 2026 par Asim Viladi Oglu Manizada sur son blog personnel, cet article détaille la découverte et l’exploitation d’une vulnérabilité d’élévation de privilèges locale (LPE) baptisée CIFSwitch, affectant le noyau Linux et le paquet cifs-utils. La découverte a été facilitée par l’utilisation d’agents LLM. 🐛 Description de la vulnérabilité La vulnérabilité repose sur une chaîne de bugs logiques à l’intersection du module noyau CIFS et du helper userspace cifs.upcall fourni par cifs-utils : ...

🗓️ Contexte Source : BleepingComputer, publié le 31 mai 2026. Des acteurs malveillants exploitent activement une vulnérabilité critique dans le plugin WordPress WP Maps Pro, permettant la création de comptes administrateurs sans authentification. 🔍 Vulnérabilité CVE : CVE-2026-8732, sévérité critique Produit affecté : WP Maps Pro versions 6.1.0 et antérieures (plugin premium WordPress, +15 800 ventes sur Envato Market) Découverte : Chercheur en sécurité David Brown, signalée à Wordfence le 24 mars, vendeur notifié le 16 mai Correctif : Version 6.1.1 publiée le 20 mai 2026 ⚙️ Mécanisme d’exploitation La vulnérabilité réside dans une fonctionnalité d’accès temporaire destinée au support vendeur : ...

🔍 Contexte Publié le 30 mai 2026 par Silent Push, cet article de recherche présente la découverte et l’analyse d’un nouvel acteur de la menace baptisé DriveSurge, opérant comme Initial Access Broker (IAB) selon un modèle Pay-Per-Install (PPI). 🎯 Acteur et mode opératoire DriveSurge a compromis des milliers de sites web légitimes en y injectant du code JavaScript malveillant. Ces sites redirigent silencieusement les visiteurs via un Traffic Distribution System (TDS) open-source appelé zTDS (version 1.0.3, disponible depuis 2015 sur ztds[.]info). Le TDS profile les visiteurs et leur sert l’une des deux attaques suivantes : ...

🔍 Contexte Publié le 27 mai 2026 par Netcraft (auteure : Ginny Spicer), cet article présente une analyse technique d’une vague d’attaques de device code phishing propulsées par le toolkit EvilTokens, ainsi qu’une campagne connexe baptisée GhostPairing ciblant les messageries sécurisées. ⚙️ Mécanisme d’attaque EvilTokens EvilTokens abuse du flux d’autorisation par code d’appareil OAuth 2.0 : L’attaquant vérifie l’existence d’un compte cible via l’endpoint GetCredentialType sur login.microsoftonline.com Une lure est envoyée à la victime contenant une URL ou pièce jointe « nécessitant une authentification » La page malveillante génère un device code au moment du chargement (réinitialisant le délai d’expiration de 15 minutes de Microsoft) La victime entre le code sur l’URL de vérification légitime (ex. microsoft.com/devicelogin) Le client de l’attaquant, en polling sur l’endpoint token, reçoit des access et refresh tokens lui donnant un accès API persistant sous l’identité de la victime Le toolkit intègre : copie automatique du code dans le presse-papiers, design responsive pour mobile, mécanisme anti-bot (case à cocher), et des mécanismes anti-analyse (désactivation du clic droit, obfuscation JavaScript multi-couches, collecte d’informations via ipinfo.io). ...

🔍 Contexte Source : BleepingComputer, publié le 30 mai 2026. Palo Alto Networks a mis à jour son advisory pour signaler l’exploitation active de CVE-2026-0257, une vulnérabilité de contournement d’authentification affectant PAN-OS GlobalProtect (portail et passerelle VPN). 🐛 Vulnérabilité CVE-2026-0257 : contournement des restrictions de sécurité permettant d’établir des connexions VPN non autorisées Sévérité initialement Medium, rehaussée à High suite à l’exploitation active Condition d’exploitation : dispositifs configurés avec les authentication override cookies activés et une configuration de certificat spécifique La faille réside dans la validation des cookies d’override : PAN-OS déchiffre ces cookies avec une clé privée configurée et fait confiance au contenu déchiffré sans vérification de signature Si le même certificat est réutilisé pour les services HTTPS et les cookies d’override, un attaquant peut récupérer la clé publique via la session HTTPS et forger des cookies valides 📅 Chronologie des attaques 17 mai 2026 : première exploitation observée (selon Rapid7) 18 mai 2026 : première vague détectée depuis une infrastructure hébergée par Vultr 21 mai 2026 : deuxième vague détectée, originaire de Dromatics Systems 29 mai 2026 : ajout au catalogue CISA KEV 1er juin 2026 : date limite imposée aux agences fédérales américaines pour mitiger la faille 🎯 Méthode d’attaque Authentification aux passerelles GlobalProtect via des cookies d’override forgés ciblant le compte administrateur local Dans certains cas, connexion VPN établie avec succès, donnant accès aux réseaux internes Dans d’autres cas, le cookie forgé est accepté mais la session VPN complète ne peut être établie Aucun mouvement latéral observé par Rapid7 depuis les dispositifs compromis Rapid7 a développé un proof-of-concept démontrant la récupération des certificats publics, la génération de cookies forgés et l’authentification sans credentials valides 🏢 Impact Exploitation confirmée contre de nombreux clients de Rapid7 MDR Cible : réseaux d’entreprise utilisant GlobalProtect VPN non patché 📄 Type d’article Alerte de sécurité combinant un rapport d’exploitation active. But principal : informer les organisations de l’exploitation en cours de CVE-2026-0257 et documenter les conditions techniques de la vulnérabilité. ...