CISA ajoute CVE-2026-45659 au KEV : RCE activement exploitée dans SharePoint Server

📰 Contexte Source : SOCRadar, publié le 2 juillet 2026. La CISA a officiellement ajouté CVE-2026-45659 à son catalogue Known Exploited Vulnerabilities (KEV) le 1er juillet 2026, avec une date limite de remédiation fixée au 4 juillet 2026. 🔍 Description de la vulnérabilité CVE-2026-45659 (CVSS 8.8) affecte Microsoft SharePoint Server on-premises (non SharePoint Online). Elle est causée par une désérialisation de données non fiables (CWE-502), permettant l’exécution de code arbitraire à distance (RCE). ...

3 juillet 2026 · 2 min

CVE-2026-33825 (BlueHammer) dans Microsoft Defender exploitée dans des attaques ransomware

📰 Source : SecurityWeek — Date de publication : 30 juin 2026 La CISA (agence américaine de cybersécurité) a signalé l’exploitation active de la vulnérabilité BlueHammer, identifiée sous la référence CVE-2026-33825, dans le cadre d’attaques ransomware. Cette faille affecte Microsoft Defender. 🔍 Contexte de divulgation BlueHammer fait partie d’une série d’exploits rendus publics par un chercheur mécontent opérant sous les pseudonymes Chaotic Eclipse et Nightmare Eclipse. Ce chercheur a choisi de divulguer publiquement plusieurs vulnérabilités avant que Microsoft n’ait pu publier des correctifs, en réaction à ce qu’il perçoit comme une mauvaise gestion des rapports de vulnérabilités par l’éditeur. ...

3 juillet 2026 · 2 min

Un chercheur anonyme publie des exploits 0-day pour 15 produits sans notification préalable

🗓️ Contexte Publié le 29 juin 2026 par The Register, cet article rapporte la divulgation publique non coordonnée d’exploits zero-day par un chercheur anonyme se faisant appeler bikini, via un dépôt GitHub nommé exploitarium (depuis supprimé). 🎯 Nature de l’incident Le chercheur a publié du code d’exploitation fonctionnel pour des vulnérabilités zero-day affectant 15 produits logiciels et projets open source, sans notification préalable d’aucun éditeur ni mainteneur. Deux de ces vulnérabilités font l’objet d’une exploitation active au moment de la publication. ...

30 juin 2026 · 3 min

CISA alerte sur 4 vulnérabilités critiques exploitées dans Ubiquiti UniFi OS et Lantronix EDS5000

🛡️ Contexte Le 24 juin 2026, la CISA (Cybersecurity and Infrastructure Security Agency) a publié une alerte via sa directive BOD 26-04, signalant l’exploitation active de quatre vulnérabilités affectant des équipements réseau largement déployés. Les agences fédérales américaines disposent de trois jours pour appliquer les correctifs ou les mitigations recommandées. 🔴 Vulnérabilités Ubiquiti UniFi OS Trois CVE ont été ajoutées au catalogue KEV pour les équipements Ubiquiti UniFi OS : CVE-2026-34908 : Contournement de contrôle d’accès permettant à un attaquant non authentifié d’effectuer des modifications non autorisées, pouvant mener à une compromission totale du système. CVE-2026-34909 : Traversée de répertoire (path traversal) permettant l’accès à des fichiers sensibles (configurations, credentials), facilitant une prise de contrôle de compte. CVE-2026-34910 : Validation d’entrée incorrecte permettant l’injection et l’exécution de commandes OS arbitraires, pouvant conduire à une exécution de code à distance (RCE). Ubiquiti a publié des correctifs en mai 2026. Les chercheurs de Bishop Fox ont démontré que ces trois failles peuvent être chaînées pour obtenir un RCE complet avec privilèges élevés. Bishop Fox a également publié un script de détection gratuit sur GitHub. ...

26 juin 2026 · 3 min

FortiBleed : campagne de collecte de credentials ciblant les équipements FortiGate

🔍 Contexte Le 19 juin 2026, Fortinet publie sur son blog PSIRT une analyse officielle d’une campagne malveillante baptisée FortiBleed, ciblant des équipements FortiGate dans le cadre d’une opération de credential harvesting. 🎯 Nature de l’activité Selon Fortinet, cette campagne repose sur deux vecteurs principaux : Réutilisation de credentials issus d’incidents antérieurs référencés FG-IR-26-060 et FG-IR-25-647 Attaques par force brute contre des appareils présentant une politique de mots de passe faible et sans authentification multi-facteurs (MFA) Fortinet précise explicitement qu’il ne s’agit pas d’une nouvelle vulnérabilité et que cette activité n’est pas liée à un incident ou advisory récent. ...

23 juin 2026 · 2 min

Suisse : escroquerie hybride combinant faux avis postal physique et hameçonnage numérique

📋 Contexte Signalement reçu par l’Office fédéral de la cybersécurité (OFCS) suisse, publié le 16 juin 2026 dans le cadre de son bilan hebdomadaire. L’information provient d’un signalement citoyen transmis à l’autorité nationale. 🎯 Description de l’attaque La campagne repose sur une méthode d’escroquerie hybride combinant deux vecteurs : Vecteur physique : dépôt dans les boîtes aux lettres de faux avis de passage imitant ceux de la Poste Suisse Vecteur numérique : les documents physiques servent de point d’entrée vers des techniques d’hameçonnage (phishing) en ligne 🏷️ Caractérisation Cette technique, parfois appelée « phishing hybride » ou « smishing/vishing physique », exploite la confiance accordée aux communications postales officielles pour rediriger les victimes vers des infrastructures frauduleuses numériques. L’usurpation de l’identité de la Poste Suisse constitue le prétexte d’ingénierie sociale. ...

21 juin 2026 · 2 min

Exploitation active de CVE-2026-41089 : RCE critique dans Windows Netlogon

📰 Contexte Publié le 1er juin 2026 par BleepingComputer, cet article rapporte l’alerte émise par le Centre pour la Cybersécurité Belgique (CCB) concernant l’exploitation active dans la nature d’une vulnérabilité critique récemment corrigée dans Windows Netlogon. 🔍 Vulnérabilité CVE-2026-41089 CVE-2026-41089 est un stack-based buffer overflow dans le service Windows Netlogon (interface RPC utilisée pour l’authentification sur les réseaux de domaine Windows). Elle permet à un attaquant non authentifié d’obtenir une exécution de code à distance (RCE) sur des contrôleurs de domaine ciblés. ...

6 juin 2026 · 3 min

Kali365 : le FBI alerte sur une plateforme PhaaS ciblant Microsoft 365 via device code phishing

🔍 Contexte Le 25 mai 2026, BleepingComputer relaie une alerte du FBI concernant la plateforme Kali365, un service de phishing-as-a-service (PhaaS) apparu en avril 2026 et distribué via Telegram. Cette alerte s’appuie également sur des recherches publiées par Arctic Wolf. ⚙️ Mécanisme d’attaque Kali365 exploite le flux OAuth 2.0 Device Authorization Grant de Microsoft, conçu à l’origine pour les appareils à capacités d’entrée limitées (TV connectées, imprimantes, IoT). Le processus d’attaque se déroule ainsi : ...

28 mai 2026 · 3 min

Qilin RaaS achète des accès initiaux à la campagne de phishing ZipLine en Autriche et Suisse

📌 Contexte Source : CERT.at — Publication du 27 mai 2026. Le CERT autrichien publie une alerte concernant une collaboration observée entre la campagne de phishing ZipLine et le groupe Qilin, opérant sous un modèle Ransomware-as-a-Service (RaaS). 🔗 Chaîne d’attaque Le CERT.at indique que Qilin acquiert des accès initiaux (Initial Access) auprès des opérateurs de la campagne ZipLine, puis les réutilise pour ses propres opérations de chiffrement et d’extorsion. Des cas confirmés ont été recensés en Autriche, et un incident en Suisse a également identifié la chaîne ZipLine comme cause racine. ...

28 mai 2026 · 2 min

CVE-2026-9082 : Injection SQL dans Drupal JSON:API ajoutée au catalogue KEV de la CISA

🗓️ Contexte Source : CrowdSec VulnTracking, publié le 25 mai 2026. CrowdSec suit activement les tentatives d’exploitation de CVE-2026-9082, une vulnérabilité de type SQL injection affectant le cœur de Drupal via les paramètres de filtre de l’API JSON:API sur les endpoints /jsonapi/. 📅 Chronologie des événements 20 mai 2026 : Drupal publie l’advisory de sécurité SA-CORE-2026-004 21 mai 2026 : CrowdSec observe les premières tentatives de sondage (probing) 22 mai 2026 : CrowdSec publie une règle de détection ; CISA ajoute CVE-2026-9082 au catalogue KEV (Known Exploited Vulnerabilities) 23 mai 2026 : Première exploitation confirmée sur le réseau CrowdSec 25 mai 2026 : 68 IPs attaquantes distinctes observées 🔍 Détails techniques CVE-2026-9082 est causée par une neutralisation incorrecte d’entrées contrôlées par l’attaquant dans les clés de paramètres de filtre JSON:API. Des métacaractères SQL peuvent être injectés directement dans la clé du filtre (et non uniquement dans la valeur), via des requêtes HTTP vers des endpoints /jsonapi/ exposés publiquement. ...

25 mai 2026 · 2 min
Dernière mise à jour le: 4 juillet 2026 📝