RCE non authentifiée dans Cisco Unified Communications Manager via SSRF et écriture de fichier arbitraire

🔍 Contexte PubliĂ© le 23 juin 2026 par l’équipe technique de SSD Secure Disclosure, cet article prĂ©sente une analyse technique complĂšte d’une vulnĂ©rabilitĂ© critique affectant Cisco Unified Communications Manager (CUCM) version 15.0.1.13901-2, dĂ©couverte par un chercheur indĂ©pendant. 🎯 Nature de la vulnĂ©rabilitĂ© La vulnĂ©rabilitĂ© CVE-2026-20230 est une chaĂźne d’exploitation combinant plusieurs failles : Un endpoint non authentifiĂ© /installClusterStatusExecute exposĂ© via le servlet ClusterInstallStatusServlet dans web.xml Une SSRF (Server-Side Request Forgery) exploitable via des requĂȘtes HTTPS, contournant la validation d’hĂŽte grĂące Ă  l’obtention du vrai hostname via /webdialer/Version.jws?wsdl Une Ă©criture de fichier arbitraire inspirĂ©e de la vulnĂ©rabilitĂ© historique CVE-2019-0227 (Axis 1.4), permettant de dĂ©poser un fichier WSDD malveillant ⚙ ChaĂźne d’exploitation Reconnaissance : rĂ©cupĂ©ration du hostname rĂ©el via https://<cible>/webdialer/Version.jws?wsdl SSRF + Ă©criture de fichier : envoi d’une requĂȘte GET vers /cmplatform/installClusterStatusExecute avec un payload encodĂ© crĂ©ant un nouveau service Axis (randomR11) via un descripteur WSDD DĂ©ploiement d’un premier webshell (aaa.jsp) via le service randomR11 pour Ă©crire des fichiers arbitraires DĂ©ploiement d’un webshell final (c.jsp) permettant l’exĂ©cution de commandes systĂšme arbitraires ExĂ©cution de commandes via https://<cible>/platform-services/axis2-web/c.jsp?pwd=123&i=id đŸ› ïž Composants techniques impliquĂ©s Fichier de configuration : \jakarta-tomcat\webapps\cmplatform\WEB-INF\web.xml Classe vulnĂ©rable : com.cisco.ccm.cmplatform.servlets.ClusterInstallStatusServlet Filtre de sĂ©curitĂ© contournĂ© : com.cisco.ccm.common.security.InjectionFilter MĂ©canisme d’exploitation : Apache Axis LogHandler pour Ă©criture de fichiers Webshells dĂ©posĂ©s : aaa.jsp, c.jsp đŸ©č Correctif Cisco a publiĂ© un correctif disponible via l’advisory officiel cisco-sa-cucm-ssrf-cXPnHcW. ...

23 juin 2026 Â· 3 min

SOCRadar documente FortiBleed, une campagne d'un IAB russophone ayant compromis plus de 430 000 FortiGate

🔍 Contexte Le 23 juin 2026, SOCRadar Threat Research Unit (STRU) publie un rapport technique dĂ©taillĂ© sur la campagne FortiBleed, une opĂ©ration de collecte massive de credentials ciblant les pare-feux FortiGate Ă  l’échelle mondiale. L’investigation a dĂ©butĂ© suite Ă  un post LinkedIn du chercheur Volodymyr « Bob » Diachenko signalant un rĂ©pertoire exposĂ© Ă  l’adresse http://85.11.187.8:9999. 🎯 Acteur et motivation L’acteur est Ă©valuĂ© comme un Initial Access Broker (IAB) Ă  motivation financiĂšre, avec une origine russe probable (commentaires en cyrillique dans les outils). La compromission d’un contractant de dĂ©fense alignĂ© OTAN soulĂšve Ă©galement l’hypothĂšse d’une collaboration avec des groupes Ă©tatiques russes. La campagne est active depuis au moins fĂ©vrier 2026. ...

23 juin 2026 Â· 10 min

Tata Electronics victime d'une cyberattaque exposant des secrets Apple et Tesla

đŸ—“ïž Contexte Article publiĂ© par Reuters le 22 juin 2026, basĂ© sur des informations de chercheurs en cybersĂ©curitĂ© et une dĂ©claration officielle de Tata Electronics. L’incident a Ă©tĂ© rendu public aprĂšs la dĂ©couverte de donnĂ©es volĂ©es sur le dark web. 🎯 Incident Tata Electronics, l’un des principaux partenaires de fabrication d’Apple en Inde, a confirmĂ© avoir dĂ©tectĂ© un incident de cybersĂ©curitĂ© sur certains de ses systĂšmes il y a plusieurs semaines. La sociĂ©tĂ© a indiquĂ© que ses opĂ©rations restent non affectĂ©es. ...

23 juin 2026 Â· 2 min

Vidar Stealer : contournement de l'ABE via scan mémoire et injections APC

🔍 Contexte PubliĂ© le 18 juin 2026 par Vojtěch Krejsa, chercheur chez Gen Digital, cet article constitue une analyse technique approfondie du mĂ©canisme de contournement de l’Application-Bound Encryption (ABE) implĂ©mentĂ© dans le stealer Vidar, version 2.1. đŸ§© Technique de bypass ABE Vidar adopte une approche similaire Ă  Remus/Lumma en extrayant la v20_master_key directement depuis la mĂ©moire du navigateur, mais avec une mĂ©thode distincte en deux phases : Phase 1 – Localisation de la clĂ© en mĂ©moire Si le navigateur est dĂ©jĂ  en cours d’exĂ©cution, Vidar crĂ©e un fork du processus via NtCreateProcessEx avec SectionHandle = NULL, produisant un snapshot mĂ©moire statique (copy-on-write, sans threads). Si aucun navigateur n’est actif, Vidar crĂ©e un bureau isolĂ© (CreateDesktopA) nommĂ© v20_%d et lance le navigateur avec --no-first-run --disable-gpu about:blank. Jusqu’à 64 processus navigateur sont Ă©numĂ©rĂ©s et traitĂ©s indĂ©pendamment. La mĂ©moire est scannĂ©e via NtQueryVirtualMemory et NtReadVirtualMemory, ciblant les rĂ©gions MEM_COMMIT, MEM_PRIVATE, PAGE_READONLY ou PAGE_READWRITE (jusqu’à 4096 rĂ©gions). Le scan parallĂšle (64 threads) recherche un pattern de 32 octets : 76 32 30 00 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 03 00 00 00 00 01 ?? ?? correspondant Ă  un nƓud de Chromium::Encryptor::KeyRing. Un systĂšme de vote majoritaire filtre les candidats. Phase 2 – DĂ©chiffrement via injection APC La clĂ© est protĂ©gĂ©e par CryptProtectMemory avec le flag CRYPTPROTECTMEMORY_SAME_PROCESS, nĂ©cessitant une exĂ©cution depuis le processus navigateur. Vidar sĂ©lectionne l’une de deux mĂ©thodes d’injection APC selon la prĂ©sence d’ESET ou Bitdefender : MĂ©thode « classic » (si ESET/Bitdefender dĂ©tectĂ©) : crĂ©ation d’un thread suspendu via CreateRemoteThread (start address NtTestAlert), queue APC via NtQueueApcThread, reprise du thread. MĂ©thode « special » (sinon) : Ă©numĂ©ration des threads existants via CreateToolhelp32Snapshot/Thread32First/Thread32Next, ouverture via NtOpenThread, injection via NtQueueApcThreadEx2 avec QUEUE_USER_APC_FLAGS_SPECIAL_USER_APC (exĂ©cution immĂ©diate, sans Ă©tat alertable requis). La routine APC injectĂ©e est CryptUnprotectMemory appelĂ©e avec l’adresse candidate, taille 32 octets, et CRYPTPROTECTMEMORY_SAME_PROCESS. Vidar crĂ©e un second fork pour lire la clĂ© dĂ©chiffrĂ©e et vĂ©rifie via dĂ©chiffrement AES-256-GCM (BCryptDecrypt). AprĂšs lecture, Vidar rĂ©injecte CryptProtectMemory pour restaurer l’état du navigateur. En cas d’échec total, Vidar termine tous les processus navigateur, les redĂ©marre et rĂ©pĂšte le cycle. 📌 IoC SHA1 Vidar 2.1 : 459daa809751e73f60fbbe4384a7d1653c36bb06945e4eb363527092424110a 📄 Nature de l’article Il s’agit d’une publication de recherche technique Ă  visĂ©e CTI, documentant prĂ©cisĂ©ment les mĂ©canismes internes d’un stealer actif pour permettre la dĂ©tection et la comprĂ©hension de ses techniques d’évasion. ...

23 juin 2026 Â· 3 min

đŸȘČ Semaine 25 — CVE les plus discutĂ©es

Cette page prĂ©sente les vulnĂ©rabilitĂ©s les plus discutĂ©es sur les sources publiques (Fediverse, Bluesky, GitHub, blogs) sur la pĂ©riode analysĂ©e. PĂ©riode analysĂ©e : 2026-06-14 → 2026-06-21. Les donnĂ©es sont collectĂ©es via Vulnerability-Lookup (CIRCL) et enrichies automatiquement afin d’aider Ă  la priorisation de la veille et de la remĂ©diation. 📌 LĂ©gende : CVSS : score officiel de sĂ©vĂ©ritĂ© technique. EPSS : probabilitĂ© d’exploitation observĂ©e. VLAI : estimation de sĂ©vĂ©ritĂ© basĂ©e sur une analyse IA du contenu de la vulnĂ©rabilitĂ©. CISA KEV : vulnĂ©rabilitĂ© activement exploitĂ©e selon la CISA. seen / exploited : signaux observĂ©s dans les sources publiques. CVE-2026-20253 CVSS: 9.8 EPSS: 10.04% VLAI: Critical (confidence: 0.8499) CISA: KEV ProduitSplunk — Splunk Enterprise PubliĂ©2026-06-10T17:16:21.242Z In Splunk Enterprise 10.2 versions below 10.2.4 and 10 versions below 10.0.7, an unauthenticated user could create or truncate arbitrary files through a PostgreSQL sidecar service endpoint. The vulnerability exists because the PostgreSQL sidecar service endpoint lacks authentication controls, allowing any network-reachable user to invoke file operations without credentials. Splunk Enterprise versions 9.4 and earlier are not affected. If you cannot immediately upgrade to a fixed version, you can mitigate this vulnerability by disabling the PostgreSQL sidecar service. ...

22 juin 2026 Â· 21 min

Attaque supply chain npm Mastra AI attribuée au groupe nord-coréen Sapphire Sleet

🎯 Contexte Source : BleepingComputer, publiĂ© le 20 juin 2026. Microsoft a officiellement attribuĂ©, dans une mise Ă  jour du 19 juin 2026, une attaque de type supply chain ciblant l’écosystĂšme npm du framework Mastra AI au groupe nord-corĂ©en Sapphire Sleet, Ă©galement connu sous le nom de BlueNoroff. 🔓 Vecteur d’attaque initial Les attaquants ont compromis le compte npm du mainteneur “ehindero”, qui disposait de droits de publication sur l’ensemble de l’environnement de packages Mastra. Ce compte a Ă©tĂ© utilisĂ© pour publier des mises Ă  jour malveillantes sur plus de 140 packages dans le scope @mastra. ...

22 juin 2026 Â· 3 min

Prinz Eugen : analyse d'un nouveau ransomware en Go ciblant Standard Bank Group

🔍 Contexte Le 18 juin 2026, ThreatDown publie une analyse approfondie d’une nouvelle famille de ransomware baptisĂ©e Prinz Eugen, dĂ©couverte lors d’une investigation client le 11 mai 2026. La premiĂšre mention publique de ce groupe remonte au 16 avril 2026, via un post sur les rĂ©seaux sociaux signalant l’apparition d’un portail de fuite visant Standard Bank Group, une institution financiĂšre majeure en Afrique du Sud. 🩠 CaractĂ©ristiques techniques du malware L’encrypteur prĂ©sente plusieurs caractĂ©ristiques techniques notables : ...

22 juin 2026 Â· 2 min

Prinz Eugen : nouveau ransomware Go ciblant les fichiers récents sans note de rançon

🔍 Contexte Source : BleepingComputer, publiĂ© le 20 juin 2026. L’analyse technique est issue de Threatdown (branche entreprise de Malwarebytes). L’article dĂ©crit une nouvelle opĂ©ration ransomware nommĂ©e Prinz Eugen, identifiĂ©e lors d’investigations sur des incidents rĂ©els. 🎯 AccĂšs initial et persistance L’accĂšs initial est vraisemblablement obtenu via des identifiants RDP volĂ©s Le payload principal, servertool.exe, est tĂ©lĂ©chargĂ© et exĂ©cutĂ© manuellement (style hands-on-keyboard) L’outil RMM lĂ©gitime RemotePC est utilisĂ© pour maintenir l’accĂšs Un compte administrateur backdoor assure la persistance Les attaquants privilĂ©gient les outils lĂ©gitimes (RMM, living-off-the-land) 🔐 StratĂ©gie de chiffrement Malware dĂ©veloppĂ© en Go Priorise les fichiers les plus rĂ©cemment modifiĂ©s ; en cas d’horodatage identique, traitement par ordre alphabĂ©tique Parcours rĂ©cursif des rĂ©pertoires sans limite de profondeur ni exclusion Extension utilisĂ©e pour les fichiers chiffrĂ©s : .prinzeugen Algorithme de chiffrement : ChaCha20-Poly1305 avec clĂ© maĂźtre de 32 octets DĂ©rivation de clĂ© via Argon2id, SHA-256 et HKDF-SHA256 Vecteur d’initialisation alĂ©atoire par fichier Traitement par blocs de 1 Mo, intĂ©gritĂ© vĂ©rifiĂ©e via SHA-256 Avec le flag --delete : vĂ©rification de dĂ©chiffrabilitĂ© avant suppression du fichier original La clĂ© de chiffrement est Ă©crasĂ©e avec des zĂ©ros, le garbage collector est forcĂ©, puis le binaire s’auto-supprime đŸš« Absence de note de rançon Aucune note de rançon dĂ©posĂ©e sur le systĂšme, aucun changement de fond d’écran Les communications de rançon se font hors-bande (email direct, contact tĂ©lĂ©phonique, portail dark web) Cette tactique rĂ©duit les artefacts forensiques et complique la dĂ©tection automatisĂ©e de la phase d’extorsion đŸ‘„ Victimes et modĂšle opĂ©rationnel Pas de modĂšle RaaS, pas de recrutement d’affiliĂ©s identifiĂ© Au moins 5 victimes identifiĂ©es par Threatdown Le site de fuite liste actuellement 3 victimes Les attaques combinent chiffrement et/ou exfiltration de donnĂ©es Dans le cas de Standard Bank, une rançon de 1 BTC a Ă©tĂ© demandĂ©e et refusĂ©e 📄 Type d’article Analyse technique publiĂ©e par BleepingComputer sur la base d’un rapport Threatdown, visant Ă  documenter les TTPs, la mĂ©canique de chiffrement et les IoCs d’une nouvelle opĂ©ration ransomware. ...

22 juin 2026 Â· 3 min

15 plugins malveillants sur JetBrains Marketplace volent des clés API d'IA aux développeurs

🔍 Contexte Source : BleepingComputer, publiĂ© le 16 juin 2026. La sociĂ©tĂ© Aikido Security a dĂ©couvert une campagne malveillante coordonnĂ©e ciblant les dĂ©veloppeurs via le JetBrains Marketplace, la place de marchĂ© officielle des plugins pour les IDE JetBrains (IntelliJ, PyCharm, etc.). 🎯 Nature de l’attaque Au moins 15 plugins malveillants, publiĂ©s sous 7 comptes vendeurs distincts, ont Ă©tĂ© identifiĂ©s. Ces plugins se prĂ©sentent comme des assistants de codage IA, des outils de revue de code et des utilitaires Git s’appuyant sur des services populaires tels qu’OpenAI, DeepSeek et SiliconFlow. Ils fonctionnent comme annoncĂ© mais intĂšgrent un comportement cachĂ© d’exfiltration de credentials. ...

21 juin 2026 Â· 3 min

AryStinger : un botnet compromet plus de 4 300 routeurs anciens pour des attaques mondiales

🔍 Contexte PubliĂ© le 17 juin 2026 par les chercheurs Alex.Turing et Acey9 du laboratoire XLab de QiAnXin, cet article prĂ©sente une analyse technique dĂ©taillĂ©e du botnet AryStinger, dĂ©couvert le 12 mars 2026 via le systĂšme de surveillance rĂ©seau XLab. 🎯 Campagne et vecteurs d’infection Les attaquants exploitent des vulnĂ©rabilitĂ©s anciennes pour compromettre des Ă©quipements rĂ©seau : CVE-2013-3307 et CVE-2016-5681 : ciblant des routeurs Linksys et D-Link basĂ©s sur les puces RTL819X (Ăšre 2012-2015) CVE-2025-11837 : ciblant des pĂ©riphĂ©riques NAS (dĂ©tectĂ© le 26 avril 2026) Le vecteur initial est un script shell tĂ©lĂ©chargeant et exĂ©cutant l’échantillon AryStinger depuis le serveur hgodpcx.ajb8.com. ...

21 juin 2026 Â· 4 min
Derniùre mise à jour le: 10 juillet 2026 📝