🌐 Contexte

L’Australian Signals Directorate (ASD/ACSC) a publié le 14 juillet 2026 une alerte de niveau Critique concernant une campagne d’exploitation mondiale ciblant des systèmes de gestion de contenu (CMS), avec un impact confirmé sur de nombreuses PME australiennes.

🎯 Nature de la campagne

Des acteurs malveillants procèdent à un scan massif de sites web à la recherche de vulnérabilités dans des CMS et leurs plugins. Les types de vulnérabilités exploitées incluent :

  • Upload de fichiers non authentifié
  • Exécution de code à distance (RCE)
  • Server-Side Request Forgery (SSRF)
  • Désérialisation non sécurisée

L’objectif principal est le déploiement de webshells permettant un accès et un contrôle persistant des serveurs web compromis.

🛠️ Logiciels et CVE exploités

Logiciel/Plugin CVE
Simple File List (WordPress) CVE-2025-34085 / CVE-2020-36847
WavePlayer (WordPress) CVE-2025-12057
BerqWP (WordPress) CVE-2025-7443
WPBookit (WordPress) CVE-2025-7852
Ninja Forms (WordPress) CVE-2026-0740
ThemeREX Addons (WordPress) CVE-2026-1969
Breeze Cache (WordPress) CVE-2026-3844
pay-uz CVE-2026-31843
ACF Extended (WordPress) CVE-2025-13486
Sneeit Framework CVE-2025-6389
WPvivid Backup (WordPress) CVE-2026-1357
Gravity Forms (WordPress) CVE-2025-12352
GutenKit/Hunk Companion (WordPress) CVE-2024-9234 (probable)
Craft CMS CVE-2025-32432
MaxSite CMS CVE-2026-3395
MetInfo CMS CVE-2026-29014
Joomla JCE CVE-2026-48907

💥 Impact potentiel

Une fois les webshells déployés, les attaquants peuvent :

  • Défigurer ou perturber les sites web
  • Capturer des identifiants saisis par les utilisateurs
  • Uploader des malwares supplémentaires
  • Pivoter vers le réseau interne de l’organisation

📄 Type d’article

Il s’agit d’une alerte de sécurité officielle émise par l’ACSC australienne, destinée à un public technique, visant à informer les propriétaires de sites web des menaces actives et à fournir des indicateurs de détection.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1505.003 — Server Software Component: Web Shell (Persistence)
  • T1595.002 — Active Scanning: Vulnerability Scanning (Reconnaissance)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1083 — File and Directory Discovery (Discovery)
  • T1110 — Brute Force (Credential Access)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1560 — Archive Collected Data (Collection)
  • T1136 — Create Account (Persistence)
  • T1021 — Remote Services (Lateral Movement)

IOC

Malware / Outils

  • Webshell (backdoor)

🟡 Indice de vérification factuelle : 50/100 (moyenne)

  • ⬜ cyber.gov.au — source non référencée (0pts)
  • ✅ 6484 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 18 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 10 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/5 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/large-scale-exploitation-campaign-targeting-website-content-management-systems-cms