🌐 Contexte
L’Australian Signals Directorate (ASD/ACSC) a publié le 14 juillet 2026 une alerte de niveau Critique concernant une campagne d’exploitation mondiale ciblant des systèmes de gestion de contenu (CMS), avec un impact confirmé sur de nombreuses PME australiennes.
🎯 Nature de la campagne
Des acteurs malveillants procèdent à un scan massif de sites web à la recherche de vulnérabilités dans des CMS et leurs plugins. Les types de vulnérabilités exploitées incluent :
- Upload de fichiers non authentifié
- Exécution de code à distance (RCE)
- Server-Side Request Forgery (SSRF)
- Désérialisation non sécurisée
L’objectif principal est le déploiement de webshells permettant un accès et un contrôle persistant des serveurs web compromis.
🛠️ Logiciels et CVE exploités
| Logiciel/Plugin | CVE |
|---|---|
| Simple File List (WordPress) | CVE-2025-34085 / CVE-2020-36847 |
| WavePlayer (WordPress) | CVE-2025-12057 |
| BerqWP (WordPress) | CVE-2025-7443 |
| WPBookit (WordPress) | CVE-2025-7852 |
| Ninja Forms (WordPress) | CVE-2026-0740 |
| ThemeREX Addons (WordPress) | CVE-2026-1969 |
| Breeze Cache (WordPress) | CVE-2026-3844 |
| pay-uz | CVE-2026-31843 |
| ACF Extended (WordPress) | CVE-2025-13486 |
| Sneeit Framework | CVE-2025-6389 |
| WPvivid Backup (WordPress) | CVE-2026-1357 |
| Gravity Forms (WordPress) | CVE-2025-12352 |
| GutenKit/Hunk Companion (WordPress) | CVE-2024-9234 (probable) |
| Craft CMS | CVE-2025-32432 |
| MaxSite CMS | CVE-2026-3395 |
| MetInfo CMS | CVE-2026-29014 |
| Joomla JCE | CVE-2026-48907 |
💥 Impact potentiel
Une fois les webshells déployés, les attaquants peuvent :
- Défigurer ou perturber les sites web
- Capturer des identifiants saisis par les utilisateurs
- Uploader des malwares supplémentaires
- Pivoter vers le réseau interne de l’organisation
📄 Type d’article
Il s’agit d’une alerte de sécurité officielle émise par l’ACSC australienne, destinée à un public technique, visant à informer les propriétaires de sites web des menaces actives et à fournir des indicateurs de détection.
🧠 TTPs et IOCs détectés
TTP
- T1190 — Exploit Public-Facing Application (Initial Access)
- T1505.003 — Server Software Component: Web Shell (Persistence)
- T1595.002 — Active Scanning: Vulnerability Scanning (Reconnaissance)
- T1059 — Command and Scripting Interpreter (Execution)
- T1083 — File and Directory Discovery (Discovery)
- T1110 — Brute Force (Credential Access)
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
- T1560 — Archive Collected Data (Collection)
- T1136 — Create Account (Persistence)
- T1021 — Remote Services (Lateral Movement)
IOC
- CVEs :
CVE-2025-34085— NVD · CIRCL - CVEs :
CVE-2020-36847— NVD · CIRCL - CVEs :
CVE-2025-12057— NVD · CIRCL - CVEs :
CVE-2025-7443— NVD · CIRCL - CVEs :
CVE-2025-7852— NVD · CIRCL - CVEs :
CVE-2026-0740— NVD · CIRCL - CVEs :
CVE-2026-1969— NVD · CIRCL - CVEs :
CVE-2026-3844— NVD · CIRCL - CVEs :
CVE-2026-31843— NVD · CIRCL - CVEs :
CVE-2025-13486— NVD · CIRCL - CVEs :
CVE-2025-6389— NVD · CIRCL - CVEs :
CVE-2026-1357— NVD · CIRCL - CVEs :
CVE-2025-12352— NVD · CIRCL - CVEs :
CVE-2024-9234— NVD · CIRCL - CVEs :
CVE-2025-32432— NVD · CIRCL - CVEs :
CVE-2026-3395— NVD · CIRCL - CVEs :
CVE-2026-29014— NVD · CIRCL - CVEs :
CVE-2026-48907— NVD · CIRCL
Malware / Outils
- Webshell (backdoor)
🟡 Indice de vérification factuelle : 50/100 (moyenne)
- ⬜ cyber.gov.au — source non référencée (0pts)
- ✅ 6484 chars — texte complet (fulltext extrait) (15pts)
- ✅ 18 IOCs (IPs/domaines/CVEs) (10pts)
- ⬜ pas d’IOC vérifié (0pts)
- ✅ 10 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ 0/5 CVE(s) confirmée(s) (0pts)
🔗 Source originale : https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/large-scale-exploitation-campaign-targeting-website-content-management-systems-cms