IOC

🔍 Contexte Publié le 3 avril 2026 sur le blog de BZHunt (https://www.bzhunt.fr/blog/cve_glpi/), cet article présente l’anatomie complète d’une chaîne d’exploitation 0-day découverte en février 2026 dans GLPI, l’outil ITSM open source largement déployé en Europe pour la gestion de parcs informatiques, tickets et inventaires d’actifs. 🐛 Vulnérabilités identifiées Trois CVE ont été assignés, dont deux forment la chaîne critique : CVE-2026-26027 (CVSS 7.5 – High) : Blind Stored XSS non authentifiée via l’endpoint /Inventory. Les champs deviceid, tag et useragent sont stockés sans assainissement HTML dans Agent::handleAgent() et rendus via le filtre Twig |raw, désactivant l’auto-échappement. Périmètre : GLPI 10.0.0–11.0.5. CVE-2026-26026 (CVSS 9.1 – Critical) : SSTI → RCE via double compilation Twig dans QuestionTypeDropdown.php. Le template Twig est reconstruit en concaténant du HTML déjà rendu avec un template non rendu, puis resoumis à renderFromStringTemplate(). La fonction call() (alias de call_user_func_array()) exposée par PhpExtension et les superglobales $_GET/$_POST accessibles comme variables Twig permettent l’exécution de commandes OS. Périmètre : GLPI 11.0.0–11.0.5. CVE-2026-26263 (CVSS 8.1 – High) : SQL Injection non authentifiée dans le moteur de recherche. Indépendante de la chaîne, fera l’objet d’un article séparé. ⛓️ Chaîne d’exploitation complète Injection XSS : envoi d’une requête POST non authentifiée vers /Inventory avec un payload JavaScript dans le champ tag Account Takeover : lorsqu’un administrateur consulte Administration → Agents, le payload s’exécute dans sa session, contourne la protection CSRF en récupérant dynamiquement le token, et crée silencieusement un compte super-administrateur SSTI → RCE : avec le compte créé, l’attaquant injecte {{ call(_get.fn, [_get.a]) }} dans une valeur d’option dropdown, puis déclenche l’exécution via /ajax/common.tabs.php?fn=shell_exec&a=id 💥 Impact Exécution de commandes OS arbitraires sous l’identité du serveur web (www-data) Exfiltration de credentials BDD, fichiers de configuration, données utilisateurs Pivot réseau depuis le serveur GLPI compromis Persistance (web shells, tâches cron, clés SSH, comptes backdoor) Risque supply chain sur l’ensemble du parc IT managé 🛠️ Fichiers clés affectés src/Glpi/Inventory/Conf.php (l.1309) : auth_required = 'none' par défaut src/Agent.php (l.420–434) : stockage sans sanitisation templates/components/form/fields_macros.html.twig (l.787) : filtre |raw src/Glpi/Form/QuestionType/QuestionTypeDropdown.php (l.205) : double compilation src/Glpi/Application/View/Extension/PhpExtension.php (l.90–106) : call() = call_user_func_array() src/Glpi/Application/View/TemplateRenderer.php (l.127–129) : exposition des superglobales 📅 Timeline de divulgation Février 2026 : découverte et signalement à l’équipe GLPI 3 mars 2026 : publication du patch (GLPI 11.0.6) Mars/Avril 2026 : publication de l’article 📄 Nature de l’article Il s’agit d’une analyse technique approfondie (vulnerability research / full disclosure) publiée par BZHunt après patch, incluant des preuves de concept, des extraits de code source, des payloads d’exploitation et une preuve de RCE confirmée sur GLPI 11.0.5. ...

🎯 Contexte Publié le 24 mars 2026 par Halcyon et Beazley Security, ce rapport conjoint analyse une intrusion ransomware attribuée à Pay2Key, groupe lié au gouvernement iranien actif depuis 2020, ayant ciblé une organisation de santé américaine en février 2026. 🕵️ Attribution et contexte géopolitique Pay2Key est suivi sous plusieurs alias : Fox Kitten, Pioneer Kitten, UNC757, Parasite, RUBIDIUM, Lemon Sandstorm. En août 2024, le FBI, la CISA et le DoD Cyber Crime Center ont officiellement attribué ce groupe à l’Iran. L’activité du groupe s’intensifie systématiquement lors de tensions géopolitiques impliquant l’Iran. En fin 2025, le groupe a tenté de vendre son infrastructure RaaS (pour 0,15 BTC) sur des forums underground et sur X/Twitter, sans résolution claire. ...

🔍 Contexte Publié le 2 avril 2026 par la Microsoft Defender Security Research Team, cet article constitue une analyse technique approfondie d’une technique d’attaque observée dans des environnements d’hébergement Linux partagés. L’équipe documente l’abus de webshells PHP contrôlés par cookies HTTP comme canal de commande furtif. 🎯 Technique principale : Cookie-gated PHP webshells Au lieu d’exposer les fonctionnalités malveillantes via des paramètres d’URL ou le corps des requêtes, ces webshells restent dormants jusqu’à la réception de valeurs de cookies spécifiques fournies par l’attaquant. Le mécanisme repose sur la superglobale PHP $_COOKIE, permettant une activation discrète sans modification fréquente des fichiers sur disque. ...

🎯 Contexte Publié le 3 avril 2026 par SafeDep, cet article documente une campagne de supply chain attack via npm ciblant spécifiquement les déploiements Strapi CMS d’une plateforme de paiement en cryptomonnaies identifiée comme Guardarian. La campagne s’est déroulée sur une fenêtre de 13 heures le 3 avril 2026. 📦 Vecteur d’attaque Trente-six packages npm malveillants ont été publiés via 4 comptes sock-puppet (umarbek1233, kekylf12, tikeqemif26, umar_bektembiev1), tous imitant la convention de nommage strapi-plugin-* avec la version 3.6.8 pour paraître légitimes. Chaque package contient 3 fichiers (package.json, index.js, postinstall.js), le payload s’exécutant automatiquement via le hook postinstall sans interaction utilisateur. ...

🔍 Contexte Publié le 4 avril 2026 par CERT Polska, cet article présente une analyse technique approfondie d’un malware Android inédit baptisé cifrat (dérivé du nom de package io.cifnzm.utility67pu), distribué via une infrastructure d’hameçonnage imitant Booking.com. 🎣 Vecteur d’infection initial La chaîne d’infection débute par un email de phishing incitant la victime à cliquer sur un lien qui redirige successivement via : share.google/Yc9fcYQCgnKxNfRmH booking.interaction.lat/starting/ Cette page présente une fausse invite de mise à jour de sécurité Booking.com et déclenche le téléchargement d’un APK malveillant : com.pulsebookmanager.helper.apk. ...

🗓️ Contexte Article publié le 4 avril 2026 par Luke Jennings sur le blog de Push Security. Il s’agit d’une analyse technique approfondie de la montée en puissance du device code phishing en 2026, technique exploitant le flux OAuth 2.0 Device Authorization Grant. 📈 Tendance observée Push Security a observé une augmentation de 37,5x des pages de device code phishing détectées en 2026 par rapport à l’année précédente. Dix kits distincts ont été identifiés en circulation, dont le plus prominent est EvilTokens, premier kit PhaaS (Phishing-as-a-Service) criminel dédié au device code phishing, lancé en février 2026. ...

🔍 Contexte Article publié le 3 avril 2026 par Tammy Harper, Senior Threat Intelligence Researcher chez Flare.io, sur LinkedIn. L’article présente une analyse technique d’un outil offensif commercial nommé Pentagram, commercialisé comme solution automatisée d’acquisition de comptes VPN d’entreprise. 🛠️ Description de l’outil Pentagram est une plateforme modulaire composée d’un panel web centralisé et de workers distribués. La communication backend s’effectue via I2P pour assurer l’anonymat de l’opérateur. Les binaires distribués incluent pentagram.exe et i2pd.exe. ...

🔍 Contexte Article technique publié le 26 mars 2026 par Paul Meyer (Edgeless Systems) sur le blog katexochen.aro.bz. L’auteur décrit la reproduction complète de l’attaque BadAML contre la plateforme Contrast (runtime Kubernetes basé sur des CVMs) et la mise en place d’une mitigation. 🎯 Description de l’attaque BadAML BadAML est une attaque exploitant les tables ACPI fournies par l’hôte pour obtenir une exécution de code arbitraire à l’intérieur de VMs confidentielles (CVMs), contournant leurs garanties d’isolation mémoire. ...

🔍 Contexte Publié le 2 avril 2026 par Rapid7, cet article accompagne la sortie d’un whitepaper technique dédié à de nouveaux variants du backdoor BPFDoor, un implant Linux furtif utilisé dans des campagnes d’espionnage attribuées à des acteurs chinois. L’analyse couvre sept variants inédits (désignés F à L) identifiés lors de recherches en cours. 🧬 Variants identifiés Variant F : Se dissimule sous /var/run/user/0 pour éviter les logs auditd liés à chmod Effectue un wipe complet des file descriptors et du timestomping Utilise un filtre BPF de 26 instructions avec de nouveaux magic bytes Deux ensembles de magic bytes distincts selon les samples Variant G : ...

🔍 Contexte Publié le 27 mars 2026 sur le blog personnel d’Abdullah Islam, cet article constitue une analyse technique approfondie d’une campagne attribuée au groupe APT Mustang Panda (lié à la Chine), ciblant des entités gouvernementales, diplomatiques et des ONG. L’échantillon analysé a été observé pour la première fois le 17 mars 2026. 🎯 Vecteur d’infection initial La chaîne d’infection débute par un fichier ZIP de spear-phishing nommé Energy_Infrastructure_Situation_Note_Tehran_Province_2026.zip, suggérant un ciblage lié à l’infrastructure énergétique iranienne. Un fichier LNK malveillant déclenche silencieusement un script PowerShell en fenêtre cachée (-w H). ...