Zero-Day

🔍 Contexte Publié le 02/04/2026 par Octagon Networks sur pwn.ai, cet article détaille une recherche offensive autonome menée par l’agent IA pwn.ai pendant près de 5 jours, initiée lors d’un engagement client sur une application web minimaliste dont la seule surface d’attaque était une boîte d’upload traitant les fichiers via ImageMagick. 🎯 Découvertes principales La recherche a abouti à la découverte de multiples zero-days dans ImageMagick affectant toutes les distributions Linux majeures (Ubuntu 22.04, Debian, Fedora, RHEL, Arch, Alpine, Amazon Linux, macOS Homebrew, Docker) ainsi que les installations WordPress. ...

Selon CrowdStrike Intelligence, LABYRINTH CHOLLIMA s’est scindé en trois unités distinctes — GOLDEN CHOLLIMA, PRESSURE CHOLLIMA et LABYRINTH CHOLLIMA — aux malwares, objectifs et modes opératoires spécialisés, tout en partageant une base tactique et une infrastructure commune. 🎯 GOLDEN CHOLLIMA: cible des régions économiquement développées à forte activité cryptomonnaie/fintech (U.S., Canada, Corée du Sud, Inde, Europe occidentale). Opère à un tempo régulier avec des vols de moindre valeur, suggérant une mission de génération de revenus. Outillage issu de Jeus/AppleJeus (depuis 2018) et d’un « toolkit » fintech (recouvrements avec PipeDown, DevobRAT, HTTPHelper, Anycon). En 2024, livraisons de packages Python malveillants via fraude au recrutement, pivot cloud vers les IAM et détournement d’actifs crypto. Observée aussi l’exploitation de zero-days Chromium et des déploiements de SnakeBaker et sa variante JS NodalBaker (juin 2025) chez des fintechs. ...

Source: Help Net Security — Ivanti a publié des correctifs provisoires pour deux vulnérabilités critiques touchant Endpoint Manager Mobile (EPMM), dont l’une est activement exploitée et listée par la CISA. 🚨 Vulnérabilités: CVE-2026-1281 (activement exploitée, ajoutée au catalogue KEV de la CISA) et CVE-2026-1340. 🧩 Nature des failles: injection de code affectant les fonctionnalités In-House Application Distribution et Android File Transfer Configuration d’EPMM. 🎯 Impact potentiel: exécution de code à distance (RCE) par des attaquants non authentifiés sur des installations on‑premises d’EPMM vulnérables. 🛠️ Mesure d’éditeur: publication de correctifs temporaires (provisional patches) pour atténuer ces failles critiques. Type d’article: patch de sécurité — objectif principal: annoncer des correctifs temporaires et alerter sur une exploitation active d’une vulnérabilité critique. ...

Selon Help Net Security, Fortinet a commencé à diffuser des versions de FortiOS corrigeant CVE-2026-24858, une vulnérabilité critique exploitée permettant à des attaquants de se connecter aux pare-feux FortiGate via FortiCloud SSO. • Vulnérabilité et périmètre affecté. CVE-2026-24858 est un contournement d’authentification par chemin ou canal alternatif permettant à un titulaire d’un compte FortiCloud avec un appareil enregistré de se connecter à d’autres appareils rattachés à d’autres comptes, lorsque FortiCloud SSO est activé. Les produits concernés incluent FortiOS, FortiAnalyzer et FortiManager; la mise à jour du 29 janvier ajoute FortyProxy et FortiWeb. Fortinet précise que FortiManager Cloud, FortiAnalyzer Cloud, FortiGate Cloud ne sont pas impactés, et que les configurations SSO avec fournisseur d’identité tiers (SAML), y compris FortiAuthenticator, ne sont pas affectées. ...

Source: BleepingComputer — Ivanti a divulgué deux failles critiques dans Endpoint Manager Mobile (EPMM), CVE‑2026‑1281 et CVE‑2026‑1340, exploitées comme zero‑days, et a publié des mesures de mitigation. ⚠️ Nature de la menace: deux vulnérabilités d’injection de code permettant une exécution de code à distance (RCE) sans authentification sur les appliances EPMM. Les deux CVE sont notées CVSS 9.8 (critique). Ivanti signale un nombre très limité de clients touchés au moment de la divulgation. ...

Source: BleepingComputer — Microsoft diffuse des mises à jour de sécurité hors bande pour corriger une vulnérabilité zero‑day de haute gravité dans Microsoft Office, identifiée comme CVE‑2026‑21509 et déjà exploitée en attaques. ⚠️ Vulnérabilité: CVE‑2026‑21509 est un contournement de fonctionnalité de sécurité qui permet de bypasser les mitigations OLE protégeant contre des contrôles COM/OLE vulnérables. L’attaque est de faible complexité, requiert une interaction utilisateur (ouverture d’un fichier Office malveillant), et n’implique pas le volet de prévisualisation. Produits affectés: Office 2016, Office 2019, Office LTSC 2021, Office LTSC 2024, Microsoft 365 Apps for Enterprise. ...

Selon Malwarebytes, Apple a corrigé le 12 décembre 2025 deux vulnérabilités zero‑day dans WebKit, déjà exploitées dans la nature et associées à un spyware mercenaire, et oriente désormais les utilisateurs d’iPhone 11 et plus récents vers iOS 26+, seule branche bénéficiant des correctifs et de nouvelles protections mémoire. • Portée et impact: WebKit alimente Safari et de nombreuses applications iOS, ce qui en fait une large surface d’attaque. Les failles permettaient l’exécution de code arbitraire via du contenu web malveillant, avec un risque qui s’étend au simple affichage d’e‑mails HTML dans Apple Mail. Apple confirme une exploitation active de ces vulnérabilités. ...

Selon BleepingComputer (article de Bill Toulas), s’appuyant sur une analyse de Huntress, des acteurs de la menace sino-phones ont utilisé un équipement VPN SonicWall compromis pour livrer un kit d’exploit permettant une évasion de machine virtuelle sur VMware ESXi, potentiellement un an avant la divulgation publique des vulnérabilités visées. Nature de l’attaque : chaîne d’exploits d’« évasion de VM » contre VMware ESXi depuis une VM invitée vers l’hyperviseur, avec déploiement d’un backdoor VSOCK sur l’hôte ESXi. 🚨 Point d’entrée : VPN SonicWall compromis, pivot avec un compte Domain Admin, RDP vers des contrôleurs de domaine, préparation d’exfiltration, puis exécution de la chaîne d’exploit. Cible pressentie : ESXi 8.0 Update 3 (indice dans les chemins de build). Des éléments en chinois simplifié et un README en anglais suggèrent un développement modulaire potentiellement destiné à être partagé/vendu. Vulnérabilités impliquées (corrélées par le comportement observé, sans confirmation absolue) : ...

TechCrunch relaie que Cisco a confirmé l’exploitation active d’une vulnérabilité zero‑day (CVE‑2025‑20393) visant certains de ses produits email, par un groupe de hackers soutenus par l’État chinois, avec une campagne en cours depuis fin novembre 2025 selon Talos. 🚨 Nature de l’attaque et vulnérabilité: des acteurs étatiques chinois exploitent une zero‑day (CVE‑2025‑20393) affectant les Cisco Secure Email Gateway et Secure Email and Web Manager. La campagne est ciblée, et en cours « au moins depuis fin novembre 2025 ». ...

Selon KrebsOnSecurity, Microsoft clôture l’année avec le Patch Tuesday de décembre 2025, corrigeant 56 vulnérabilités et portant le total annuel à 1 129 failles (soit +11,9% vs 2024). Un zero‑day est activement exploité et deux vulnérabilités étaient déjà publiquement divulguées. • Zero‑day corrigé: CVE-2025-62221 — élévation de privilèges dans le composant Windows Cloud Files Mini Filter Driver (Windows 10 et ultérieur). Composant clé utilisé par des services comme OneDrive, Google Drive et iCloud, même sans ces apps installées, ce qui augmente la surface d’attaque. ...