Une vulnérabilité référencée CVE-2026-0542 affecte la ServiceNow AI Platform. Classée CWE-653 Improper Isolation or Compartmentalization, la faille permet à un attaquant non authentifié d’obtenir une exécution de code arbitraire à distance via un contournement du mécanisme de Sandbox. L’impact porte sur la confidentialité, l’intégrité et la disponibilité de l’instance. Les correctifs sont disponibles pour les branches Zurich, Yokohama et Xanadu, celui de la branche Australia est attendu au deuxième trimestre 2026. Aucune mesure de contournement n’a été communiquée.
La Shadowserver Foundation révèle que plus de 900 instances Sangoma FreePBX restent compromises par des Web Shells exploitant la CVE-2025-64328, une injection de commandes post-authentification au score CVSS de 8.6. La CISA a intégré cette CVE à son catalogue Known Exploited Vulnerabilities. Selon Fortinet FortiGuard Labs, l’acteur INJ3CTOR3 exploite cette faille depuis décembre 2025 pour déployer le Web Shell EncystPHP, permettant l’exécution de commandes arbitraires et l’initiation d’appels sortants via l’environnement PBX compromis.
L’Iran a subi un blackout Internet quasi total ce samedi, avec une connectivité nationale tombée à 4 % de son niveau habituel selon NetBlocks, dans le contexte de frappes militaires menées par Israël et les États-Unis. Cloudflare a confirmé un trafic tombé à zéro effectif à 18h45 UTC. Des cyberattaques de grande ampleur ont simultanément visé des agences de presse majeures dont IRNA et ISNA.
Zscaler documente la campagne Ruby Jumper, attribuée avec un niveau de confiance élevé au groupe nord-coréen APT37. Le toolkit déployé comprend cinq composants, RESTLEAF, SNAKEDROPPER, THUMBSBD, VIRUSTASK et FOOTWINE, conçus pour infiltrer les réseaux Air-Gapped. THUMBSBD transforme les supports USB en relais C2 bidirectionnels. FOOTWINE assure le Keylogging, la capture d’écran, l’enregistrement audio et vidéo. La chaîne d’infection débute par un fichier LNK malveillant et s’appuie sur l’environnement Ruby 3.3.0 déguisé en utilitaire USB légitime.
Dix-sept paquets npm malveillants publiés entre le 25 et le 26 février 2026 ont été attribués au groupe FAMOUS CHOLLIMA. Selon le chercheur à l’origine de l’analyse, ces paquets intègrent une technique inédite combinant Pastebin et stéganographie textuelle comme Dead-Drop Resolver pour extraire 31 domaines C2 hébergés sur Vercel. Le malware détecte la plateforme cible et télécharge un stager spécifique pour macOS, Linux ou Windows. Deux techniques de loader distinctes observées en une seule semaine signalent un rythme de développement inhabituellement rapide.
Enfin, le rapport OSSRA 2026 de Black Duck, basé sur l’analyse de 947 bases de code commerciales, révèle une hausse de 107 % du nombre moyen de vulnérabilités open source par base de code, atteignant 581. Le facteur identifié est l’adoption massive des assistants de codage IA, utilisés par 85 % des organisations. 87 % des bases de code contiennent au moins une vulnérabilité, 93 % intègrent des composants sans activité depuis deux ans, et 68 % présentent des conflits de licence en hausse record.
Sources :
- Cyberveille e-santé – ServiceNow CVE-2026-0542 : https://cyberveille.esante.gouv.fr/alertes/servicenow-cve-2026-0542-2026-02-27
- The Hacker News – 900+ Sangoma FreePBX Instances Compromised : https://thehackernews.com/2026/02/900-sangoma-freepbx-instances.html
- Security Affairs – Iran’s Internet Near-Totally Blacked Out : https://securityaffairs.com/188648/cyber-warfare-2/iran-s-internet-near-totally-blacked-out-amid-us-israeli-strikes.html
- BleepingComputer – APT37 Hackers Use New Malware to Breach Air-Gapped Networks : https://www.bleepingcomputer.com/news/security/apt37-hackers-use-new-malware-to-breach-air-gapped-networks/
- KMSec – Novel DPRK Stager Using Pastebin and Text Steganography : https://kmsec.uk/blog/dprk-text-steganography/
- GoodTech Info – Vulnérabilités Open Source Rapport OSSRA 2026 : https://goodtech.info/vulnerabilites-open-source-doublent-rapport-black-duck-ossra-2026-ia/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com