Linus Torvalds publie Linux 7.1-rc4 et durcit la politique du noyau face à l’afflux massif de rapports de bugs générés par IA. La security list étant submergée par des doublons issus des mêmes outils d’analyse automatisée, Torvalds tranche : les bugs détectés par IA ne sont pas secrets par définition et leur traitement sur une liste privée constitue une perte de temps. Trois patches de Willy Tarreau et Jonathan Corbet clarifient les exigences applicables aux rapports assistés par IA.
Canonical publie un avis sur CVE-2026-46333, alias ssh-keysign-pwn, une race condition exploitable via ptrace permettant à un utilisateur local non privilégié de lire les fichiers ouverts par un exécutable suid ou sgid. Le PoC démontre la lecture de /etc/shadow via /usr/bin/chage et des clés privées hôtes OpenSSH via /usr/lib/openssh/ssh-keysign. Score CVSS 5.5, priorité Ubuntu High. Toutes les LTS sont affectées, mitigation par sysctl kernel.yama.ptrace_scope=2.
Selon Socket, une nouvelle vague Shai-Hulud a compromis 639 versions malveillantes sur 323 packages npm en une heure le 19 mai 2026. L’attaque exploite le compte mainteneur atool de l’écosystème @antv et touche notamment echarts-for-react et jest-canvas-mock. Exfiltration via le réseau P2P Session, génération d’attestations Sigstore valides via abus de tokens OIDC, persistance inédite via backdoors implantés dans les configurations VS Code et Claude Code.
INTERPOL annonce les résultats d’Operation Ramz dans la région MENA : plus de 200 arrestations, 382 suspects supplémentaires identifiés sur 13 pays, 53 serveurs phishing et malware saisis, 3 867 victimes confirmées. Collaboration avec Kaspersky, Group-IB, The Shadowserver Foundation, Team Cymru et TrendAI. Démantèlement notable d’une plateforme phishing-as-a-service en Algérie et d’une opération d’investment scam en Jordanie.
Selon Recorded Future News, la panne nationale des télécoms luxembourgeois du 23 juillet 2025 résulte d’une attaque zero-day visant les routeurs entreprise Huawei. Un trafic réseau spécialement forgé plaçait les équipements en boucle de redémarrage continue, coupant fixe, 4G et 5G pendant trois heures. Dix mois après les faits, aucun CVE n’a été publié, aucune alerte publique n’a été émise par Huawei.
Microsoft démantèle Fox Tempest, une plateforme de malware-signing-as-a-service active depuis mai 2025 qui abusait Microsoft Artifact Signing. Plus de 1 000 certificats révoqués, des centaines de tenants Azure mis hors ligne. Les affiliés Rhysida, INC, Qilin et Akira utilisaient le service pour signer Oyster, Lumma Stealer et Vidar, maquillés en AnyDesk, Teams, PuTTY ou Webex.
Cisco Talos divulgue onze vulnérabilités. Huit ciblent le routeur TP-Link Archer AX53, dont CVE-2026-30814, un stack-based buffer overflow conduisant à de l’arbitrary code execution, et plusieurs OS command injection dans les fonctions OpenVPN configuration restore. CVE-2026-34632 vise le processus d’installation d’Adobe Photoshop via Microsoft Store, CVE-2026-35058 frappe OpenVPN via une reachable assertion, et CVE-2025-58074 affecte Norton VPN.
Sources :
- Linus Torvalds, Linux 7.1-rc4, LKML : https://lkml.org/lkml/2026/5/17/896
- Luci Stanescu, CVE-2026-46333 ssh-keysign-pwn Linux kernel vulnerability mitigations, Canonical : https://ubuntu.com//blog/ssh-keysign-pwn-linux-vulnerability-fixes-available
- Bill Toulas, New Shai-Hulud malware wave compromises 600 npm packages, BleepingComputer : https://www.bleepingcomputer.com/news/security/new-shai-hulud-malware-wave-compromises-600-npm-packages/
- Bill Toulas, INTERPOL Operation Ramz seizes 53 malware phishing servers, BleepingComputer : https://www.bleepingcomputer.com/news/security/interpol-operation-ramz-seizes-53-malware-phishing-servers/
- Huawei zero-day attack behind last year’s crash of Luxembourg’s entire telecoms network, The Record : https://therecord.media/huawei-zero-day-behind-last-year-luxembourg-telecom-outage
- Microsoft disrupts Fox Tempest malware-signing-as-a-service platform tied to ransomware gangs, The Record : https://therecord.media/microsoft-disrupts-fox-tempest-malware-signing-service
- Kri Dontje, TP-Link, Photoshop, OpenVPN, Norton VPN vulnerabilities, Cisco Talos : https://blog.talosintelligence.com/tp-link-photoshop-openvpn-norton-vpn-vulnerabilities/
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
CyberSecurity #CERT #CSIRT #ThreatIntelligence #LinuxKernel #LinusTorvalds #AI #CVE #ssh-keysign-pwn #ptrace #Ubuntu #Canonical #Qualys #ShaiHulud #npm #SupplyChain #Session #Sigstore #OIDC #VSCode #ClaudeCode #INTERPOL #OperationRamz #MENA #Huawei #ZeroDay #Luxembourg #POST #Microsoft #FoxTempest #MSaaS #ArtifactSigning #Rhysida #Qilin #Akira #LummaStealer #Vidar #CiscoTalos #TPLink #ArcherAX53 #Photoshop #OpenVPN #NortonVPN #PatchManagement #RadioCSIRT