🐧 GhostLock, CVE-2026-43499, est un Use-After-Free dans l’implémentation des futex du noyau Linux, découvert par Nebula Security via sa plateforme VEGA assistée par IA. La faille affecte les noyaux depuis la 2.6.39 publiée en 2011, soit quinze ans d’exposition, et provient d’un traitement incorrect de remove_waiter() laissant un pointeur noyau pendant. Un utilisateur local standard obtient root en environ cinq secondes, avec un taux de réussite annoncé de 97 pour cent. L’évasion de conteneur est également possible, ce qui concerne Kubernetes, Docker, les runners CI/CD et les infrastructures multi-tenant. Les correctifs sont disponibles.
🇺🇦 Le CERT-UA publie l’état des vecteurs de compromission initiale du cluster UAC-0145, sous-cluster de UAC-0002 alias Sandworm, APT44 et Seashell Blizzard. Aux installateurs Windows et Office backdoorés diffusés par torrent et aux lures antivirus distribuées via Signal, s’ajoutent depuis le printemps 2026 des chaînes ClickFix déposant le VBS GHETTOVIBE dans le Startup, puis le script de reconnaissance SCOUTCURL. SMARTAXE récupère le domaine du C2 depuis un smart contract via un appel eth_call, tandis que COWARDDUCK, backdoor Android en APK, exfiltre fichiers et géolocalisation via l’API Dropbox. Les loaders FLUIDLEECH et LOADLOOP ainsi que le backdoor Python FREAKYPOLL complètent l’outillage.
🐛 Le blog Project Nightcrawler publie le 14 juillet la divulgation publique de LegacyHive, réduite à trois liens de dépôts, GitHub sous le compte MSNightmare, serveur Git de Project Nightcrawler et git.churchofmalware.org, sans description technique ni référence CVE. Un second billet du 16 juillet, signé avec la même clé PGP, est adressé à Microsoft et renvoie à une échéance du 14 juillet ainsi qu’à une réunion à venir. Aucun détail technique ni périmètre affecté n’est communiqué dans l’un ou l’autre billet.
🎣 Ernst & Young notifie ses clients d’une violation de données provoquée par la compromission d’un système tiers de gestion de tickets utilisé par ses équipes IT. Les tickets pouvaient contenir des documents renfermant des informations fiscales clients. L’activité anormale a été détectée le 23 avril, l’accès non autorisé s’étant déroulé entre le 28 mars et le 12 avril, avec téléchargement de plusieurs documents. Le cabinet propose vingt-quatre mois de surveillance d’identité via Experian, avec inscription avant le 31 octobre 2026. Aucun groupe d’extorsion ou de ransomware n’a revendiqué l’attaque.
🪟 Notepad++ 8.9.7 corrige plusieurs vulnérabilités à fort impact sur Windows. L’installateur voit son traitement des commandes PowerShell durci contre l’injection de commandes. CVE-2026-54758 est un stack Buffer Overflow dans expandNppEnvironmentStrs pouvant mener à une exécution de code, CVE-2026-57233 une traversée Zip Slip dans l’updater WinGUp permettant l’écrasement de fichiers arbitraires, CVE-2026-52886 un contournement de validation de chemin via session.xml et la vérification starts_with de backupFilePath. Une faille non référencée du système de macros autorisait l’exécution sans vérification HMAC via shortcuts.xml. Installation manuelle recommandée.
🛡️ Le CERT Santé alerte sur CVE-2026-34150, un dépassement de tampon en tas dans wazuh-analysisd, fonction W_JSON_ParseRootcheck du fichier json_extended.c, classé CWE-122. La configuration par défaut de l’image wazuh/wazuh-docker place use_password à no sur authd, autorisant un enrôlement d’agent sans authentification, puis l’injection via remoted d’événements rootcheck dont les motifs dépassent 30 octets. Le processus s’arrête, tandis que le tableau de bord et l’API affichent des données obsolètes sans signaler l’interruption. Versions jusqu’à 4.14.4 concernées, correctif en 4.14.5, PoC publique.
🚨 Le FIRST publie CIRCUIT, framework open source de gouvernance de l’interprétabilité des modèles d’IA proposé par Eric Zielinski de Jumpmind sous licence Apache 2.0. Il repose sur un Interpretability Maturity Score de 0 à 5, un registre YAML en huit sections versionnable dans Git, et un Circuit Risk Score assorti de dix règles bloquantes. Des correspondances sont établies avec le NIST AI RMF, l’AI Act européen, l’ISO 42001, SR 11-7, SOC 2 et MITRE ATLAS, et un questionnaire fournisseur de 29 questions est fourni. Les obligations haut risque de l’AI Act s’appliquent en août 2026.
☁️ Check Point Research publie son AI Security Report 2026 et décrit le passage de l’IA du rôle d’assistant à celui d’opérateur dans les intrusions en cours. Le rapport cite VoidLink, framework offensif de Command and Control de 88 000 lignes produit en moins d’une semaine, et une préférence des attaquants pour les modèles commerciaux jailbreakés, avec persistance via un fichier de configuration chargé par un agent d’une session à l’autre. Les détections liées au prompt injection indirect sont multipliées par cinq entre mars et mai 2026, approchant 1 pour cent des prompts en mai. Les prompts à risque élevé passent de 2 à 4 pour cent sur un an.
Sources :
- AI Uncovers a 15-Year-Old Linux Kernel Root Vulnerability Hidden Since 2011. Linux Journal : https://www.linuxjournal.com/content/ai-uncovers-15-year-old-linux-kernel-root-vulnerability-hidden-2011
- Вектори первинної компрометації UAC-0145 станом на липень 2026 року. CERT-UA : https://cert.gov.ua/article/6318437
- LegacyHive public disclosure. Project Nightcrawler Blog : https://blog.projectnightcrawler.dev/posts/2026-07-14-legacyhive-public-disclosure/
- Microsoft Please. Project Nightcrawler Blog : https://blog.projectnightcrawler.dev/posts/2026-07-16-microsoft-please/
- Ernst & Young discloses data breach after support system hack. BleepingComputer : https://www.bleepingcomputer.com/news/security/ernst-and-young-discloses-data-breach-after-support-system-hack/
- Critical Notepad++ Bugs Could Lead to Code Execution, Patch Available. The Cyber Express : https://thecyberexpress.com/notepad-vulnerabilities-v897/
- Wazuh CVE-2026-34150. CERT Santé : https://cyberveille.esante.gouv.fr/alertes/wazuh-cve-2026-34150-2026-07-17
- You Cannot Defend What You Cannot Inspect. FIRST : https://www.first.org/blog/20260714-FIRSTCON26-CIRCUIT
- AI Security Report 2026. Check Point Research : https://research.checkpoint.com/2026/ai-security-report-2026/
⚡️ On ne réfléchit pas, on patch !
📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com
#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #LinuxKernel #GhostLock #PrivilegeEscalation #UseAfterFree #ContainerEscape #NebulaSecurity #CERTUA #UAC0145 #Sandworm #APT44 #SeashellBlizzard #ClickFix #GHETTOVIBE #SCOUTCURL #SMARTAXE #COWARDDUCK #FREAKYPOLL #LegacyHive #Microsoft #ErnstYoung #DataBreach #ThirdPartyRisk #NotepadPlusPlus #Windows #ZipSlip #BufferOverflow #Wazuh #SIEM #CERTSante #DoS #FIRST #FIRSTCON26 #CIRCUIT #AIGovernance #Interpretability #EUAIAct #NISTAIRMF #MITREATLAS #CheckPoint #AISecurityReport2026 #VoidLink #PromptInjection #ShadowAI #CVE-2026-43499 #CVE-2026-52886 #CVE-2026-54758 #CVE-2026-57233 #CVE-2026-34150 #RadioCSIRT