Ep.666 - RadioCSIRT Édition Française - Flash info cybersécurité du jeudi 11 juin 2026

🐛 Check Point Research dévoile une chaîne d'attaque dans LangGraph, framework d'agents IA aux 50 millions de téléchargements mensuels. Une injection SQL dans le checkpointer SQLite (CVE-2025-67644) couplée à une désérialisation msgpack non sécurisée (CVE-2026-28277) mène à une exécution de code à distance. La même classe d'injection touche le checkpointer Redis (CVE-2026-27022). Le service managé LangSmith sur PostgreSQL n'est pas affecté.

🤖 Unit 42 (Palo Alto Networks) présente Behavioral Integrity Verification, une méthode comparant ce qu'un skill d'agent IA déclare faire à ce qu'il fait réellement. Sur près de 50 000 skills du registre OpenClaw, 80 % présentent au moins un écart. 18,9 % traduisent une intention malveillante, dominée par le vol d'identifiants et le détournement de l'agent. Recommandation : vérifier l'intégrité avant installation.

🕵️ Selon Cyberpress relayant une recherche d'ESET, le groupe OceanLotus (APT32) réoriente son activité vers l'espionnage domestique. Sa backdoor SPECTRALVIPER a été déployée via une attaque sur la chaîne d'approvisionnement de la plateforme boursière FireAnt MetaKit, dont les mises à jour ne validaient ni TLS ni signature numérique. Ciblage très sélectif des investisseurs.

📡 The Hacker News rapporte, d'après Black Lotus Labs (Lumen), l'expansion du botnet de reconnaissance JDY, lié à la Chine, passé à plus de 1 500 équipements SOHO et IoT. Issu du KV-botnet utilisé par Volt Typhoon, il exploite des failles fraîchement divulguées sur des équipements de bordure (CVE-2026-35616) pour cartographier les infrastructures exposées.

🇫🇷 ZDNET annonce que la région Auvergne-Rhône-Alpes dispose enfin de son CSIRT territorial, baptisé Aura. Porté par la CCI de Lyon métropole, financé par 400 000 euros de l'ANSSI sur deux ans et opéré par Orange Cyberdéfense, il offre un premier niveau d'assistance gratuit aux collectivités, PME, ETI et associations.

🔐 Sur son blog, l'acteur Nightmare Eclipse publie une divulgation non coordonnée décrivant un contournement de BitLocker baptisé GreatXML, qui ne fonctionnerait que sur les systèmes ayant utilisé l'analyse hors ligne de Windows Defender. Sans CVE ni correctif éditeur à ce stade. Portée réelle à confirmer. Rapporté à titre de veille.

🧰 Six vulnérabilités affectant Ghidra (NSA), divulguées via VulnCheck et corrigées en version 12.1 : contournement d'authentification par signature nulle (CVE-2026-52754), RCE par désérialisation RMI (CVE-2026-52751), injection SQL PostgreSQL avec escalade superutilisateur (CVE-2026-49498), deux traversées de répertoire via ZIP (CVE-2026-52755, CVE-2026-52752) et une injection de commande Windows (CVE-2026-52750).

🛡️ Le CERT-FR publie l'avis CERTFR-2026-AVI-0734 sur de multiples vulnérabilités dans les produits Palo Alto Networks (Cortex XSIAM/XSOAR, GlobalProtect, PAN-OS 10.2 à 12.1, Prisma Access Agent, Prisma Browser). Risques : RCE, élévation de privilèges, déni de service, XSS. Références CVE-2026-0266 à CVE-2026-0274 et PAN-SA-2026-0008.

Sources :

• From SQLi to RCE – Exploiting LangGraph's Checkpointer — Check Point Research : https://research.checkpoint.com/2026/from-sqli-to-rce-exploiting-langgraphs-checkpointer/
• Trust No Skill: Integrity Verification for AI Agent Supply Chains — Unit 42 (Palo Alto Networks) : https://unit42.paloaltonetworks.com/ai-agent-supply-chain-risks/
• OceanLotus APT Targets Stock Investors in FireAnt MetaKit Supply-Chain Attack — Cyber Press : https://cyberpress.org/oceanlotus-hits-stock-investors/
• China-Linked JDY Botnet Expands to 1,500+ Devices for Cyber Reconnaissance — The Hacker News : https://thehackernews.com/2026/06/china-linked-jdy-botnet-expands-to-1500.html
• La région Auvergne-Rhône-Alpes compte (enfin) son CSIRT territorial — ZDNET : https://www.zdnet.fr/actualites/la-region-auvergne-rhone-alpes-compte-enfin-son-csirt-territorial-496378.htm
• GreatXML, a BitLocker bypass — Nightmare Eclipse (blog) : https://deadeclipse666.blogspot.com/2026/06/greatxml-bitlocker-that-seems-to-only.html
• CVE-2026-52755 — Ghidra Path Traversal via Zip Slip in Theme Import — cvefeed.io : https://cvefeed.io/vuln/detail/CVE-2026-52755
• CVE-2026-52754 — Ghidra Authentication Bypass via Null Signature — cvefeed.io : https://cvefeed.io/vuln/detail/CVE-2026-52754
• CVE-2026-52752 — Ghidra Path Traversal in Extension Installer — cvefeed.io : https://cvefeed.io/vuln/detail/CVE-2026-52752
• CVE-2026-52751 — Ghidra RCE via Unfiltered RMI Deserialization — cvefeed.io : https://cvefeed.io/vuln/detail/CVE-2026-52751
• CVE-2026-52750 — Ghidra Command Injection via URL Annotation Click — cvefeed.io : https://cvefeed.io/vuln/detail/CVE-2026-52750
• CVE-2026-49498 — Ghidra SQL Injection in PostgreSQL Password Change — cvefeed.io : https://cvefeed.io/vuln/detail/CVE-2026-49498
• Multiples vulnérabilités dans les produits Palo Alto Networks — CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0734/

⚡️ On ne réfléchit pas, on patch ! 

📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #LangGraph #LangChain #CheckPoint #Unit42 #PaloAltoNetworks #AIAgents #OpenClaw #OceanLotus #APT32 #SPECTRALVIPER #ESET #JDY #Botnet #VoltTyphoon #Lumen #ANSSI #Ghidra #VulnCheck #BitLocker #CERTFR #CVE-2025-67644 #CVE-2026-28277 #CVE-2026-27022 #CVE-2026-35616 #CVE-2026-52755 #CVE-2026-52754 #CVE-2026-52752 #CVE-2026-52751 #CVE-2026-52750 #CVE-2026-49498 #CVE-2026-0266 #CVE-2026-0274 #RadioCSIRT