Ep.670 - RadioCSIRT Édition Française - Flash info cybersécurité du Mardi 16 Juin 2026

🚨 La CISA ajoute deux vulnérabilités à son catalogue KEV sur preuve d'exploitation active : CVE-2026-20262, une faille de Path Traversal dans Cisco Catalyst SD-WAN Manager, et CVE-2026-54420, un Symlink Following dans le plugin LiteSpeed pour cPanel. L'agence cite la Binding Operational Directive 26-04, qui impose aux agences fédérales civiles de prioriser la remédiation des vulnérabilités KEV à haut risque sur les actifs exposés.

🐛 Le chercheur Nightmare Eclipse annonce, dans un message signé PGP, la migration de son blog de Blogger vers blog.projectnightcrawler.dev. Il invoque le signalement automatique par Google des blogs de recherche personnels comme contenu malveillant. Ses travaux antérieurs incluent BlueHammer, la faille YellowKey et le correctif silencieux de RedSun.

🛡️ CVE-2026-7273 affecte les switches Zyxel de la série GS1900, dont le GS1900-48HPv2. Ce stack-based buffer overflow dans le programme CGI du firmware permet à un attaquant non authentifié, sur le réseau local, d'exécuter des commandes OS via une requête HTTP conçue. Score CVSS 8.8, CWE-121. Zyxel recommande la mise à jour du firmware.

🪟 La vulnérabilité CVE-2026-42824 dans Microsoft 365 Copilot, désignée SearchLeak, permettait en un seul clic de voler e-mails et fichiers depuis la mailbox, SharePoint et OneDrive et d'accéder au calendrier. Découverte par Varonis, elle visait Copilot Enterprise Search via un paramètre de lien interprété comme instruction et une exfiltration par balise img via Bing. Microsoft a corrigé le 4 juin.

🎣 Selon SOCRadar via Cyberpress, la plateforme de Phishing-as-a-Service The Quarry usurpe l'IRS et la SSA américaine. Active depuis avril 2025 et gérée par le développeur RockyBelling sur Telegram, elle équipe près de deux cents cybercriminels. Les packages, de 500 à 2000 dollars, incluent phishing kits, traffic cloaking via Adspect, bulk emailers et abus de logiciels RMM.

🔐 IBM X-Force, via GBHackers, relie les groupes de ransomware Rhysida et Interlock à un écosystème criminel commun d'initial access brokers, crypters, downloaders et backdoors. Interlock utilise NodeSnake, InterlockRAT et le crypter JunkFiction ; Rhysida s'appuie sur Endico, Broomstick et le crypter Tomb. Le broker TAG-124 diffuse via des leurres ClickFix. IBM appelle à une chasse fondée sur le comportement.

Sources : 

• CISA Adds Two Known Exploited Vulnerabilities to Catalog — CISA : https://www.cisa.gov/news-events/alerts/2026/06/15/cisa-adds-two-known-exploited-vulnerabilities-catalog
• Moving to new blog, avoiding google censorship — Nightmare Eclipse : https://deadeclipse666.blogspot.com/2026/06/moving-to-new-blog-avoiding-google.html
• CVE-2026-7273 Zyxel GS1900-48HPv2 Stack-Based Buffer Overflow RCE — CVEFeed.io : https://cvefeed.io/vuln/detail/CVE-2026-7273
• Microsoft 365 Copilot-lek maakte via één click diefstal e-mails mogelijk — Security.NL : https://www.security.nl/posting/940691/Microsoft+365+Copilot-lek+maakte+via+één+click+diefstal+e-mails+mogelijk
• Cybercriminals Use The Quarry Toolkit to Launch IRS and SSA Phishing Attacks — Cyberpress : https://cyberpress.org/quarry-toolkit-fuels-phishing/
• Rhysida and Interlock Ransomware Groups Linked to Initial Access Brokers and Crypter Ecosystem — GBHackers : https://gbhackers.com/rhysida-and-interlock-ransomware/

⚡️ On ne réfléchit pas, on patch ! 

📞 Répondeur : 07 68 72 20 09
📩 Email : radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

#CyberSecurity #CERT #CSIRT #SOC #VOC #ThreatIntelligence #CISA #KEV #Cisco #LiteSpeed #cPanel #Zyxel #MicrosoftCopilot #Microsoft365 #Varonis #SearchLeak #Phishing #PhaaS #SOCRadar #IRS #SSA #Ransomware #Rhysida #Interlock #IBMXForce #CVE-2026-20262 #CVE-2026-54420 #CVE-2026-7273 #CVE-2026-42824 #RadioCSIRT