Threat Advisories

En début de semaine, nous avons rédigé un billet sur les cyberaffaires dans le contexte de la guerre israélo-américaine contre l'Iran, intitulé "Operation Epic Fury" (Opération fureur épique). Nous y observions que les acteurs de la menace parrainés par des États réagiraient fortement contre les organisations occidentales présentes au Moyen-Orient, en représailles à ces attaques.

Cisco a publié des correctifs d'urgence pour deuxvulnérabilités degravitémaximale(CVSS 10.0) affectant Cisco Secure Firewall Management Center (FMC). Ces failles, identifiées commeCVE-2026-20079etCVE-2026-20131, permettent à des attaquants distants non authentifiés d'obtenir uncontrôle deniveauracinesur les appliances FMC, ce qui représente un risque grave pour l'infrastructure des pare-feu d'entreprise. Aucune exploitation dans la nature n'a encore été observée, mais la nature critique et la facilité d'exploitation de ces vulnérabilités font de celles-ci une priorité de remédiation immédiate.

L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté à son catalogue de vulnérabilités exploitées connues (KEV) une vulnérabilité VMware Aria Operations récemment divulguée, répertoriée sous la référence CVE-2026-22719, après avoir confirmé qu'elle était activement exploitée dans la nature. Il s'agit d'une vulnérabilité par injection de commande permettant l'exécution de code à distance non authentifié (RCE) dans certaines conditions. VMware (Broadcom) a publié des correctifs le 24 février 2026, mais des rapports indiquent que des attaquants exploitent maintenant le problème sur des systèmes non corrigés. Les agences civiles fédérales ont été mandatées pour remédier à la vulnérabilité avant le 24 mars 2026.

Le paysage mondial de la géopolitique et de la cybersécurité s'est profondément modifié à la suite du lancement, le 28 février 2026, de l'opération "Epic Fury" par les États-Unis et de la campagne israélienne parallèle, l'opération "Roaring Lion", contre l'Iran. Ces frappes militaires coordonnées ont permis d'éliminer les principaux dirigeants iraniens, dont le guide suprême, l'ayatollah Ali Khamenei, et de dégrader fortement l'infrastructure militaire et nucléaire conventionnelle de l'Iran.

Les plateformes SD-WAN Cisco Catalyst sont largement déployées dans les entreprises, les gouvernements et les fournisseurs de services, servant souvent d'infrastructure centrale pour relier les bureaux distants, les centres de données et les environnements en nuage. Comme ces contrôleurs sont souvent accessibles à partir de réseaux externes pour soutenir les opérations distribuées, ils représentent une cible très visible et attrayante pour les acteurs de la menace.

CVE-2026-2329 est une vulnérabilité critique de débordement de mémoire tampon basée sur la pile qui affecte les téléphones de bureau VoIP de la série GXP1600 de Grandstream. La faille se trouve dans le point de terminaison de l'API Web du dispositif et peut être exploitée à distance sans aucune authentification. Si elle est exploitée avec succès, un attaquant peut obtenir une exécution complète du code à distance avec les privilèges de root sur le téléphone.

Vue d'ensemble

CVE-2026-2649 est une vulnérabilité de débordement d'entier de haute sévérité dans le moteur JavaScript V8 utilisé par Google Chrome. Le problème affecte les versions de Chrome antérieures à 145.0.7632.109. Si un utilisateur ouvre une page HTML spécialement conçue, la faille peut entraîner une corruption du tas à l'intérieur du navigateur.
Étant donné que V8 gère l'exécution de JavaScript, les faiblesses de ce composant peuvent avoir un impact important sur la navigation normale et les processus en bac à sable.

Le célèbre éditeur de texte open source Notepad++ a été la cible d'une attaque sophistiquée de la chaîne d'approvisionnement de la part d'un acteur soupçonné d'être parrainé par un État.

Ivanti a révélé et corrigé deux vulnérabilités de sécurité critiques affectant Ivanti Endpoint Manager Mobile (EPMM) qui ont été activement exploitées dans des attaques de type "zero-day". Les failles, identifiées comme CVE-2026-1281 et CVE-2026-1340, permettent l'exécution de code à distance sans authentification et ont un score CVSS de 9,8, ce qui les place parmi les classes de vulnérabilités les plus sévères. L'une de ces vulnérabilités a été ajoutée au catalogue des vulnérabilités exploitées connues (KEV) de la CISA, ce qui accroît considérablement l'urgence des mesures correctives, en particulier dans les environnements fédéraux américains.

Microsoft a publié un correctif d'urgence hors bande pour remédier à une vulnérabilité de jour zéro de Microsoft Office activement exploitée, répertoriée sous le nom de CVE202621509. La faille est un contournement de la fonctionnalité de sécurité qui permet aux attaquants de contourner les mesures d'atténuation basées sur COM/OLE dans Microsoft 365 et Microsoft Office.