Threat Advisories

Microsoft Exchange Server reste unecible degrande valeurpour les acteurs de la menace en raison de son intégration profonde avec les systèmes d'identité de l'entreprise, l'infrastructure de messagerie et les comptes de service privilégiés. Les vulnérabilités d'exécution de code à distance (RCE) dans Exchange ont historiquement été exploitées pour descampagnes d'espionnageàgrandeéchelle, le déploiement de ransomware et des opérations d'accès persistant.

Google a publié des mises à jour de sécurité d'urgence concernant CVE20265281, un jour zéro de haute sévérité (CVSS score : N/A), activement exploité, affectant son navigateur Chrome.

Une attaque critique de la chaîne d'approvisionnement a affecté la bibliothèque JavaScript Axios, largement utilisée, suite à la compromission du compte npm de son principal mainteneur. Les acteurs de la menace ont utilisé le compte détourné pour publier deux versions malveillantes, axios@1.14.1 et axios@0.30.4, qui ont introduit une dépendance malveillante (plain-crypto-js@4.2.1). Cette dépendance ne faisait pas partie de la base de code légitime d'Axios et n'existait que pour exécuter un script de post-installation qui déployait un cheval de Troie d'accès à distance (RAT) multiplateforme.

LiteLLM est une bibliothèque Python open-source très populaire et un serveur proxy qui fournit une interface unifiée pour appeler plus de 100+ Large Language Model (LLM) APIs, tels que OpenAI, Anthropic, Bedrock, et VertexAI, en utilisant le format d'entrée/sortie standard OpenAI. Il simplifie l'intégration de plusieurs LLM, en offrant des fonctionnalités telles que le repli automatique, les tentatives et le suivi des coûts. Parce qu'il fonctionne comme une passerelle API, il agit comme un agrégateur d'informations d'identification par conception, en conservant de manière sécurisée les clés API pour divers fournisseurs LLM.

CVE202620963 a été initialement publié en janvier 2026, mais il a récemment fait l'objet d'un regain d'attention en raison d'une exploitation active confirmée.

En début de semaine, nous avons rédigé un billet sur les cyberaffaires dans le contexte de la guerre israélo-américaine contre l'Iran, intitulé "Operation Epic Fury" (Opération fureur épique). Nous y observions que les acteurs de la menace parrainés par des États réagiraient fortement contre les organisations occidentales présentes au Moyen-Orient, en représailles à ces attaques.

Cisco a publié des correctifs d'urgence pour deuxvulnérabilités degravitémaximale(CVSS 10.0) affectant Cisco Secure Firewall Management Center (FMC). Ces failles, identifiées commeCVE-2026-20079etCVE-2026-20131, permettent à des attaquants distants non authentifiés d'obtenir uncontrôle deniveauracinesur les appliances FMC, ce qui représente un risque grave pour l'infrastructure des pare-feu d'entreprise. Aucune exploitation dans la nature n'a encore été observée, mais la nature critique et la facilité d'exploitation de ces vulnérabilités font de celles-ci une priorité de remédiation immédiate.

L'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté à son catalogue de vulnérabilités exploitées connues (KEV) une vulnérabilité VMware Aria Operations récemment divulguée, répertoriée sous la référence CVE-2026-22719, après avoir confirmé qu'elle était activement exploitée dans la nature. Il s'agit d'une vulnérabilité par injection de commande permettant l'exécution de code à distance non authentifié (RCE) dans certaines conditions. VMware (Broadcom) a publié des correctifs le 24 février 2026, mais des rapports indiquent que des attaquants exploitent maintenant le problème sur des systèmes non corrigés. Les agences civiles fédérales ont été mandatées pour remédier à la vulnérabilité avant le 24 mars 2026.

Le paysage mondial de la géopolitique et de la cybersécurité s'est profondément modifié à la suite du lancement, le 28 février 2026, de l'opération "Epic Fury" par les États-Unis et de la campagne israélienne parallèle, l'opération "Roaring Lion", contre l'Iran. Ces frappes militaires coordonnées ont permis d'éliminer les principaux dirigeants iraniens, dont le guide suprême, l'ayatollah Ali Khamenei, et de dégrader fortement l'infrastructure militaire et nucléaire conventionnelle de l'Iran.

Les plateformes SD-WAN Cisco Catalyst sont largement déployées dans les entreprises, les gouvernements et les fournisseurs de services, servant souvent d'infrastructure centrale pour relier les bureaux distants, les centres de données et les environnements en nuage. Comme ces contrôleurs sont souvent accessibles à partir de réseaux externes pour soutenir les opérations distribuées, ils représentent une cible très visible et attrayante pour les acteurs de la menace.