🚹 Cyberveille du 25-02-2026 : Edge exploitĂ©, IAM siphonnĂ©, ransom en embuscade

Aujourd’hui, dans notre cyberveille, on a le combo qui coĂ»te cher : exploitation active sur de l’edge (Cisco Catalyst SD-WAN / CVE-2026-20127 + directive CISA), KEV sur un produit de transfert de fichiers (FileZen / CVE-2026-25108), fuites + extorsion à la chaĂźne (ShinyHunters), et une piqĂ»re de rappel : l’identitĂ© (SSO/MFA/OAuth/tokens) reste la porte d’entrĂ©e prĂ©fĂ©rĂ©e, surtout quand les dev ouvrent des repos “pas sĂ»rs” (Claude Code).

🧹 TL;DR

  • PrioritĂ© 0 — Cisco Catalyst SD-WAN (CVE-2026-20127) : exploitation active + directive CISA → patch / hunt / durcissement immĂ©diat.  CISA
  • PrioritĂ© 0 — FileZen (CVE-2026-25108) : ajouté KEV (exploitation active) → patch + vĂ©rif compromission. CISA
  • Fuites/Extorsion — ShinyHunters : CarGurus (>12M) + Wynn (donnĂ©es employĂ©s) → renforcer SSO/helpdesk/MFA rĂ©sistant AiTM. BleepingComputer
  • Ransomware — Lazarus + Medusa : acteur Ă©tatique qui fait de l’extorsion → surveiller TTP, surtout orgs exposĂ©es. Broadcom
  • IAM/Dev — Claude Code (CVE-2025-59536, CVE-2026-21852) : RCE + exfil de clĂ©s API via configs projet → “repo non fiable = machine compromise”. Check Point Research

đŸ—žïž À la une

1) Cisco Catalyst SD-WAN : la prod se fait piller (CVE-2026-20127)

Cisco confirme une exploitation active sur Catalyst SD-WAN, au point que CISA sort une Emergency Directive (ED 26-03) : c’est le signal officiel “ce n’est plus thĂ©orique”. Mini-synthĂšse : si tu as du SD-WAN exposĂ©/administrĂ© Ă  distance, tu dois corriger + chasser des traces (comptes, config, peers/contrĂŽleurs, accĂšs management) et durcirl’admin plane (segmentation, restriction IP, MFA, logs). 

2) ShinyHunters : fuites massives + pression business (CarGurus / Wynn)

Le mĂȘme acteur est citĂ© sur des cas Ă  gros volume et forte pression mĂ©diatique. Mini-synthĂšse : extorsion + publication reste un modĂšle rentable, et la trajectoire la plus frĂ©quente derriĂšre ces cas, c’est l’identitĂ© (vol de creds, social engineering, SSO mal verrouillĂ©, helpdesk contournĂ©). Ce n’est pas “juste de la fuite”, c’est un risque d’accĂšs persistant si l’IAM n’est pas assaini. 

3) Lazarus : quand l’APT recycle du ransomware (Medusa)

Symantec/Broadcom documente un usage de Medusa ransomware par Lazarus. Mini-synthĂšse : ça brouille les lignes “APT vs cybercrime” et ça augmente la probabilitĂ© d’impacts opĂ©rationnels (chiffrement + extorsion) en plus des objectifs habituels (accĂšs, collecte). 
A lire aussi :  Lazarus Group : les pickpockets de Pyongyang en costard-cravate numérique

đŸ§± VulnĂ©rabilitĂ©s

đŸ”„ Cisco Catalyst SD-WAN — CVE-2026-20127 (exploitation active)

VulnĂ©rabilité activement exploitĂ©e ; le niveau d’alerte est Ă©levĂ© (CERT-FR + CISA).
Actions concrÚtes : patch/upgrade (ou migration si versions non supportées), hunt (artefacts de compromission, changements de config, nouveaux peers/contrÎleurs, comptes admin), durcissement admin plane + restriction réseau. 

đŸ”„ Soliton Systems K.K. FileZen — CVE-2026-25108 (KEV / exploitation active)

OS command injection ajouté au catalogue KEV, donc exploitation confirmée dans la nature.
Actions concrĂštes : patch, vĂ©rifier exposition (publication/accĂšs), revue des comptes et journaux, recherche de commandes/process anormaux et d’IOCs. 

🧹 SolarWinds Serv-U — CVE-2025-40538 / CVE-2025-40539 / CVE-2025-40540 / CVE-2025-40541 (critiques)

Série de failles critiques permettant de finir en exécution privilégiée (root) selon les CVE et le contexte.
Actions concrĂštes : appliquer la version corrigĂ©e, limiter exposition, surveiller crĂ©ation d’admins, exĂ©cutions inattendues, et accĂšs aux interfaces d’admin. 

⚙ Zyxel — CVE-2025-13942 (UPnP command injection)

Commande injectĂ©e via UPnP → exĂ©cution de commandes OS si conditions d’exposition/config rĂ©unies.
Actions concrÚtes : patch firmwares concernés, désactiver UPnP quand possible, bloquer exposition WAN, inventorier les modÚles. 

đŸ§Ș Claude Code (Anthropic) — CVE-2025-59536 & CVE-2026-21852 (IAM/dev : tokens en clair, RCE via repo)

Check Point montre que des configs projet peuvent dĂ©clencher de l’exĂ©cution (hooks/MCP) et exfiltrer des clĂ©s API avant mĂȘme que l’utilisateur comprenne ce qu’il valide. Traduction : “tu clones un repo piĂ©gĂ©, tu donnes ta machine et tes secrets”.
Actions concrùtes : politiques “trusted repos only”, sandbox/devcontainer, rotation & scopes courts des tokens, secrets scanning, egress control, et revue des configs outillages IA en entreprise.  

🧟 Menaces

🧹 RANSOM — Lazarus + Medusa ransomware (extorsion)

Lazarus utiliserait Medusa pour de l’extorsion : c’est du ransomware comme levier gĂ©opolitique/opĂ©rationnel.
Actions concrÚtes : surveiller TTP, durcir accÚs initiaux (VPN/edge/IAM), segmentation, backups testés (restauration), détection exfil (DNS/HTTP, stockage cloud). 

đŸ§Ÿ LEAK/EXTORT — CarGurus : ShinyHunters publie aprĂšs extorsion (>12M)

Fuite massive et publication ; le dataset contient des Ă©lĂ©ments pouvant faciliter la fraude et l’ingĂ©nierie sociale.
Actions concrÚtes : rotation/invalidations (mots de passe si réutilisation), contrÎles anti-credential stuffing, durcissement MFA, surveillance des connexions anormales et des tokens. 

đŸ§Ÿ LEAK/EXTORT — Wynn Resorts : vol de donnĂ©es employĂ©s (ShinyHunters)

Wynn confirme l’accĂšs non autorisĂ© Ă  des donnĂ©es employĂ©s ; un rĂ©cit “donnĂ©es supprimĂ©es” cĂŽtĂ© attaquant ne vaut aucune garantie.
Actions concrĂštes : rĂ©ponse incident (scopes, logs, forensics), surveillance d’usages frauduleux, protection renforcĂ©e sur IAM/HR/helpdesk (vishing). 

🎣 PHISH/IAM — Diesel Vortex : logistique & fret (52 domaines, creds volĂ©s)

Campagne structurée (depuis 2025) avec phishing crédible et vol de credentials sur des plateformes critiques du secteur.
Actions concrĂštes : blocage domaines/typos, durcissement MFA, dĂ©tection d’auth anormales, surveillance rĂšgles mail et redirections, sensibilisation ciblĂ©e mĂ©tiers “transport/logistique”. 

☁ CLOUD/APT — UNC2814 / “GRIDTIDE” : abus SaaS/API pour se camoufler

Campagne d’espionnage (tĂ©lĂ©coms/gouvernements) avec utilisation d’outils et artefacts SaaS pour se fondre dans le trafic normal.
Actions concrĂštes : logs SaaS/API centralisĂ©s, dĂ©tection d’API calls inhabituels, gouvernance des clĂ©s/jetons, moindre privilĂšge, contrĂŽle des projets cloud et artefacts partagĂ©s (feuilles, scripts, comptes). 

🧿 PHISH — 1Campaign : “Google Ads malveillantes as-a-service”

Service criminel qui aide Ă  garder des pubs malveillantes en ligne via cloaking/Ă©vasion — utile pour phishing, scams, drainer crypto.
Actions concrĂštes : politique “pas de clic sur rĂ©sultats sponsorisĂ©s”, filtrage DNS/URL, durcissement navigateur, dĂ©tection redirections, formation ciblĂ©e. 

đŸ›ïž RĂ©glementaire

đŸ‘¶ REG — UK ICO : Reddit sanctionnĂ© (ÂŁ14.47m) pour l’ñge et les donnĂ©es enfants

L’ICO reproche l’absence de mĂ©canisme robuste d’assurance d’ñge et des manquements DPIA, avec collecte/traitement non licite pour les <13 ans.
Implication : la conformitĂ© “en thĂ©orie” ne passe plus — les rĂ©gulateurs attendent des contrĂŽles effectifs (Ăąge, minimisation, DPIA, sĂ©curitĂ© by design). 

🧊 À suivre

  • CERT-FR : lots de bulletins (GitLab, VMware, Trend Micro, Mozilla, Synology
) → Ă  intĂ©grer Ă  la routine patch mensuelle/hebdo selon exposition. 
  • Guidances CISA : documents de hunt/hardening SD-WAN — utiles pour structurer investigation & durcissement. 

🔗 Sources

🚹 Cyberveille du 25-02-2026 : Edge exploitĂ©, IAM siphonnĂ©, ransom en embuscade
Partager cet article : Twitter LinkedIn WhatsApp

đŸ–‹ïž PubliĂ© sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut