Cloud assiégé : Failles critiques AWS, Azure et GCP
6 min de lectureURGENCE CRITIQUE
Résumé exécutif
Des vulnérabilités critiques découvertes dans AWS IAM Identity Center and Azure Active Directory présentent un risque immédiat pour les environnements cloud. Google Cloud Platform confirme un accès non autorisé aux métadonnées Cloud SQL. Les organisations multi-cloud font face à des attaques coordonnées exploitant les relations de confiance entre fournisseurs.
⚡ L'essentiel : Corrigez immédiatement AWS IAM Identity Center et Azure AD. Auditez les relations de confiance inter-cloud.
☁️
Critique — CVSS 9.8
CVE-2026-22103 : Contournement d'authentification AWS IAM Identity Center
Pourquoi c'est important
Une vulnérabilité critique de contournement d'authentification dans AWS IAM Identity Center permet aux attaquants disposant d'un accès réseau aux fournisseurs d'identité fédérés de prendre n'importe quel rôle dans les comptes AWS connectés. Exploitation active détectée dans la nature.
Impact
Description
Prise de contrôle de compte
Accès administratif complet à tous les comptes AWS connectés
Exfiltration de données
Accès à S3, RDS, Secrets Manager et tous les services
Persistance
Création d'utilisateurs et de rôles IAM de porte dérobée
Fraude à la facturation
Minage de cryptomonnaie et abus de ressources
Comment vous protéger — Actions à entreprendre
Appliquez immédiatement le correctif d'urgence AWS via la console Identity Center
Examinez les journaux CloudTrail pour détecter les événements AssumeRole suspects depuis le 15 janvier
Activez AWS CloudTrail Lake pour une analyse forensique améliorée
Effectuez une rotation de tous les certificats de fournisseurs d'identité fédérés
Activez IAM Access Analyzer pour l'examen des accès inter-comptes
🔵
Critique
Contournement de la politique d'accès conditionnel Azure AD (CVE-2026-22198)
Pourquoi c'est important
Une faille dans le moteur d'évaluation de l'accès conditionnel d'Azure Active Directory permet aux attaquants de contourner les politiques de conformité des appareils et basées sur la localisation à l'aide de jetons d'authentification élaborés. Microsoft confirme une exploitation active ciblant les entreprises avec des déploiements hybrides Azure AD.
Scénario du pire
🔓
Contournement MFA
Contournement des exigences MFA pour les comptes privilégiés.
📍
Usurpation de localisation
Accès depuis des emplacements/appareils non fiables apparaissant comme légitimes.
🔗
Compromission SaaS
Compromission des applications SaaS connectées à Azure AD.
Comment vous protéger — Actions à entreprendre
Appliquez la mise à jour de sécurité d'urgence Microsoft KB5034441
Activez l'évaluation continue de l'accès (CAE) pour toutes les applications critiques
Examinez les journaux de connexion Azure AD pour détecter les revendications de jetons anormales
Mettez en œuvre les politiques basées sur le risque d'Azure AD Identity Protection
Déployez les règles de détection Microsoft Sentinel pour les tentatives de contournement de politique
🟢
Urgent
Incident d'exposition des métadonnées Google Cloud SQL
Pourquoi c'est important
Google a divulgué un accès non autorisé aux métadonnées des instances Cloud SQL affectant les clients des régions us-central1 and europe-west1 . Les données exposées comprennent les chaînes de connexion aux bases de données, les adresses IP et, dans certains cas, les identifiants stockés.
Comment vous protéger — Actions à entreprendre
Effectuez une rotation de tous les identifiants de base de données Cloud SQL
Examinez les instances Cloud SQL pour détecter les listes blanches d'IP non autorisées
Activez Cloud SQL Insights pour la surveillance des requêtes
Migrez les charges de travail sensibles vers Cloud SQL avec IP privée uniquement
Examinez les permissions IAM pour les rôles cloudsql.instances.*
🌐
Campagne active
Campagne d'exploitation des relations de confiance inter-cloud
Pourquoi c'est important
L'acteur malveillant « CloudHopper 2.0 » exploite activement les relations de confiance entre AWS, Azure et GCP dans les environnements multi-cloud. L'accès initial provient généralement du cloud le moins sécurisé, puis pivote via des identifiants partagés et des identités fédérées.
Comment vous protéger — Actions à entreprendre
Auditez les rôles IAM inter-cloud et les comptes de service
Mettez en œuvre des identifiants uniques par fournisseur cloud
Déployez des outils CSPM natifs du cloud pour une visibilité unifiée
Segmentez les réseaux cloud au niveau de la couche d'identité
Examinez les configurations VPN et de peering cloud-à-cloud
📦
Élevé
Exposition de fichiers d'état Terraform via une mauvaise configuration S3
Pourquoi c'est important
Des chercheurs ont découvert plus de 2 400 fichiers d'état Terraform accessibles publiquement dans des compartiments S3 contenant des identifiants cloud, des clés API et des détails d'infrastructure. Beaucoup appartiennent à des entreprises du Fortune 500.
Comment vous protéger — Actions à entreprendre
Activez S3 Block Public Access au niveau du compte
Migrez l'état Terraform vers des backends chiffrés (S3+DynamoDB avec KMS)
Utilisez terraform-compliance pour auditer les configurations d'état
Activez les règles AWS Config pour la détection de S3 publics
Lancez une analyse KENSAI maintenant pour vérifier si votre infrastructure cloud est affectée