← Retour au blog sécurité
Bulletin de sécurité 4 mars 2026 8 min de lecture

Exploit VMware en liberté, vague de phishing OAuth et violation LexisNexis

La CISA signale la RCE VMware Aria Operations comme activement exploitée. Microsoft expose une attaque sophistiquée par redirection OAuth contournant la MFA. LexisNexis confirme que des pirates ont volé 2 Go de données incluant des dossiers d'employés gouvernementaux. En plus : AkzoNobel frappé par le ransomware Anubis et des campagnes de faux support informatique déploient le C2 Havoc.


🔴 Critique : VMware Aria Operations sous attaque active

CVE-2026-22719 — CORRECTIF IMMÉDIAT REQUIS

La CISA a ajouté une vulnérabilité d'injection de commande VMware Aria Operations à son catalogue des vulnérabilités exploitées connues (KEV). La faille permet à des attaquants non authentifiés d'exécuter des commandes arbitraires, menant à une exécution de code à distance complète.

Score CVSS : 8.1 (Élevé)  |  Date limite : 24 mars 2026 pour les agences fédérales

La vulnérabilité existe dans le composant de service de migration de VMware Aria Operations. Lors d'une migration de produit assistée par le support, un acteur non authentifié peut injecter des commandes qui s'exécutent en tant que root via une mauvaise configuration de sudoers dans vmware-casa-workflow.sh.

Broadcom a publié des correctifs le 24 février ainsi qu'un script de contournement temporaire (aria-ops-rce-workaround.sh) qui désactive les composants de migration vulnérables. L'entreprise a reconnu des rapports d'exploitation active mais a déclaré qu'elle « ne peut pas confirmer indépendamment leur validité ».

Également corrigé dans VMSA-2026-0001 :

CVETypeImpact
CVE-2026-22719Injection de commandeRCE non authentifiée
CVE-2026-22720XSS stockéDétournement de session
CVE-2026-22721Élévation de privilègesAccès administrateur

🟠 Abus de redirection OAuth : contournement de la MFA à grande échelle

Les chercheurs de Microsoft Defender ont découvert une campagne sophistiquée où des acteurs malveillants abusent du mécanisme légitime de redirection OAuth 2.0 pour contourner les protections anti-phishing des emails et navigateurs. Les attaques ciblent principalement les organisations gouvernementales et du secteur public.

Comment fonctionne l'attaque :

  1. Livraison du leurre : Des emails de phishing déguisés en demandes de signature électronique, avis SSA ou invitations à des réunions contiennent des URLs de redirection OAuth
  2. Échec d'authentification silencieux : Les attaquants enregistrent des applications OAuth malveillantes avec des scopes invalides et prompt=none, forçant des erreurs d'authentification
  3. Détournement de redirection : Le fournisseur d'identité redirige les victimes vers l'URI de redirection contrôlée par l'attaquant
  4. Vol d'identifiants : Les frameworks d'interception EvilProxy capturent les cookies de session, contournant la MFA

Dans certaines variantes, les victimes sont redirigées vers un chemin /download qui livre automatiquement des fichiers ZIP contenant des fichiers .LNK malveillants. Ceux-ci lancent PowerShell pour la reconnaissance avant que le chargement latéral de DLL ne déploie la charge finale.

Point clé : Cette attaque abuse d'un comportement prévu dans le framework OAuth. Le mécanisme de gestion des erreurs fonctionne exactement comme le standard le spécifie — les attaquants transforment simplement le flux de redirection en arme.


🔴 Violation LexisNexis : données gouvernementales exposées

Le géant des données juridiques LexisNexis Legal & Professional a confirmé que des pirates ont violé son infrastructure AWS le 24 février en exploitant la vulnérabilité React2Shell dans une application frontend React non corrigée.

L'acteur malveillant « FulcrumSec » a divulgué 2 Go de données structurées issues de la violation, revendiquant l'accès à :

LexisNexis a déclaré que les données compromises étaient « principalement des données héritées et obsolètes d'avant 2020 » et ne comprenaient pas de numéros de sécurité sociale, d'informations financières ou de mots de passe actifs. L'entreprise affirme que l'intrusion a été contenue.


🟠 Le ransomware Anubis frappe AkzoNobel

Le géant néerlandais des peintures et revêtements AkzoNobel (plus de 12 milliards $ de chiffre d'affaires, 35 000 employés, plus de 150 pays) a confirmé une violation de réseau sur l'un de ses sites américains. Le gang ransomware Anubis prétend avoir exfiltré 170 Go de données incluant :

Anubis, une opération RaaS active depuis décembre 2024, offre aux affiliés 80 % des paiements de rançon et a ajouté une capacité destructrice de suppression de données à la mi-2025.


🟡 Le faux support informatique déploie le framework C2 Havoc

Les chercheurs de Huntress ont identifié une campagne ciblant cinq organisations où des attaquants se font passer pour du personnel de support informatique afin de déployer le framework de commande et contrôle Havoc. Le mode opératoire reproduit fidèlement les tactiques utilisées par d'anciens affiliés du ransomware Black Basta :

  1. Bombarder la boîte de réception de la cible avec du spam
  2. Appeler en se faisant passer pour le support informatique offrant de l'aide
  3. Déployer des charges Havoc Demon et des outils RMM légitimes
  4. Se déplacer latéralement — dans un cas, 9 endpoints compromis en 11 heures

La vitesse du mouvement latéral suggère des objectifs finaux d'exfiltration de données ou de déploiement de ransomware.


📊 Plus de titres en bref

ÉvénementImpact
Frappes iraniennes sur les centres de données AWS aux EAUVulnérabilité des infrastructures physiques exposée ; deux installations directement touchées
Violation du Centre de cancérologie de l'Université d'Hawaï1,2 million de personnes affectées ; SSN, données de santé, registres électoraux volés
Percée quantique RSAUn nouvel algorithme suggère que le décryptage RSA est réalisable plus tôt que prévu
Zero-day Android Qualcomm corrigéUn dépassement d'entier dans le composant graphique entraîne une corruption de mémoire
SloppyLemming cible le Pakistan et le BangladeshChaînes de malware doubles ciblant l'infrastructure gouvernementale
Panne mondiale de FacebookComptes indisponibles mondialement le 3 mars

Comment Kensai vous protège

Surveillance CVE en temps réel — CVE-2026-22719 indexé et signalé dans les heures suivant l'ajout au KEV

Détection d'attaques OAuth — Surveillance des enregistrements d'applications OAuth suspectes et des schémas de redirection

Analyse de l'infrastructure cloud — Détection de React2Shell et vulnérabilités similaires avant les attaquants

Préparation anti-ransomware — Gestion continue de l'exposition aux menaces comme Anubis RaaS


Actions recommandées

  1. Immédiat : Corrigez VMware Aria Operations ou appliquez le script de contournement pour CVE-2026-22719
  2. Immédiat : Auditez les enregistrements d'applications OAuth dans votre tenant Entra ID
  3. Aujourd'hui : Vérifiez les frontends React/Node.js pour la vulnérabilité React2Shell
  4. Cette semaine : Révisez les politiques d'accès conditionnel et restreignez le consentement des applications OAuth
  5. En continu : Formez le personnel aux tactiques d'ingénierie sociale du faux support informatique

Protégez votre organisation avec Kensai

Gestion des vulnérabilités alimentée par l'IA avec plus de 335 000 CVE indexés.

Essai gratuit

Restez en sécurité. Restez vigilant.

🗡️ Équipe de sécurité KENSAI

🛡️ Protégez votre entreprise

Obtenez un scan de sécurité gratuit de votre site web en 60 secondes

Scan de sécurité gratuit →
📚 Plus d'articles 🏠 Accueil