La CISA signale la RCE VMware Aria Operations comme activement exploitée. Microsoft expose une attaque sophistiquée par redirection OAuth contournant la MFA. LexisNexis confirme que des pirates ont volé 2 Go de données incluant des dossiers d'employés gouvernementaux. En plus : AkzoNobel frappé par le ransomware Anubis et des campagnes de faux support informatique déploient le C2 Havoc.
La CISA a ajouté une vulnérabilité d'injection de commande VMware Aria Operations à son catalogue des vulnérabilités exploitées connues (KEV). La faille permet à des attaquants non authentifiés d'exécuter des commandes arbitraires, menant à une exécution de code à distance complète.
Score CVSS : 8.1 (Élevé) | Date limite : 24 mars 2026 pour les agences fédérales
La vulnérabilité existe dans le composant de service de migration de VMware Aria Operations. Lors d'une migration de produit assistée par le support, un acteur non authentifié peut injecter des commandes qui s'exécutent en tant que root via une mauvaise configuration de sudoers dans vmware-casa-workflow.sh.
Broadcom a publié des correctifs le 24 février ainsi qu'un script de contournement temporaire (aria-ops-rce-workaround.sh) qui désactive les composants de migration vulnérables. L'entreprise a reconnu des rapports d'exploitation active mais a déclaré qu'elle « ne peut pas confirmer indépendamment leur validité ».
| CVE | Type | Impact |
|---|---|---|
| CVE-2026-22719 | Injection de commande | RCE non authentifiée |
| CVE-2026-22720 | XSS stocké | Détournement de session |
| CVE-2026-22721 | Élévation de privilèges | Accès administrateur |
Les chercheurs de Microsoft Defender ont découvert une campagne sophistiquée où des acteurs malveillants abusent du mécanisme légitime de redirection OAuth 2.0 pour contourner les protections anti-phishing des emails et navigateurs. Les attaques ciblent principalement les organisations gouvernementales et du secteur public.
prompt=none, forçant des erreurs d'authentificationDans certaines variantes, les victimes sont redirigées vers un chemin /download qui livre automatiquement des fichiers ZIP contenant des fichiers .LNK malveillants. Ceux-ci lancent PowerShell pour la reconnaissance avant que le chargement latéral de DLL ne déploie la charge finale.
Point clé : Cette attaque abuse d'un comportement prévu dans le framework OAuth. Le mécanisme de gestion des erreurs fonctionne exactement comme le standard le spécifie — les attaquants transforment simplement le flux de redirection en arme.
Le géant des données juridiques LexisNexis Legal & Professional a confirmé que des pirates ont violé son infrastructure AWS le 24 février en exploitant la vulnérabilité React2Shell dans une application frontend React non corrigée.
L'acteur malveillant « FulcrumSec » a divulgué 2 Go de données structurées issues de la violation, revendiquant l'accès à :
LexisNexis a déclaré que les données compromises étaient « principalement des données héritées et obsolètes d'avant 2020 » et ne comprenaient pas de numéros de sécurité sociale, d'informations financières ou de mots de passe actifs. L'entreprise affirme que l'intrusion a été contenue.
Le géant néerlandais des peintures et revêtements AkzoNobel (plus de 12 milliards $ de chiffre d'affaires, 35 000 employés, plus de 150 pays) a confirmé une violation de réseau sur l'un de ses sites américains. Le gang ransomware Anubis prétend avoir exfiltré 170 Go de données incluant :
Anubis, une opération RaaS active depuis décembre 2024, offre aux affiliés 80 % des paiements de rançon et a ajouté une capacité destructrice de suppression de données à la mi-2025.
Les chercheurs de Huntress ont identifié une campagne ciblant cinq organisations où des attaquants se font passer pour du personnel de support informatique afin de déployer le framework de commande et contrôle Havoc. Le mode opératoire reproduit fidèlement les tactiques utilisées par d'anciens affiliés du ransomware Black Basta :
La vitesse du mouvement latéral suggère des objectifs finaux d'exfiltration de données ou de déploiement de ransomware.
| Événement | Impact |
|---|---|
| Frappes iraniennes sur les centres de données AWS aux EAU | Vulnérabilité des infrastructures physiques exposée ; deux installations directement touchées |
| Violation du Centre de cancérologie de l'Université d'Hawaï | 1,2 million de personnes affectées ; SSN, données de santé, registres électoraux volés |
| Percée quantique RSA | Un nouvel algorithme suggère que le décryptage RSA est réalisable plus tôt que prévu |
| Zero-day Android Qualcomm corrigé | Un dépassement d'entier dans le composant graphique entraîne une corruption de mémoire |
| SloppyLemming cible le Pakistan et le Bangladesh | Chaînes de malware doubles ciblant l'infrastructure gouvernementale |
| Panne mondiale de Facebook | Comptes indisponibles mondialement le 3 mars |
✅ Surveillance CVE en temps réel — CVE-2026-22719 indexé et signalé dans les heures suivant l'ajout au KEV
✅ Détection d'attaques OAuth — Surveillance des enregistrements d'applications OAuth suspectes et des schémas de redirection
✅ Analyse de l'infrastructure cloud — Détection de React2Shell et vulnérabilités similaires avant les attaquants
✅ Préparation anti-ransomware — Gestion continue de l'exposition aux menaces comme Anubis RaaS
Gestion des vulnérabilités alimentée par l'IA avec plus de 335 000 CVE indexés.
Essai gratuitRestez en sécurité. Restez vigilant.
🗡️ Équipe de sécurité KENSAI
Obtenez un scan de sécurité gratuit de votre site web en 60 secondes
Scan de sécurité gratuit →