← Retour au blog
Briefing sécurité5 min read2026-05-05

Briefing sécurité, 5 mai 2026 : RCE Weaver, Copy Fail, porte dérobée PyTorch Lightning et phishing Amazon SES

Le motif de ce matin est simple : les attaquants se servent des tuyaux de confiance. Logiciel de workflow, noyaux Linux, dépendances développeur et e-mail cloud légitime deviennent des voies rapides dès que les équipes supposent que le canal lui-même est sûr.


À retenir : Patchez vite Weaver E-cology et les noyaux Linux, retirez lightning 2.6.3 partout où il a été importé, faites tourner les secrets exposés et considérez l’abus d’Amazon SES comme un problème d’identité cloud, pas seulement de filtrage e-mail.


1. Weaver E-cology rappelle qu’un endpoint de debug caché finit souvent en véritable porte d’entrée

BleepingComputer indique que la CVE-2026-22679 dans Weaver E-cology est exploitée depuis la mi-mars. Vega décrit une RCE non authentifiée via une API de debug exposée qui laissait des paramètres contrôlés par l’attaquant atteindre des fonctions RPC backend et des commandes système. L’activité observée montre de la reconnaissance, des charges PowerShell et des récupérations répétées de scripts sans fichier.


2. Copy Fail est déjà passé du papier de recherche au risque réel de root

La CISA a ajouté CVE-2026-31431, alias Copy Fail, à son catalogue KEV un jour après la divulgation publique. La faille touche l’interface algif_aead et permet à un utilisateur local non privilégié d’obtenir root en écrivant des octets contrôlés dans le page cache de n’importe quel fichier lisible. Theori dit que le même exploit a fonctionné de façon fiable sur Ubuntu, Amazon Linux, RHEL et SUSE.


3. PyTorch Lightning 2.6.3 a transformé une dépendance IA populaire en piège à secrets dès l’import

Une version malveillante de lightning 2.6.3 sur PyPI téléchargeait automatiquement Bun puis exécutait une charge JavaScript obfusquée à l’import. Selon le rapport, la charge visait les données navigateur, fichiers .env, clés API, identifiants cloud et permettait l’exécution arbitraire de commandes. Avec plus de 11 millions de téléchargements mensuels, il ne faut pas une infection massive pour produire un vrai désastre de confiance.


4. Le phishing via Amazon SES montre comment la confiance cloud neutralise les défenses par réputation

Kaspersky observe une hausse du phishing envoyé via Amazon SES, souvent rendue possible par des clés AWS IAM exposées dans des dépôts publics, fichiers .env, sauvegardes, images ou buckets S3 ouverts. Comme les messages partent de l’infrastructure légitime de SES, ils passent plus facilement SPF, DKIM et DMARC, ce qui affaiblit fortement les blocages classiques.


Ce que les équipes sécurité doivent faire aujourd’hui

  1. Patchez Weaver E-cology et les noyaux Linux vulnérables avant le reste de l’hygiène courante.
  2. Contrôlez les inventaires logiciels et pipelines CI pour lightning 2.6.3, puis faites tourner chaque secret touché.
  3. Passez en revue les chemins d’exposition AWS IAM et traitez l’abus de SES comme un échec d’identité et de gestion des secrets.
  4. Rappelez aux équipes de réponse que le thème du jour est la confiance injustifiée dans l’infrastructure familière : endpoints de debug, noyaux, packages et cloud mail doivent être vérifiés.

Sources


En bref : La panne logique commune aujourd’hui est la confiance excessive dans des canaux qui ont l’air légitimes. La réponse est brutale mais simple : patcher vite, faire tourner les secrets sans discuter et vérifier chaque plateforme de confiance comme si elle faisait déjà partie du chemin d’attaque.

Repérez d’abord les chemins de confiance que les attaquants viseront

KENSAI aide les équipes à cartographier services exposés, chemins d’identité fragiles, dépendances risquées et surfaces cloud avant que l’infrastructure de confiance ne devienne du carburant d’incident.

Lancer un scan gratuit →

Restez affûtés.

🗡️ KENSAI Security Team