Ep.581 - RadioCSIRT Édition Française – Votre actualité Cybersécurité du mercredi 18 février 2026
Nous ouvrons cette édition avec la découverte par l'équipe de recherche de Flare d'un nouveau Botnet ciblant les systèmes Linux, baptisé SSHStalker. Détecté via un SSH Honeypot sur une période de deux mois, ce Botnet utilise le protocole IRC comme canal de Command and Control. SSHStalker enchaîne un scanner SSH avec un mécanisme de staging rapide pour enrôler les machines compromises dans des canaux IRC, le tout optimisé pour le passage à l'échelle. Fait notable : le Botnet maintient une persistance dormante. Malgré des capacités de DDoS et de Cryptomining intégrées à son arsenal, aucune opération d'impact n'a été observée. Ce comportement suggère une phase de staging d'infrastructure, de test, ou de rétention stratégique d'accès pour usage ultérieur. Les chercheurs ont identifié près de sept mille résultats frais issus d'un scanner SSH datant de janvier 2026, avec des adresses IP réparties sur des hébergeurs Cloud à travers les régions US, EU et APAC. Parmi les indicateurs à surveiller : l'exécution de gcc, make ou d'outils de build sur des serveurs de production, ainsi que la présence de cron jobs s'exécutant chaque minute.
L'actualité se poursuit avec l'ajout par la CISA de deux nouvelles vulnérabilités à son catalogue Known Exploited Vulnerabilities, sur la base de preuves d'exploitation active. Première entrée : CVE-2021-22175, une vulnérabilité de type Server-Side Request Forgery affectant GitLab. Seconde entrée : CVE-2026-22769, une vulnérabilité de type Use of Hard-coded Credentials dans Dell RecoverPoint for Virtual Machines. Conformément à la Binding Operational Directive 22-01, les agences fédérales civiles américaines sont tenues de remédier à ces vulnérabilités dans les délais impartis.
Le CERT-FR a publié l'avis CERTFR-2026-AVI-0181 concernant une vulnérabilité dans Apache Tomcat, référencée CVE-2026-24734. Cette faille permet un contournement de la politique de sécurité. Les correctifs ont été publiés par Apache entre le 23 et le 27 janvier 2026.
En parallèle, une enquête publiée par Bleeping Computer et les chercheurs de Flare révèle que des canaux Telegram underground partagent activement des Proof-of-Concept, des outils offensifs et des identifiants administrateur volés liés aux vulnérabilités critiques de SmarterMail. Deux CVE sont au centre de cette activité : CVE-2026-24423, une faille de Remote Code Execution non authentifiée avec un score CVSS de 9.3, et CVE-2026-23760, un Authentication Bypass permettant de réinitialiser le mot de passe administrateur sans vérification. La weaponization s'est produite en quelques jours après la publication des correctifs.
Enfin, le CERT Santé a publié une alerte concernant la CVE-2026-2447, une vulnérabilité dans la bibliothèque libvpx utilisée par Firefox et Thunderbird. Cette faille de type Heap-based Buffer Overflow, classée CWE-122, obtient un score CVSS v3.1 de 8.8. Le vecteur d'attaque est réseau, la complexité d'exploitation est faible, aucun privilège n'est requis, mais une interaction utilisateur est nécessaire.
Sources :
-
Linux Magazine – New Linux Botnet Discovered : https://www.linux-magazine.com/Online/News/New-Linux-Botnet-Discovered
-
CISA – CISA Adds Two Known Exploited Vulnerabilities to Catalog : https://www.cisa.gov/news-events/alerts/2026/02/18/cisa-adds-two-known-exploited-vulnerabilities-catalog
-
CERT-FR – CERTFR-2026-AVI-0181 Vulnérabilité dans Apache Tomcat : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0181/
-
Bleeping Computer – Telegram Channels Expose Rapid Weaponization of SmarterMail Flaws : https://www.bleepingcomputer.com/news/security/telegram-channels-expose-rapid-weaponization-of-smartermail-flaws/
-
CERT Santé – Mozilla CVE-2026-2447 : https://cyberveille.esante.gouv.fr/alertes/mozilla-cve-2026-2447-2026-02-18
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com
Nous ouvrons cette édition avec la découverte par l'équipe de recherche de Flare d'un nouveau Botnet ciblant les systèmes Linux, baptisé SSHStalker. Détecté via un SSH Honeypot sur une période de deux mois, ce Botnet utilise le protocole IRC comme canal de Command and Control. SSHStalker enchaîne un scanner SSH avec un mécanisme de staging rapide pour enrôler les machines compromises dans des canaux IRC, le tout optimisé pour le passage à l'échelle. Fait notable : le Botnet maintient une persistance dormante. Malgré des capacités de DDoS et de Cryptomining intégrées à son arsenal, aucune opération d'impact n'a été observée. Ce comportement suggère une phase de staging d'infrastructure, de test, ou de rétention stratégique d'accès pour usage ultérieur. Les chercheurs ont identifié près de sept mille résultats frais issus d'un scanner SSH datant de janvier 2026, avec des adresses IP réparties sur des hébergeurs Cloud à travers les régions US, EU et APAC. Parmi les indicateurs à surveiller : l'exécution de gcc, make ou d'outils de build sur des serveurs de production, ainsi que la présence de cron jobs s'exécutant chaque minute.
L'actualité se poursuit avec l'ajout par la CISA de deux nouvelles vulnérabilités à son catalogue Known Exploited Vulnerabilities, sur la base de preuves d'exploitation active. Première entrée : CVE-2021-22175, une vulnérabilité de type Server-Side Request Forgery affectant GitLab. Seconde entrée : CVE-2026-22769, une vulnérabilité de type Use of Hard-coded Credentials dans Dell RecoverPoint for Virtual Machines. Conformément à la Binding Operational Directive 22-01, les agences fédérales civiles américaines sont tenues de remédier à ces vulnérabilités dans les délais impartis.
Le CERT-FR a publié l'avis CERTFR-2026-AVI-0181 concernant une vulnérabilité dans Apache Tomcat, référencée CVE-2026-24734. Cette faille permet un contournement de la politique de sécurité. Les correctifs ont été publiés par Apache entre le 23 et le 27 janvier 2026.
En parallèle, une enquête publiée par Bleeping Computer et les chercheurs de Flare révèle que des canaux Telegram underground partagent activement des Proof-of-Concept, des outils offensifs et des identifiants administrateur volés liés aux vulnérabilités critiques de SmarterMail. Deux CVE sont au centre de cette activité : CVE-2026-24423, une faille de Remote Code Execution non authentifiée avec un score CVSS de 9.3, et CVE-2026-23760, un Authentication Bypass permettant de réinitialiser le mot de passe administrateur sans vérification. La weaponization s'est produite en quelques jours après la publication des correctifs.
Enfin, le CERT Santé a publié une alerte concernant la CVE-2026-2447, une vulnérabilité dans la bibliothèque libvpx utilisée par Firefox et Thunderbird. Cette faille de type Heap-based Buffer Overflow, classée CWE-122, obtient un score CVSS v3.1 de 8.8. Le vecteur d'attaque est réseau, la complexité d'exploitation est faible, aucun privilège n'est requis, mais une interaction utilisateur est nécessaire.
Sources :
- Linux Magazine – New Linux Botnet Discovered : https://www.linux-magazine.com/Online/News/New-Linux-Botnet-Discovered
- CISA – CISA Adds Two Known Exploited Vulnerabilities to Catalog : https://www.cisa.gov/news-events/alerts/2026/02/18/cisa-adds-two-known-exploited-vulnerabilities-catalog
- CERT-FR – CERTFR-2026-AVI-0181 Vulnérabilité dans Apache Tomcat : https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0181/
- Bleeping Computer – Telegram Channels Expose Rapid Weaponization of SmarterMail Flaws : https://www.bleepingcomputer.com/news/security/telegram-channels-expose-rapid-weaponization-of-smartermail-flaws/
- CERT Santé – Mozilla CVE-2026-2447 : https://cyberveille.esante.gouv.fr/alertes/mozilla-cve-2026-2447-2026-02-18
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.