Ep.606 - RadioCSIRT Édition Française - Veille cyber du lundi 23 mars 2026
Microsoft détecte une campagne de Phishing massive usurpant l'IRS ayant frappé 29 000 utilisateurs dans 10 000 organisations le 10 février 2026, distribuant via Amazon SES un ScreenConnect malveillant protégé par Cloudflare contre l'analyse automatisée.
Le groupe TeamPCP déploie CanisterWorm, un Wiper ciblant les systèmes configurés sur le fuseau horaire iranien, propagé via Docker APIs et clusters Kubernetes exposés, avec une infrastructure C2 basée sur des canisters ICP blockchain, après avoir compromis les scanners Trivy et KICS via des supply chain attacks sur GitHub Actions.
La Shadowserver Foundation identifie 511 000 instances Microsoft IIS en fin de vie exposées sur Internet, dont 227 000 en état End-of-Support complet sans aucun correctif disponible, majoritairement concentrées en Chine et aux États-Unis.
Le CERT-FR publie l'avis CERTFR-2026-AVI-0338 signalant la CVE-2026-32746, permettant une exécution de code arbitraire à distance sur plusieurs branches DSM de Synology, sans correctif disponible pour DSMUC 3.1.
Le CERT-FR publie l'avis CERTFR-2026-AVI-0337 concernant les CVE-2026-3055 et CVE-2026-4368 affectant NetScaler ADC et Gateway, permettant atteinte à la confidentialité et contournement de politique de sécurité.
Le CERT-FR publie l'avis CERTFR-2026-AVI-0336 signalant douze CVE dans les composants QNAP — QuFTP Service, QuNetSwitch, QuRouter et QVR Pro — couvrant exécution de code arbitraire à distance, déni de service et injections XSS.
Qualys révèle CrackArmor, neuf vulnérabilités dans le code AppArmor du noyau Linux permettant élévation de privilèges locale vers root et théoriquement une container escape dans les environnements conteneurisés, affectant toutes les versions Ubuntu supportées, avec correctifs disponibles pour le noyau, sudo et util-linux.
Sources :
-
https://thehackernews.com/2026/03/microsoft-warns-irs-phishing-hits-29000.html
-
https://krebsonsecurity.com/2026/03/canisterworm-springs-wiper-attack-targeting-iran/
-
https://gbhackers.com/511000-end-of-life-iis-instances-found-online/
-
https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0338/
-
https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0337/
-
https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0336/
-
https://canonical.com/blog/apparmor-vulnerability-fixes-available
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com
Microsoft détecte une campagne de Phishing massive usurpant l'IRS ayant frappé 29 000 utilisateurs dans 10 000 organisations le 10 février 2026, distribuant via Amazon SES un ScreenConnect malveillant protégé par Cloudflare contre l'analyse automatisée.
Le groupe TeamPCP déploie CanisterWorm, un Wiper ciblant les systèmes configurés sur le fuseau horaire iranien, propagé via Docker APIs et clusters Kubernetes exposés, avec une infrastructure C2 basée sur des canisters ICP blockchain, après avoir compromis les scanners Trivy et KICS via des supply chain attacks sur GitHub Actions.
La Shadowserver Foundation identifie 511 000 instances Microsoft IIS en fin de vie exposées sur Internet, dont 227 000 en état End-of-Support complet sans aucun correctif disponible, majoritairement concentrées en Chine et aux États-Unis.
Le CERT-FR publie l'avis CERTFR-2026-AVI-0338 signalant la CVE-2026-32746, permettant une exécution de code arbitraire à distance sur plusieurs branches DSM de Synology, sans correctif disponible pour DSMUC 3.1.
Le CERT-FR publie l'avis CERTFR-2026-AVI-0337 concernant les CVE-2026-3055 et CVE-2026-4368 affectant NetScaler ADC et Gateway, permettant atteinte à la confidentialité et contournement de politique de sécurité.
Le CERT-FR publie l'avis CERTFR-2026-AVI-0336 signalant douze CVE dans les composants QNAP — QuFTP Service, QuNetSwitch, QuRouter et QVR Pro — couvrant exécution de code arbitraire à distance, déni de service et injections XSS.
Qualys révèle CrackArmor, neuf vulnérabilités dans le code AppArmor du noyau Linux permettant élévation de privilèges locale vers root et théoriquement une container escape dans les environnements conteneurisés, affectant toutes les versions Ubuntu supportées, avec correctifs disponibles pour le noyau, sudo et util-linux.
Sources :
- https://thehackernews.com/2026/03/microsoft-warns-irs-phishing-hits-29000.html
- https://krebsonsecurity.com/2026/03/canisterworm-springs-wiper-attack-targeting-iran/
- https://gbhackers.com/511000-end-of-life-iis-instances-found-online/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0338/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0337/
- https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0336/
- https://canonical.com/blog/apparmor-vulnerability-fixes-available
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com
- CSIRT
- CERT
- RadioCSIRT
- Marc Frédéric GOMEZ
- CERT-FR
- AVIS
- CVE-2026-32746
- CVE-2026-4368
- CVE-2025-32746
- Shadowserver foundation
- Microsoft IIS
- TeamPCP
- CrackArmor
- DFIR
- OpenDFIR
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.