Agence américaine pour l'infrastructure et la cybersécurité. États-Unis (CISA) a récemment ajouté huit vulnérabilités à son catalogue de Vulnérabilités exploitées connues (KEV), un signe clair qu'il y a des échecs qui sont déjà exploités ou pour lesquels il y a des preuves d'abus dans des environnements réels. Cette inclusion exige des gestionnaires et des responsables de la sécurité qu'ils privilégient le stationnement et l'atténuation : lorsque la CISA qualifie un problème d'« exploitation connue », le risque n'est plus théorique et devient urgent.
Parmi les vulnérabilités supplémentaires figurent les problèmes qui affectent les solutions hautement utilisées dans les entreprises, des imprimantes et des services de collaboration aux plateformes de gestion de réseau et d'orchestration. Il s'agit, par exemple, d'un échec d'authentification dans PaperCut NG / MF (CVE-2023-27351) qui a été utilisé historiquement dans les campagnes Ransomware, et de plusieurs faiblesses dans JetBrains TeamCity et Kentico Xperience qui permettent de gérer des routes limitées ou des actions administratives. Il y a aussi trois défaillances dans Cisco Catalyst SD-WAN Manager qui, combinés, peuvent permettre d'écraser des fichiers dans le système à l'exposition des références ou des informations sensibles.
La présence d'un CVE avec une note maximale (10,0) liée à l'application de gestion des systèmes Quest KACE (CVE-2025-32975) mérite une attention particulière : un échec d'authentification qui permettrait à un attaquant de planter des utilisateurs sans références valides représente un moyen direct de compromettre les environnements gérés. En fait, les fournisseurs de détection et d'intervention ont documenté les tentatives d'exploitation contre l'application d'AMP non utilisée, ce qui souligne la nécessité d'examiner et de mettre en oeuvre les mises à jour le plus rapidement possible. Vous pouvez consulter des informations générales sur les avis des fabricants sur des portails officiels tels que Quest: support.quest.com.
Dans certains cas, il existe déjà des pouvoirs et des traces de campagnes passées. L'exploitation de l'échec de PaperCut (CVE-2023-27351) a été liée en 2023 à un acteur appelé Lace Temper, lié à la distribution de familles Ransomware telles que Cl0p et LockBit; cela montre comment la vulnérabilité dans un service apparemment périphérique - comme la gestion de l'impression - peut devenir la passerelle vers des incidents à impact élevé. Pour mieux comprendre le contexte de ces campagnes et leur sophistication, il est utile d'examiner l'analyse et le suivi de l'activité par les entreprises de cybersécurité et les médias spécialisés tels que Calculateur.
En ce qui concerne Cisco, la société a confirmé qu'elle avait un record d'exploitation dans des environnements réels d'au moins deux des défaillances signalées dans le gestionnaire du SD-WAN (CVE-2026-20122 et CVE-2026-20128), tandis que pour un autre (CVE-2026-20133), il n'y avait toujours aucune reconnaissance explicite d'abus généralisé au moment de la notification de la CISA. Comme les trois défauts affectent la même plate-forme et permettent différentes manières de lever des privilèges et des informations sensibles, la recommandation est de les traiter ensemble : appliquer des correctifs officiels et revoir les configurations, les références et les accès. La page des avis généraux de Cisco est un bon point de départ : cisco.com / conseils de sécurité.
En plus des correctifs, les organisations devraient renforcer les contrôles complémentaires : la segmentation du réseau pour limiter la portée de l'opération, la vérification de l'accès et des privilèges pour détecter les comptes anormales, et la surveillance de l'intégrité dans les systèmes critiques pour alerter les écrasements suspects. Il n'y a pas de « certitude » pour ces problèmes; il s'agit de combiner les mises à jour, les contrôles de détection et les bonnes pratiques opérationnelles pour réduire les risques pendant la mise en oeuvre des corrections.
Les dates que la CISA a fixées pour la correction de ces jugements sont impératives pour les organismes fédéraux civils : les trois vulnérabilités de Cisco doivent être corrigées d'ici le 23 avril 2026, et le reste d'ici le 4 mai 2026. Bien que ces délais s'appliquent directement aux unités du gouvernement fédéral, ils constituent un indicateur utile pour le secteur privé de la priorité à leur accorder : lorsque l'organisme de réglementation fixe un calendrier strict, c'est parce que la menace est réelle et étroite.
Il n'est pas non plus approprié de perdre de vue l'ensemble de la chaîne : lorsqu'une vulnérabilité d'un produit géré ou d'une application est exploitée - comme Arctic Wolf l'a observé lors de campagnes contre la SMA sans patching - l'impact peut être réparti par des mises à jour, des systèmes de gestion et des outils de patching mal vérifiés. Tenir des inventaires détaillés des actifs et vérifier rapidement quelles versions sont utilisées est aussi essentiel que d'appliquer des correctifs. Pour suivre l'analyse de campagne et de détection, les blogs des fournisseurs de services de sécurité et d'intervention peuvent fournir des informations précoces sur les tactiques et les détections: arcticwolf.com / blog.
Si vous êtes responsable de la sécurité dans une entreprise, agir dans cet ordre : identifier si vous êtes exposé, évaluer le risque en fonction de l'utilisation et de l'accès aux équipements concernés, appliquer les mises à jour officielles des fournisseurs et, dans l'intervalle, renforcer les contrôles d'accès et de surveillance. Gardez également les canaux de communication ouverts auprès de vos fournisseurs et vérifiez les pages des avis officiels de chaque fabricant pour confirmer les instructions d'atténuation spécifiques; les sites de référence centraux sont les portails de sécurité des fabricants et la liste CISA elle-même: Catalogue des vulnérabilités exploitées.
En bref, l'entrée de ces huit vulnérabilités dans la KEV n'est pas seulement une mise à jour d'enregistrement : c'est un rappel que le paysage de menace est toujours actif et que la fenêtre entre la divulgation d'un échec et son exploitation peut être très courte. La combinaison des patchs, de la visibilité et des contrôles de base de la cyberhygiene est la meilleure défense contre ces menaces, et la priorité doit être réelle et mesurée en jours, pas en semaines.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...