La United States Agency for Infrastructure and Cybersecurity (CISA) vient de mettre à jour son catalogue de vulnérabilités connues et exploitées (Known Exploited Vulnerabilities, KEV) avec quatre échecs qui, selon l'agence, sont déjà exploités dans des environnements réels. Cette liste de « vulnérabilités actives » sert d'avertissement aux gestionnaires et aux responsables de la sécurité : lorsque la CISA ajoute un échec à KEV, elle le fait parce qu'il y a des signes d'exploitation, et les organisations doivent agir rapidement. Vous pouvez vérifier l'alerte officielle de la CISA Voilà. et le catalogue complet Voilà..
Parmi les quatre erreurs intégrées il y a un mélange qui couvre les navigateurs, les solutions anti-ransomware, les serveurs de courrier / collaboration et les anciens contrôles ActiveX sur Windows. Le premier, identifié comme CVE-2026-2441, est un problème d'utilisation après libre sur Google Chrome avec un score CVSS élevé (8.8) qui pourrait permettre à une page HTML malveillante de causer la corruption de la mémoire et l'exécution à distance. La CISA note qu'il existe des preuves d'exploitation de nature et, dans ce contexte, il est essentiel d'appliquer les mises à jour du navigateur dès que possible.
Un autre cas pertinent est CVE-2024-7694, un fichier de téléchargement arbitraire de la défaillance dans certaines versions du produit TeamT5 ThreatSonar Anti- Ransomware (3.4.5 et plus). Ce type de vulnérabilité permet à un attaquant de placer des fichiers malveillants sur le serveur et, dans des scénarios extrêmes, d'exécuter des commandes sur la machine touchée. Un bulletin taïwanais de coordination des incidents a déjà décrit comment fonctionne la mécanique de défaillance; vous pouvez lire la note technique Voilà..
Le catalogue intègre également une vulnérabilité ancienne mais extrêmement dangereuse: CVE-2020-7796, un échec SSRF (Server-Side Request Forgery) dans la suite Zimbra Collaboration (ZCS). Des recherches antérieures ont montré que les opérateurs automatisés ont scanné et attaqué des acteurs vulnérables dans différents pays, ce qui montre que SSRF est un moyen efficace de pivoter d'une application web vers des systèmes internes.
Enfin, une vulnérabilité historique avec exploitation connue apparaît : CVE-2008-0015, un dépassement de tampon dans la commande ActiveX "Windows Video" qui peut conduire à l'exécution à distance si un utilisateur ouvre un site Web manipulé. Microsoft maintient des entrées dans son encyclopédie de menace qui décrivent comment les exploits associés peuvent télécharger et exécuter des logiciels malveillants, y compris le ver connu comme Dogkild, avec la capacité de diffuser et de saboter les mesures de sécurité. La documentation de Microsoft sur cette explosion est disponible Voilà..
Que nous dit cette mise à jour KEV en termes pratiques? Tout d'abord, que la surface d'attaque reste hétérogène: des navigateurs modernes aux composants existants tels que ActiveX ou des logiciels de sauvegarde et de sécurité spécifiques. Deuxièmement, les attaquants combinent des techniques anciennes et nouvelles: des analyses SSRF massives, l'exploitation dirigée des bogues dans les navigateurs et l'abus des fonctions de téléchargement de fichiers. Une analyse publique précédente des acteurs qui ont scanné le réseau mondial pour exploiter SSRF comprend un schéma d'activité avec des centaines d'adresses IP pointant vers des cas vulnérables, ce qui illustre l'ampleur du problème; pour une vue d'ensemble des activités de numérisation et de télémétrie, la plateforme GreyBoise offre un contexte sur la façon dont ces clusters se comportent. Voilà..
Pour les équipements techniques et responsables des risques, la priorité est claire : appliquer les correctifs et les mesures d'atténuation le plus tôt possible. La CISA est souvent accompagnée de ces ajouts KEV avec des délais pour les entités fédérales; dans ce cas, les agences du Gouvernement civil fédéral (FCEB) ont comme date recommandée le 10 mars 2026 pour déployer les corrections pertinentes. Mais cette date n'est pas une excuse pour attendre - si votre environnement est public ou critique, mettre à jour immédiatement.
Au-delà du patching, il est nécessaire de prendre des mesures complémentaires: réduire l'exposition du public aux services qui ne devraient pas être accessibles depuis Internet, revoir les dossiers et la télémétrie à la recherche d'indicateurs d'engagement, renforcer les politiques de collecte de fichiers (validation, sandboxing, analyse de contenu) et déployer des règles de pare-feu ou de WAF qui atténuent les vecteurs connus tout en appliquant la correction finale. Dans le cas des navigateurs, forcer les mises à jour automatiques et sensibiliser les utilisateurs au risque d'ouverture de liens ou de fichiers suspects est fondamental.
Un aspect important que les analystes soulignent souvent est la nécessité de hiérarchiser selon le contexte : un CVE avec un score de 9.x (comme le SSRF Zimbra) mérite une attention immédiate, mais la décision finale doit peser les actifs exposés, la compensation opérationnelle et l'atténuation disponibles. Les outils de gestion des lots et les inventaires des biens aident à identifier les serveurs ou les stations à risque et à accélérer les interventions.
Enfin, et peut-être le plus pratique pour les gestionnaires : examiner les références publiées par les organisations concernées elles-mêmes et par les agences de confiance. Les puces de la CISA et le catalogue KEV fournissent des résumés des menaces et des liens de patch; les pages CVE contiennent des détails techniques; et les sources telles que la documentation des fournisseurs d'intervention locaux ou de l'équipement fournissent des procédures d'atténuation et des mises à jour. Voici les principales ressources citées dans cet article : https: / / www.cisa.gov / news-events / alertes / 2026 / 02 / 17 / cisa-adds-four-know-know-exploited-vulnérabilités -catalogues, le catalogue KEV https: / / www.cisa.gov / knowledge-exploited-vulnerabilities-catalog et les entrées de chaque CVE CVE(par exemple, CVE-2026-2441, CVE-2024-7694, CVE-2020-7796, CVE-2008-0015). Pour plus de détails sur le vecteur TeamT5, consultez la newsletter taïwanaise https: / / www.twcert.org.tw / fr / cp-139-8000-e5a5c-2.html, et pour des informations sur l'explosion historique et les familles de logiciels malveillants connexes, l'encyclopédie de menace Microsoft offre contexte https: / / www.microsoft.com / en-us / wdsi / menaces / malware-encyclopedi-description? Nom = Exploitation: HTML / CVE-2008-0015 et https: / / www.microsoft.com / en-us / wdsi / menaces / malware-encyclopedi-description? Nom = Worm: Win32 / Dogkild. A.
La leçon laissée par cette mise à jour est simple : les menaces ne respectent pas l'ancienneté ou la popularité des logiciels. Un composant ancien et largement installé peut être aussi dangereux qu'un bug d'un navigateur moderne si correctement exploité. Une cyberdéfense efficace combine un stationnement rapide, une visibilité permanente et des réponses coordonnées, et quand la CISA place quelque chose dans la KEV, il est approprié de la prendre comme une alerte rouge et agir en conséquence.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...