### Vulnérabilités activement exploitées La **CISA** a ajouté deux vulnérabilités à son catalogue de vulnérabilités connues exploitées (KEV), soulignant le besoin urgent de remédiation : * **CVE-2025-66376** (score CVSS : 7.2) : Une vulnérabilité de cross-site scripting (XSS) stockée dans l'interface utilisateur classique (Classic UI) de **ZCS**. Les attaquants peuvent exploiter cette faille en utilisant des directives Cascading Style Sheets (CSS) @import dans un e-mail HTML. Ce problème a été corrigé dans les versions 10.0.18 et 10.1.13 de **Zimbra**, publiées en novembre 2025. * **CVE-2026-20963** (score CVSS : 8.8) : Une vulnérabilité de désérialisation de données non fiables dans **Microsoft Office SharePoint**. Cette vulnérabilité permet à des attaquants non autorisés d'exécuter du code arbitraire à distance. **Microsoft** a publié un correctif pour cette faille en janvier 2026. ### Opération GhostMail : Exploitation du XSS de Zimbra L'ajout de la **CVE-2025-66376** au catalogue KEV fait suite à un rapport de **Seqrite Labs**, qui a découvert une campagne baptisée "Opération GhostMail". Cette campagne, attribuée à un acteur de menace présumé parrainé par l'État russe, a ciblé le Service hydrographique de l'État d'Ukraine (hydro.gov[.]ua). **Seqrite Labs** a détaillé comment les attaquants ont utilisé une enquête d'internship socialement ingénierée pour livrer un payload JavaScript obfusqué, intégré directement dans le corps de l'e-mail. Lorsqu'une victime ouvre l'e-mail dans une session webmail **Zimbra** vulnérable, le payload exploite la **CVE-2025-66376**. "L'e-mail de phishing ne contient aucune pièce jointe malveillante, aucun lien suspect, aucune macro. Toute la chaîne d'attaque réside dans le corps HTML d'un seul e-mail, sans aucune pièce jointe malveillante." Ce malware JavaScript est conçu pour collecter des informations sensibles, notamment des identifiants, des jetons de session, des codes de récupération de sauvegarde pour l'authentification à deux facteurs (2FA), des mots de passe enregistrés dans le navigateur et le contenu de la boîte aux lettres de la victime des 90 derniers jours. Les données volées sont ensuite exfiltrées via DNS et HTTPS. La campagne s'aligne sur des attaques antérieures d'acteurs parrainés par l'État russe, telles que l'Opération RoundPress, qui a exploité des vulnérabilités XSS dans les logiciels de webmail pour compromettre des organisations ukrainiennes. **Seqrite Labs** souligne que "l'Opération GhostMail démontre l'évolution continue des intrusions axées sur le webmail, où les attaquants s'appuient entièrement sur des voleurs résidant dans le navigateur plutôt que sur des binaires de malware traditionnels. En intégrant du JavaScript obfusqué directement dans un e-mail HTML et en exploitant une condition XSS de webmail **Zimbra**, l'acteur de menace obtient une interception complète de session sans déposer de fichiers, exploiter de macros ou déclencher de détections basées sur les terminaux." ### Exploitation de la vulnérabilité SharePoint Actuellement, aucun rapport public ne détaille l'exploitation de la **CVE-2026-20963**, y compris l'identité de l'acteur de menace ou l'étendue des attaques. Cependant, en raison de son exploitation active, la **CISA** conseille vivement aux agences du Federal Civilian Executive Branch (FCEB) d'appliquer les correctifs nécessaires pour la **CVE-2025-66376** d'ici le 1er avril 2026, et pour la **CVE-2026-20963** d'ici le 23 mars 2026. ### Ransomware Interlock et Zero-Day Cisco Cette divulgation coïncide avec des nouvelles d'**Amazon** indiquant que des acteurs de menace associés au ransomware **Interlock** exploitent une faille de sécurité critique dans le logiciel de gestion de pare-feu de **Cisco** (**CVE-2026-20131**, score CVSS : 10.0) depuis le 26 janvier 2026, avant sa divulgation publique. Selon **Amazon**, "**Interlock** a historiquement ciblé des secteurs spécifiques où la perturbation opérationnelle crée une pression maximale pour le paiement", notamment l'éducation, l'ingénierie, l'architecture, la construction, la fabrication, l'industrie, la santé et les entités gouvernementales. Cet incident souligne la tendance persistante des acteurs de menace à cibler les appareils réseau périphériques de divers fournisseurs, tels que **Cisco**, **Fortinet** et **Ivanti**, pour obtenir un accès initial aux réseaux cibles. L'utilisation de la **CVE-2026-20131** comme exploit zero-day démontre l'investissement important des attaquants pour découvrir des vulnérabilités inconnues offrant un accès privilégié. ### La CISA ajoute la faille Cisco au catalogue KEV Le 19 mars 2026, la **CISA** a ajouté la **CVE-2026-20131** à son catalogue de vulnérabilités connues exploitées (KEV), obligeant les agences FCEB à mettre à jour leurs systèmes vers la dernière version d'ici le 22 mars 2026. De plus, à la fin du mois dernier, la **CISA** a émis une directive d'urgence exhortant les agences FCEB à atténuer les vulnérabilités récemment divulguées dans les systèmes Cisco Catalyst SD-WAN (**CVE-2026-20127**, **CVE-2022-20775**, **CVE-2026-20122** et **CVE-2026-20128**) qui font l'objet d'une exploitation active. Les agences étaient tenues de signaler "toutes les connexions syslog" et autres journaux cloud pertinents d'ici le 23 mars 2026. ### Analyse par VulnCheck de la faille Cisco SD-WAN Un rapport publié la semaine dernière par **VulnCheck** a révélé que la **CVE-2026-20133**, une autre vulnérabilité dans Catalyst SD-WAN, présente un "risque plus élevé que ce que les défenseurs pourraient réaliser" et est susceptible d'être ciblée par les attaquants. **VulnCheck** a déclaré que l'accès au système de fichiers accordé par la vulnérabilité peut être exploité pour extraire la clé privée de l'utilisateur "vmanage-admin", compromettant ainsi le Network Configuration Protocol (NETCONF) utilisé pour configurer et gérer les appareils SD-WAN. De plus, la vulnérabilité peut être utilisée pour fuiter confd_ipc_secret, permettant à tout utilisateur local d'escalader vers un shell root sans restriction. Les chercheurs de **VulnCheck**, Caitlin Condon et Josh Shomo, ont averti que "les premiers exploits et l'attention de l'industrie sur les menaces émergentes peuvent être utiles pour comprendre les chemins d'exploitation probables et les nuances des vulnérabilités, mais ils peuvent aussi égarer les organisations lorsqu'elles s'appuient sur des artefacts de recherche non testés ou une focalisation trop étroite sur des chemins d'attaque spécifiques."