Vulnerabilites critiques — Juin 2026
Le Centre de Reponse aux Incidents de Securite Informatique (CIRT.cm) alerte les organisations camerounaises sur des vulnerabilites critiques identifiees cette semaine dans le cyberespace. Ces failles, pour certaines deja exploitees dans la nature, requerrent une attention immediate des equipes techniques.
La semaine du 8 juin 2026 a ete marquee par une escalation significative des menaces. Check Point a confirme l’exploitation active d’une vulnerabilite critique (CVE-2026-50751, CVSS 9.3) permettant de contourner completement l’authentification VPN. Dans le meme temps, Google a diffuse un correctif d’urgence pour une faille Android de privilege (CVE-2025-48595) deja utilisee dans des attaques limitees, tandis que le ver Miasma continue de se propager en infectant les depots GitHub de Microsoft et d’autres editeurs majeurs. Par ailleurs, le groupe chinois TA4922 elargit ses operations vers l’Afrique, ciblant notamment l’Afrique du Sud avec des chevaux de Troie et des campagnes de harponnage.
CVE critiques identifiees
| CVE | Score CVSS | Description | Correctif |
|---|---|---|---|
| CVE-2026-50751 | 9.3 — Critique | Check Point Security Gateway / VPN : faille de logique dans la validation des certificats IKEv1 permettant a un attaquant distant non authentifie de contourner completement l’authentification et d’etablir une connexion VPN sans mot de passe. Exploitation active liee au rançongiciel Qilin depuis mai 2026. | Appliquer les hotfixes R82.10 Take 20+, R82 Take 104+, R81.20 Take 142+. Desactiver IKEv1 pour l’acces distant si possible. |
| CVE-2025-48595 | 8.4 — Eleve | Android Framework : elevation de privileges dans le composant Framework d’Android. Exploitation limitee mais confirmee dans la nature. Aucune interaction utilisateur requise. Impacte Android 14, 15, 16 et 16 QPR2. | Appliquer le correctif de securite Google Juin 2026. Verifier le niveau de patch : 2026-06-01 ou superieur. |
| CVE-2026-42271 | 9.8 — Critique | BerriAI LiteLLM : vulnerabilite d’injection de commandes permettant a tout utilisateur authentifie, y compris les detenteurs de cles internes a privileges reduits, d’executer des commandes arbitraires sur l’hote. Ajoute au catalogue KEV de la CISA le 8 juin 2026. | Appliquer les mitigations fournies par l’editeur ou cesser l’utilisation du produit si les correctifs ne sont pas disponibles. |
| CVE-2026-28318 | 7.5 — Eleve | SolarWinds Serv-U : vulnerabilite de consommation non controlee de ressources (deNI) via des requetes POST specialement concues avec l’en-tete Content-Encoding: deflate, permettant de planter le service sans authentification. | Appliquer les mitigations du fournisseur conformement a la directive BOD 22-01. |
Menaces actives
- Ver Miasma (Supply Chain) — Ce ver auto-replicant, variant du Mini Shai-Hulud, infecte les depots GitHub en y injectant des payloads malveillants. Il a deja compromis 73 depots Microsoft (Azure, Azure-Samples, Microsoft, MicrosoftDocs) ainsi que des depots npm. Le declencheur s’active lorsqu’un developpeur clone le depot infecte et l’ouvre dans un agent IA de codage (Claude Code, Gemini CLI, Cursor, VS Code).
- Rancongiciel Qilin — Le groupe Qilin exploite activement CVE-2026-50751 (Check Point VPN) pour l’acces initial aux reseaux d’entreprises. L’infrastructure utilise des serveurs VPS geo-localises dans le pays cible pour contourner les detections.
- TA4922 — Expansion vers l’Afrique — Un groupe cybercriminel sinophone elargit ses operations de l’Asie de l’Est vers l’Europe et l’Afrique, ciblant notamment l’Afrique du Sud. Le groupe utilise Atlas RAT, RomulusLoader et SilentRunLoader via des techniques de DLL side-loading.
- OP-512 (Espionnage) — Un groupe menace inedit cible les serveurs Microsoft IIS avec un framework avance de web shells. L’activite, attribuee a la Chine, permet la gestion de fichiers et l’execution de commandes.
- ChatGPhish — Une vulnerabilite dans les resumes web de ChatGPT est exploitee pour transformer des pages web legitimes en surfaces de harponnage.
Operations ciblant l’Afrique
Le groupe TA4922, nouvellement identifie, a etendu ses campagnes de cybercriminalite vers le continent africain, ciblant notamment l’Afrique du Sud. Ce groupe sinophone utilise des techniques avancees de DLL side-loading pour deployer des chevaux de Troie d’acces distant (Atlas RAT) et des voleurs de donnees. Les organisations africaines sont particulierement vulnerables face a ces campagnes en raison de la localisation des appats et de l’utilisation de themes d’impots et de finances locales. Le CIRT.cm recommande une vigilance accrue sur les courriels provenant d’expediteurs internes sollicitant des actions inhabituelles, ainsi que la verification systematique des pieces jointes et des liens.
Actions recommandees
- Appliquer les correctifs de securite pour toutes les CVE listees ci-dessus, en priorite CVE-2026-50751 (Check Point VPN) et CVE-2025-48595 (Android).
- Desactiver IKEv1 sur les passerelles VPN Check Point pour l’acces distant, sauf necessite operationnelle absolue.
- Activer l’authentification multi-facteurs (MFA) sur tous les acces VPN, emails et services critiques.
- Surveiller les connexions HTTPS/SSH sortantes inhabituelles et les tentatives de connexion VPN sans authentification.
- Mettre a jour les navigateurs et systemes d’exploitation (Android, Windows, macOS) vers les dernieres versions disponibles.
- Sensibiliser les collaborateurs aux campagnes de harponnage ciblant l’Afrique et aux risques lies aux agents IA de codage manipulant des depots non verifies.
- Signaler tout incident a l’adresse incidents@cirt.antic.cm ou au numero vert 8202.
Sources : The Hacker News, CISA Known Exploited Vulnerabilities Catalog, Krebs on Security, Packet Storm, Check Point Research, Google Project Zero, OpenSourceMalware, SafeDep, ReliaQuest, Ctrl-Alt-Intel
Reference CIRT : CIRT-AL-2026-023