Report incident  
Alertes de sécurité Critique

[CRITIQUE] CVE-2026-50751 CheckPoint VPN, CVE-2025-48595 Android zero-day, Miasma worm et OP-512 — Menaces actives (8 Juin 2026)

ByCIRT-CM

Alarme cybersécurité — 8 Juin 2026

Le CIRT-CM (Computer Incident Response Team) du Cameroun publie son alerte de sécurité quotidienne. Plusieurs vulnérabilités critiques et menaces actives ont été identifiées ce jour. Les organisations camerounaises sont invitées à prendre les mesures correctives sans délai.

🔴 1. CVE-2026-50751 — Check Point VPN : contournement d’authentification (CVSS 9.3)

Score CVSS : 9.3 — Critique

Check Point a signalé l’exploitation active d’une vulnérabilité critique affectant les déploiements Remote Access VPN et Mobile Access configurés avec le protocole obsolète IKEv1. La faille, identifiée comme CVE-2026-50751, est une faiblesse logique dans la validation des certificats qui permet à un attaquant distant non authentifié de contourner l’authentification et d’établir une connexion VPN sans mot de passe valide.

Produits affectés : Spark Firewalls R80.20.X (EOS), R81.10.X, R82.00.X

Exploitation : Activité observée depuis le 7 mai 2026, liée à un affilié du ransomware Qilin. L’attaquant utilise une infrastructure VPS géolocalisée pour cibler des organisations dans des pays spécifiques.

Recommandations :

  • Mettre à jour immédiatement les pare-feux Check Point vers les versions corrigées
  • Migrer de IKEv1 vers IKEv2
  • Activer l’authentification multifacteur (MFA) sur tous les accès VPN
  • Surveiller les connexions VPN suspectes

Une seconde vulnérabilité associée, CVE-2026-50752 (CVSS 7.4), permet une attaque adversary-in-the-middle (AitM) sur les connexions VPN site-à-site.

🟠 2. CVE-2025-48595 — Android Framework : élévation de privilèges (CVSS 8.4)

Score CVSS : 8.4 — HAUT

Google a publié les correctifs de sécurité de juin 2026 pour Android, corrigeant 124 vulnérabilités, dont une faille de haute sévérité dans le composant Framework qui fait l’objet d’une exploitation active limitée. Identifiée CVE-2025-48595, cette vulnérabilité permet une élévation de privilèges sans interaction de l’utilisateur.

Produits affectés : Android 14, 15, 16, et 16 QPR2

Exploitation : Ciblée et limitée — Google n’a pas divulgué les détails des attaques.

Recommandations :

  • Installer la mise à jour de sécurité Android de juin 2026 dès que disponible
  • Vérifier les paramètres de sécurité des appareils Android dans l’organisation
  • Restreindre l’installation d’applications provenant de sources non officielles

🟠 3. Ver Miasma — Attaque sur la chaîne d’approvisionnement GitHub de Microsoft

Le ver auto-réplicant Miasma (variante du Mini Shai-Hulud worm) a frappé 73 dépôts GitHub de Microsoft, affectant les organisations Azure, Azure-Samples, Microsoft et MicrosoftDocs. GitHub a dû désactiver l’accès à ces dépôts. Cette attaque de type supply chain démontre la persistance des menaces pesant sur les plateformes de développement logiciel.

Recommandations :

  • Vérifier l’intégrité des dépendances logicielles dans vos projets
  • Activer les alertes de sécurité sur GitHub Dependabot
  • Auditer les tokens et clés d’accès GitHub
  • Mettre en place une politique de revue de code stricte

🟠 4. OP-512 — Espionnage chinois ciblant les serveurs IIS Microsoft

Un nouveau groupe de menace, traqué sous le nom OP-512, a été observé en train de cibler les serveurs Microsoft Internet Information Services (IIS) pour y déployer un framework de web shell personnalisé permettant la gestion de fichiers et l’exécution de commandes authentifiées. Cette activité, évaluée comme provenant de Chine, est orientée vers l’espionnage.

Recommandations :

  • Surveiller les serveurs IIS pour détecter les web shells
  • Limiter les permissions d’exécution sur les serveurs web
  • Mettre en place une détection d’intrusion (IDS/IPS) sur les serveurs critiques

🔵 5. NSO Group — Nouvelle campagne de phishing WhatsApp

Meta a détecté et bloqué une nouvelle campagne de spear-phishing menée par le groupe israélien NSO Group via WhatsApp, utilisant des liens malveillants redirigeant vers des sites externes. Meta dépose une demande d’outrage au tribunal pour violation de l’injonction permanente. Les domaines malveillants identifiés : fr24cast[.]com, ghazacast[.]com, ikhwancast[.]com.

Recommandations :

  • Sensibiliser les utilisateurs aux risques de phishing sur les messageries instantanées
  • Ne pas cliquer sur des liens suspects dans WhatsApp
  • Signaler tout message suspect au CIRT-CM

📋 Recommandations générales

  • Mettre à jour tous les systèmes — Appliquer les correctifs de sécurité dès leur disponibilité
  • Activer l’authentification multifacteur (MFA) sur tous les accès distants et comptes critiques
  • Surveiller les journaux — Analyser les logs VPN, serveurs et endpoints pour détecter les activités suspectes
  • Sauvegarder les données — Maintenir des sauvegardes hors ligne et tester leur restauration
  • Signaler tout incident au CIRT-CM via les canaux officiels

À propos du CIRT-CM
Centre de Reponse aux Incidents de Securite Informatique (CIRT-CM) — Computer Incident Response Team
Cameroun — Numéro vert : 8202 | Tél : +237 222 207 909 | Email : alerts@cirt.antic.cm
Sources : The Hacker News, Check Point Research, Google, Meta, ReliaQuest

By CIRT-CM

Related Post

Alertes de sécurité Critique

[CRITIQUE] Zero-day LiteLLM exploite, faille Check Point Gateway et WordPress Kirki — Menaces actives sur le Cameroun (Juin 2026)

Jun 9, 2026 CIRT-CM
Alertes de sécurité Critique

[CRITIQUE] CVE-2026-50751 Check Point VPN zero-day, Android privilege escalation CVE-2025-48595, Miasma worm et expansion TA4922 vers l’Afrique — Alerte securite Juin 2026

Jun 8, 2026 CIRT-CM
Alertes de sécurité Critique

[CRITIQUE] Check Point VPN contournee (CVE-2026-50751), ver Miasma frappe 73 depots Microsoft, zero-day Android — Menaces actives Juin 2026

Jun 8, 2026 CIRT-CM

Leave a Reply

Your email address will not be published. Required fields are marked *

Tout troit reservé