Oracle WebLogic sous attaque 🎯, Android patché en urgence 📱, rançongiciel boosté par IA 🤖

2 minutes de lecture

Bonjour, voici ta veille Cybere du 3 juin 2026 !

Failles WebLogic non corrigées, escalade de privilèges Android exploitée activement, kit de rançongiciel assisté par IA : trois actualités qui confirment que la pression sur les équipes de sécurité ne faiblit pas.

Retrouve les trois articles à la une du jour :

  • CISA impose un patch pour une faille Oracle WebLogic exploitée en conditions réelles.
  • Google corrige 124 vulnérabilités Android, dont une escalade de privilèges activement exploitée.
  • Un kit de rançongiciel automatisé par IA contourne les EDR et cible les Active Directory.

CISA inscrit une faille Oracle WebLogic exploitée activement

La CISA (Cybersecurity and Infrastructure Security Agency) a ajouté la CVE-2024-21182 à son catalogue des vulnérabilités exploitées, suite à des preuves d'exploitation en conditions réelles.

Cette faille de sévérité élevée (CVSS 7.5) affecte Oracle WebLogic Server et permet à un attaquant non authentifié d'accéder au serveur via les protocoles T3 et IIOP. Corrigée en juillet 2024, elle expose les données critiques et l'intégralité des données accessibles du serveur. Les agences fédérales civiles doivent appliquer les correctifs avant le 4 juin 2026.

Points d'attention

  • CVE-2024-21182 (CVSS 7.5) : accès non authentifié aux serveurs WebLogic via T3 et IIOP.
  • Historique d'exploitation : failles antérieures utilisées pour botnets, cryptominage et déploiement de rançongiciels.
  • CVE-2026-21962 (CVSS 10.0) : autre faille WebLogic exploitée de façon automatisée peu après la publication du code.

→ Lire la source


Google corrige 124 failles Android, dont une activement exploitée

Google a publié des correctifs pour 124 vulnérabilités affectant Android en juin 2026.

Parmi elles, la CVE-2025-48595 (CVSS 8.4) dans le composant Framework fait l'objet d'une exploitation ciblée et limitée. Cette faille d'escalade de privilèges, causée par un débordement d'entier, touche Android 14, 15, 16 et 16 QPR2 sans nécessiter d'interaction utilisateur. Google a également publié deux séries de correctifs (2026-06-01 et 2026-06-05) couvrant le noyau et les composants de chipsets tiers provenant de Qualcomm, MediaTek, Imagination Technologies et Unisoc.

Points d'attention

  • CVE-2025-48595 permet l'exécution de code local sans privilèges supplémentaires ni interaction utilisateur requise.
  • Les failles similaires sont historiquement exploitées par des éditeurs de logiciels espions contre des cibles de haut profil.
  • Deux calendriers de correctifs disponibles : le second intègre tous les correctifs du premier plus les mises à jour de chipsets tiers.

→ Lire la source


Des criminels déploient un kit de rançongiciel assisté par IA

Des chercheurs de Sophos ont détecté une boîte à outils de rançongiciel utilisant l'IA pour automatiser la découverte d'Active Directory et contourner les solutions EDR.

Le framework, développé avec l'aide d'agents Claude Opus et Cursor, génère des payloads Rust et Go via des scripts Python testés contre les EDR de Sophos, CrowdStrike et Microsoft dans des environnements virtuels. Les scripts malveillants découverts étaient basés sur Python et utilisaient l'injection de shellcode dans des exécutables Windows légitimes.

Points d'attention

  • Les agents IA documentent les techniques de contournement issues de recherches publiques et les mappent à la base MITRE ATT&CK.
  • Le framework intègre un bot Telegram pour le C2 et des profils Cobalt Strike imitant le trafic web légitime.
  • L'IA accélère le cycle développement-test-affinage, réduisant le délai entre publication de recherche offensive et exploitation criminelle.

→ Lire la source


Autres actus importantes


Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️

À demain pour la prochaine veille 🔐 – Kilian de Cybere