Palo Alto VPN piraté 🔓, Linux root via CIFS 🐧, LinkedIn piégé par Adobe 🎯

Veille

31 mai 2026 • 2 minutes de lecture

Bonjour, voici ta veille Cybere du 31 mai 2026 !

Le VPN GlobalProtect de Palo Alto activement exploité, une escalade de privilèges root dans le noyau Linux, et une campagne de phishing qui détourne la plateforme d’A/B testing d'Adobe pour voler des comptes LinkedIn. Trois sujets qui concernent directement les équipes sécurité et sysadmin.

Retrouve les trois articles à la une du jour :

Exploitation active d'une faille d'authentification CVE-2026-0257 dans les VPN GlobalProtect de Palo Alto
Découverte de CIFSwitch dans Linux permettant une escalade de privilèges root via le sous-système CIFS
Campagne de phishing LinkedIn utilisant Adobe Target pour voler des identifiants via des emails piégés

Le VPN GlobalProtect de Palo Alto activement exploité

Des attaquants exploitent activement une vulnérabilité dans les pare-feu Palo Alto pour établir des connexions VPN non autorisées et accéder aux réseaux d'entreprises.

La faille CVE-2026-0257, corrigée mi-mai, permet de contourner les restrictions de sécurité en forgeant des cookies d'authentification valides. Elle affecte les dispositifs GlobalProtect configurés avec des cookies de substitution d'authentification activés et un certificat partagé entre les services HTTPS et ces cookies. Rapid7 a observé des tentatives d'exploitation dès le 17 mai, provenant notamment d'infrastructures Vultr et Dromatics Systems.

Points d'attention

Les attaques ciblent les appareils non corrigés, avec des tentatives limitées, mais confirmées de mouvement latéral.
La vulnérabilité découle d'une absence de vérification de signature des cookies décryptés, permettant leur falsification.
La CISA a ajouté cette faille à son catalogue KEV, imposant aux agences fédérales un correctif avant le 1ᵉʳ juin 2026.

→ Lire la source

CIFSwitch, une escalade de privilèges root silencieuse dans le noyau Linux

Un attaquant local peut exploiter une vulnérabilité dans le sous-système CIFS du noyau Linux pour obtenir des droits root sur plusieurs distributions.

La faille, nommée CIFSwitch, permet de falsifier des descriptions de clés d'authentification CIFS et d'abuser du mécanisme de requête de clés du noyau. Le problème réside dans l'absence de vérification de l'origine des requêtes cifs.spnego, permettant à un utilisateur non privilégié de déclencher un flux d'authentification Kerberos/SPNEGO et de forcer un changement d'espace de noms.

Points d'attention

Affecte les distributions avec des versions vulnérables du noyau et de cifs-utils 6.14 et supérieures.
L'exploitation nécessite des espaces de noms utilisateur activés et des politiques SELinux/AppArmor non restrictives.
Un correctif noyau ajoute une validation des origines des requêtes cifs.spnego, mais son déploiement varie selon les distributions.

→ Lire la source

Comment Adobe Target est détourné pour piéger les utilisateurs LinkedIn

Cette attaque vole les identifiants professionnels en exploitant un service légitime d’Adobe pour contourner les systèmes de détection.

Les cybercriminels envoient des emails imitant des demandes commerciales LinkedIn, avec une pièce jointe HTML déguisée en PDF. Le fichier redirige vers une fausse page de connexion pré-remplie avec l’adresse email de la victime. Les données saisies transitent via Adobe Target (domaine omtrdc.net), une plateforme d’A/B testing, pour masquer l’origine malveillante et suivre les victimes.

Points d'attention

La pièce jointe utilise une double extension pour paraître inoffensive.
Le domaine Adobe légitime est détourné pour crédibiliser la redirection.
L’email pré-rempli dans le formulaire renforce l’illusion de personnalisation.

→ Lire la source

Autres actus importantes

Merci d'avoir pris le temps de me lire. Si tu as trouvé cette newsletter utile, n'hésite pas à la partager autour de toi ✉️

À demain pour la prochaine veille 🔐 – Kilian de Cybere