En bref

  • CVE-2026-27960 — élévation de privilèges et authentification cassée dans OpenCTI, plateforme open source de threat intelligence largement adoptée par les CERT et SOC, CVSS 9.8 publié le 5 mai 2026.
  • Versions affectées : OpenCTI 6.6.0 à 6.9.12 incluse. Exploitation à distance, sans authentification, par appel API direct usurpant l'identité de tout utilisateur existant — y compris le compte admin par défaut.
  • Action urgente : mettre à jour OpenCTI vers 6.9.13, désactiver le compte admin par défaut via APP__ADMIN__EXTERNALLY_MANAGED, revoir les logs d'accès API à la recherche d'usurpations d'identité.

Les faits

La vulnérabilité CVE-2026-27960, publiée le 5 mai 2026 par l'équipe OpenCTI-Platform, est classée comme une faille critique d'authentification incorrecte (CWE-287) avec un score CVSS 3.1 de 9.8. Le vecteur d'attaque (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) traduit une exploitation purement à distance, sans authentification ni interaction utilisateur, et un impact total sur la confidentialité, l'intégrité et la disponibilité de la plateforme.

OpenCTI (Open Cyber Threat Intelligence Platform) est l'un des outils les plus déployés au sein des CERT, des SOC et des équipes de threat intelligence européennes pour structurer, partager et corréler des indicateurs de compromission, des TTP MITRE ATT&CK et des rapports d'incidents. La plateforme est notamment recommandée et adoptée par plusieurs entités liées à l'ANSSI et à la communauté STIX/TAXII. Une compromission d'OpenCTI revient donc à pénétrer le cœur du dispositif d'analyse cyber d'une organisation.

Selon l'advisory publié sur GitHub Security par OpenCTI-Platform et l'analyse de TheHackerWire, le défaut réside dans le mécanisme de validation des tokens d'authentification au niveau de l'API GraphQL. Un attaquant non authentifié peut forger une requête API et se faire passer pour n'importe quel utilisateur enregistré sur la plateforme, en exploitant un contrôle de session insuffisant lors du traitement de certaines mutations GraphQL. La cible privilégiée est le compte administrateur par défaut, présent dans toutes les installations à moins d'avoir été explicitement désactivé.

La chronologie indique que la faille a été signalée par un chercheur externe via le programme de divulgation responsable de Filigran, l'éditeur d'OpenCTI. L'équipe a publié la version 6.9.13 le 5 mai 2026 contenant le correctif, accompagné d'un avis appelant à une mise à jour immédiate. Toutes les versions de la branche 6.6.x à 6.9.12 sont concernées, ce qui couvre près d'un an de releases.

Techniquement, l'exploitation se résume à envoyer une mutation GraphQL particulière à l'endpoint /graphql exposé par défaut sur le port 4000 ou 8080 selon les configurations. La requête peut requêter ou modifier n'importe quel objet géré par OpenCTI — incluant les rapports d'incidents, les indicateurs, les comptes utilisateurs et les configurations de connecteurs. Aucun token, aucun cookie de session, aucune en-tête d'authentification valide n'est requis.

Aucun PoC public n'a été diffusé par l'équipe OpenCTI, mais plusieurs chercheurs ont confirmé sur leurs canaux la disponibilité d'un PoC privé fonctionnel. La nature du défaut — un simple appel API non authentifié usurpant un identifiant utilisateur — rend l'écriture d'un exploit triviale pour quiconque dispose du diff de patch entre 6.9.12 et 6.9.13. Le déclin de la fenêtre d'attaque sera très rapide.

Aucune exploitation in-the-wild n'est encore documentée publiquement à la date de publication, mais l'importance stratégique d'OpenCTI dans les chaînes de défense en fait une cible attractive pour des groupes APT cherchant à comprendre — voire perturber — la posture défensive de leurs cibles. Le scénario « adversaire dans la threat intel » est l'un des cauchemars classiques des équipes CTI, car il permet à un attaquant d'observer les détections en temps réel et de pivoter avant blocage.

Filigran a publié un guide de mitigation détaillé avec deux contournements en attendant la mise à jour : désactiver le compte admin par défaut via la variable d'environnement APP__ADMIN__EXTERNALLY_MANAGED=true, et restreindre l'accès réseau à l'API derrière un reverse proxy avec authentification mTLS ou OAuth2. Aucune de ces mitigations n'est suffisante seule pour bloquer entièrement l'exploitation, et la mise à jour reste la seule solution complète.

Impact et exposition

Les organisations exposées sont l'ensemble des utilisateurs d'OpenCTI déployant une version comprise entre 6.6.0 et 6.9.12. Selon les statistiques de l'écosystème OpenCTI, plusieurs centaines de CERT, MSSP et grandes entreprises européennes opèrent des instances OpenCTI exposées sur Internet pour des besoins de collaboration STIX/TAXII inter-organisations.

La surface d'attaque est maximale : tout endpoint /graphql accessible depuis Internet ou un réseau interne peut être exploité. Un attaquant ayant obtenu un accès admin dispose ensuite d'une vue complète sur les indicateurs de compromission de l'organisation, les rapports d'incidents en cours, les playbooks de détection, les credentials des connecteurs (MISP, Splunk, Elasticsearch, OpenCTI partenaires) et peut injecter de faux indicateurs pour intoxiquer les détections.

Aucune exploitation in-the-wild n'est confirmée à la publication, mais le ratio entre l'impact potentiel (compromission stratégique du dispositif CTI) et la trivialité d'exploitation (un seul appel API non authentifié) place CVE-2026-27960 dans la catégorie des vulnérabilités à patcher en mode incident, indépendamment de la présence d'exploitation observée.

Le risque d'attaque ciblée par des groupes APT est particulièrement élevé pour les organisations dont OpenCTI agrège des renseignements sensibles partagés via des cercles de confiance type ISAC, CTI Group, ou plateformes nationales. Une fuite à ce niveau peut compromettre non seulement l'organisation, mais l'ensemble du tissu collaboratif auquel elle appartient.

Recommandations immédiates

  • Mettre à jour OpenCTI vers la version 6.9.13 ou supérieure immédiatement (advisory : OpenCTI-Platform Security Advisory CVE-2026-27960 publié le 5 mai 2026).
  • Si la mise à jour ne peut être appliquée immédiatement : appliquer la mitigation officielle en passant APP__ADMIN__EXTERNALLY_MANAGED=true dans la configuration et en redémarrant la stack, puis restreindre l'accès au /graphql via reverse proxy authentifié.
  • Auditer les logs d'accès API à la recherche de mutations GraphQL anormales : requêtes vers /graphql sans en-tête Authorization, ou pics de mutations administratives depuis des IP externes inhabituelles.
  • Faire tourner tous les credentials de connecteurs (API keys MISP, Splunk, ElasticSearch, etc.) après le patch, en supposant qu'un attaquant a pu les exfiltrer durant la fenêtre d'exposition.
  • Revoir les rapports d'incidents et indicateurs ajoutés au cours des deux dernières semaines pour détecter des manipulations ou injections de faux indicateurs.
  • Sortir l'endpoint /graphql d'OpenCTI de toute exposition publique : il doit uniquement être accessible derrière VPN, mTLS ou bastion d'administration.

⚠️ Urgence

CVE-2026-27960 permet un takeover administratif non authentifié d'un outil cœur de threat intelligence. Le coût d'une compromission dépasse largement le périmètre technique de l'instance : il met en cause la confiance dans l'ensemble de la chaîne de défense. Patch sous 24 heures impératif pour toute instance exposée.

Comment savoir si je suis vulnérable ?

Vérifiez la version d'OpenCTI : connectez-vous à l'interface puis consultez la section « About » ou exécutez docker inspect opencti/platform:latest | grep -i version. Si la version est comprise entre 6.6.0 et 6.9.12, vous êtes vulnérable. Vérifiez également si l'API GraphQL est exposée publiquement : depuis une machine externe, curl -sI https://votre-instance/graphql doit échouer (404 ou 403) ou n'être accessible que via authentification forte. Tout accès direct au /graphql indique une exposition critique.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit