Les vulnérabilités à suivre – 4 août 2025

Voici le rapport de veille des actus cybersécurité les plus intéressantes de la période.

L’actualité de la cybersécurité a été marquée par la découverte de vulnérabilités critiques affectant des infrastructures logicielles fondamentales, de Linux à WordPress, en passant par les environnements de virtualisation VMware. Cette sélection met en lumière des menaces furtives, comme des portes dérobées non documentées, ainsi que l’exploitation active de failles dans des applications d’entreprise et des outils de développement basés sur l’IA.

En parallèle des activités offensives, la semaine a également été rythmée par des réponses proactives de la part des éditeurs et de la communauté. Microsoft a annoncé des durcissements de sécurité pour ses produits et une augmentation de ses programmes de récompense pour la découverte de bogues. De même, des initiatives comme Pwn2Own continuent de stimuler la recherche de failles en proposant des récompenses records, tandis que des conflits internes au sein de groupes de rançongiciels offrent une vision rare de leur fonctionnement.

Des chercheurs en cybersécurité ont identifié une porte dérobée pour Linux, jusqu’alors inconnue et baptisée « Plague », qui a réussi à rester sous les radars pendant un an. Cette menace se présente sous la forme d’un PAM (Pluggable Authentication Module) malveillant, des composants logiciels gérant l’authentification des utilisateurs sous Linux, permettant aux attaquants de contourner silencieusement les mécanismes d’authentification pour obtenir un accès SSH persistant aux systèmes critiques, comme le rapporte The Hacker News.

Un conflit interne au sein du groupe de rançongiciel Qilin a conduit à une fuite de données significative. Comme le rapporte GBHackers, cette querelle a abouti à l’exposition publique des identifiants de connexion au panneau d’administration des affiliés du groupe, ainsi que d’autres détails opérationnels sensibles. Cette séquence offre un aperçu exceptionnellement rare de la structure et des méthodes de fonctionnement d’un réseau de cybercriminalité moderne.

Un groupe de cyberespionnage lié à la Chine, connu sous le nom de Fire Ant, exploite activement des vulnérabilités dans les produits VMware et F5 depuis le début de l’année 2025. Les attaquants ciblent les infrastructures de virtualisation, notamment les environnements VMware ESXi et vCenter, en utilisant des failles comme la CVE-2023-34048 pour prendre le contrôle de systèmes sécurisés et segmentés, selon un rapport de Security Affairs. Le groupe fait preuve d’une grande persistance, adaptant ses outils en temps réel pour déjouer les tentatives de confinement.

Des acteurs malveillants exploitent une faille de sécurité critique, référencée CVE-2025-5394 avec un score de gravité de 9.8, dans le thème WordPress « Alone – Charity Multipurpose Non-profit WordPress Theme ». Cette vulnérabilité, détaillée par The Hacker News, permet une téléversement de fichier arbitraire, donnant aux attaquants la capacité de prendre le contrôle total des sites web vulnérables via l’installation de plugins à distance.

Une vulnérabilité a été découverte dans l’assistant de codage IA Gemini CLI de Google. Selon BleepingComputer, cette faille permettait à des attaquants d’exécuter discrètement des commandes malveillantes et d’exfiltrer des données depuis les ordinateurs des développeurs, en se servant de programmes déjà autorisés sur le système pour masquer leurs actions.

Des pirates informatiques ont été observés en train d’exploiter une vulnérabilité critique dans SAP NetWeaver, identifiée comme CVE-2025-31324. L’attaque, qui visait une entreprise de produits chimiques basée aux États-Unis, a permis le déploiement du logiciel malveillant pour Linux « Auto-Color », comme le souligne un article de BleepingComputer.

Dans une démarche de renforcement de la sécurité, Microsoft a annoncé la désactivation par défaut des liens de classeurs externes vers des types de fichiers bloqués dans Excel. Cette mesure préventive sera déployée progressivement entre octobre 2025 et juillet 2026 pour réduire les surfaces d’attaque, comme le rapporte BleepingComputer.

Le concours de hacking Pwn2Own Ireland 2025 met la barre très haut en offrant une récompense d’un million de dollars. D’après BleepingComputer, cette somme sera versée aux chercheurs en sécurité qui parviendront à démontrer un exploit « zero-click » fonctionnel contre l’application de messagerie WhatsApp, une attaque ne nécessitant aucune interaction de la part de la victime.

Microsoft a également renforcé son programme de « bug bounty » en augmentant les récompenses pour la découverte de certaines vulnérabilités dans .NET et ASP.NET Core. Comme le note BleepingComputer, les primes peuvent désormais atteindre 40 000 dollars, une initiative visant à encourager la collaboration avec la communauté des chercheurs pour sécuriser ses plateformes de développement.

Une version vulnérable du plugin WordPress « Post SMTP » met en péril un grand nombre de sites. Selon un rapport de Bitdefender, plus de 200 000 sites web utilisant ce plugin pourraient être exposés à un risque de piratage par des attaquants.