Les vulnérabilités à suivre – 18 août 2025

Voici le rapport de veille des actus cybersécurité les plus intéressantes de la période.

Cette semaine de veille liste des vulnérabilités critiques touchant des solutions massivement utilisées – collaboration, impression, infrastructures réseau et messageries. L’exploitation active de failles non corrigées (Fortinet, Exchange) et l’usage de techniques détournant des fonctions systèmes légitimes renforcent la nécessité d’une gestion proactive des correctifs et d’une segmentation adaptée des environnements.

Une vulnérabilité critique affectant les clients Zoom pour Windows a été corrigée. Identifiée sous CVE-2025-49457 avec un score CVSS de 9.6, elle permettait à un utilisateur non authentifié d’élever ses privilèges via un chemin de recherche non fiable. L’avis de sécurité est détaillé sur SecurityAffairs. Les versions antérieures à 6.3.10 de Workplace, Rooms, Rooms Controller et Meeting SDK étaient concernées, et Zoom avait déjà corrigé six failles en novembre 2024.

Dans Xerox FreeFlow Core, des vulnérabilités incluaient un path traversal et une injection XXE, toutes deux exploitables sans authentification pour exécuter du code à distance. Ces failles exposaient les environnements utilisant la plateforme à une compromission complète. L’annonce du correctif est décrite par SecurityWeek, soulignant le rôle critique de ce type de logiciels largement utilisés en entreprise.

En août 2025, Cisco a publié plus de vingt avis de sécurité. Ces correctifs concernaient notamment une vulnérabilité critique dans sa plateforme de gestion des pare-feu ASA, FMC et FTD. L’annonce officielle est relayée par SecurityWeek. Ces produits étant largement déployés, une faille de ce type peut exposer de nombreuses infrastructures à des risques d’attaque.

Fortinet a averti d’une faille critique dans FortiSIEM, un outil de supervision des événements de sécurité. Du code d’exploitation a déjà été détecté en circulation, et des attaques de type brute force visant la solution ont été observées. Cette vulnérabilité permet l’exécution de commandes non autorisées sans authentification. L’article complet figure dans The Register.

Une recherche a révélé que des utilitaires Linux standards comme ps, /proc ou la gestion de fichiers temporaires peuvent être détournés pour extraire des secrets en environnements multi-locataires. Sans recourir à des privilèges root ou à des zero-day, un attaquant peut récupérer des identifiants de base de données, clés API ou informations utilisateur. L’analyse complète est publiée sur GBHackers.

Des chercheurs ont démontré l’existence de failles critiques dans les systèmes de bus intelligents. Un seul routeur M2M gérait simultanément le Wi-Fi passagers et des fonctions essentielles comme l’APTS (gestion GPS, itinéraires, affichages) et l’ADAS (systèmes d’assistance au conducteur). L’étude, détaillée par SecurityAffairs, révèle que l’absence de segmentation réseau permettait de suivre, contrôler et espionner les véhicules.

Un nouveau lot de vulnérabilités a été identifié dans le protocole TETRA, utilisé pour les communications critiques des forces de l’ordre et services publics. Les failles, regroupées sous l’appellation 2TETRA:2BURST, touchent notamment le chiffrement de bout en bout (E2EE), exposant à des attaques par rejeu, force brute et déchiffrement du trafic. Les détails techniques sont rapportés par The Hacker News.

Une enquête a révélé que plus de 29 000 serveurs Microsoft Exchange exposés sur Internet ne sont pas corrigés contre une vulnérabilité grave. Celle-ci permet à un attaquant de se déplacer latéralement dans des environnements cloud et de compromettre entièrement un domaine. L’information est relayée par BleepingComputer.

Une faille zero-day affectant WinRAR, identifiée sous CVE-2025-8088, a été exploitée dans des attaques ciblant des secteurs financier, industriel, logistique et de défense en Europe et au Canada. L’exploitation a été attribuée à un groupe lié à la Russie. Le correctif a depuis été publié, mais ces attaques démontrent l’importance de la réactivité face aux vulnérabilités zero-day. Le rapport est publié sur SecurityWeek.