Les vulnérabilités à suivre – 20 oct 2025

Voici la revue hebdomadaire des vulnérabilités critiques signalées et des mesures proposées par les éditeurs pour y remédier.

La semaine a été marquée par plusieurs nouvelles menaces de cybersécurité notables. Une vaste exposition de dispositifs F5 BIG-IP a été découverte, mettant en lumière des failles critiques non divulguées. Google a rapidement réagi à une vulnérabilité affectant ses appareils Android, tandis qu’une faille dans les appareils Framework permet un contournement du Secure Boot. De plus, Zimbra a dû publier un correctif d’urgence pour une faille SSRF critique. Ces événements soulignent l’importance de la vigilance continue dans le domaine de la cybersécurité, où les menaces évoluent constamment. Les entreprises et les utilisateurs doivent rester informés des vulnérabilités potentielles et appliquer les correctifs nécessaires pour protéger leurs systèmes et données.

Selon BleepingComputer, la Shadowserver Foundation a découvert plus de 266 000 instances F5 BIG-IP exposées en ligne suite à une faille de sécurité. Les pirates, soupçonnés d’être liés à un État-nation, ont accédé au réseau de F5, volant des codes sources et des informations sur des failles non divulguées. Bien que F5 ait publié des correctifs pour 44 vulnérabilités, il n’y a aucune preuve que ces failles aient été exploitées. La directive d’urgence de la CISA exige que les agences fédérales américaines sécurisent ces dispositifs d’ici le 31 octobre. La majorité des adresses IP affectées se trouvent aux États-Unis, en Europe et en Asie, ce qui souligne l’ampleur du problème.

Google a corrigé une vulnérabilité appelée « Pixnapping » qui permettait de voler des données d’applications sécurisées comme Authenticator et Signal, affectant plusieurs modèles de Google Pixel et Samsung Galaxy. Cette faille a été identifiée et corrigée, mais une mise à jour de sécurité supplémentaire est prévue pour décembre. D’après 9to5Google, cette vulnérabilité a été particulièrement préoccupante en raison de sa capacité à contourner les mesures de sécurité habituelles des applications. La réponse rapide de Google montre l’importance de la réactivité face aux nouvelles menaces.

Zimbra a publié un correctif de sécurité d’urgence pour une vulnérabilité SSRF critique qui pourrait permettre aux attaquants d’accéder à des données sensibles via la configuration du proxy de chat de la plateforme. Cette faille, affectant les versions 10.1.5 à 10.1.11 de Zimbra, a été classée comme hautement sévère. Selon GBHackers, l’entreprise exhorte les utilisateurs et administrateurs à agir immédiatement pour éviter toute exploitation potentielle. Cette vulnérabilité souligne l’importance de maintenir les systèmes à jour pour se protéger contre les attaques.

Oracle a publié une mise à jour de sécurité d’urgence pour corriger une vulnérabilité dans la suite E-Business Suite, identifiée comme CVE-2025-61884, avec un score CVSS de 7.5. Cette faille permettrait à des attaquants non authentifiés d’accéder à des ressources sensibles. Selon SecurityAffairs, Oracle recommande vivement d’appliquer les mises à jour ou les mesures d’atténuation fournies. L’exploitation réussie de cette vulnérabilité pourrait entraîner des fuites de données critiques, ce qui rend l’application de ce correctif essentielle.

Environ 200 000 systèmes Linux de Framework sont livrés avec des composants UEFI signés vulnérables à un contournement de Secure Boot, permettant l’installation de bootkits. Eclypsium a mis en garde contre l’utilisation abusive de ces outils de diagnostic légitimes, qui peuvent contourner les contrôles de sécurité. Selon SecurityAffairs, cette vulnérabilité expose les systèmes à des accès persistants avant le démarrage de l’OS. Des correctifs sont en cours de déploiement pour certaines versions, mais d’autres attendent encore des mises à jour.

SAP a corrigé 13 nouvelles vulnérabilités de sécurité, y compris une faille de désérialisation dans SAP NetWeaver AS Java, identifiée comme CVE-2025-42944, avec un score CVSS de 10.0. Cette faille permettrait l’exécution de commandes arbitraires. Selon TheHackerNews, cette vulnérabilité a été classée comme de gravité maximale. Les correctifs de sécurité visent à renforcer la protection contre cette menace critique, soulignant l’importance de maintenir les systèmes à jour.

Microsoft a publié la mise à jour cumulative KB5066791 pour Windows 10, marquant la fin du support gratuit de ce système d’exploitation. Selon BleepingComputer, cette mise à jour finale clôt une ère pour Windows 10, qui ne recevra plus de mises à jour de sécurité gratuites. Les utilisateurs doivent envisager de passer à des versions plus récentes pour continuer à bénéficier de la protection contre les menaces.

Des acteurs malveillants ont exploité une vulnérabilité récemment corrigée (CVE-2025-20352) dans les appareils Cisco pour déployer un rootkit et cibler des systèmes Linux non protégés. Selon BleepingComputer, cette faille de sécurité permet l’exécution de code à distance, compromettant ainsi les systèmes affectés. L’exploitation de cette vulnérabilité souligne l’importance de maintenir les dispositifs réseau à jour pour éviter de telles attaques.

Des cybercriminels exploitent un manque d’authentification dans Zendesk pour inonder les boîtes de réception de messages menaçants. Selon KrebsOnSecurity, cette attaque utilise des messages automatisés provenant de nombreux clients Zendesk. Les messages peuvent inclure des lignes de sujet choisies par les attaquants, et l’absence de vérification préalable permet l’envoi de ces spams. Zendesk enquête sur des mesures préventives supplémentaires pour contrer cette menace.