Voici la revue hebdomadaire des vulnérabilités critiques signalées et des mesures proposées par les éditeurs pour y remédier.
Faits marquants de la semaine
- Des pirates exploitent une vulnérabilité critique dans Cisco ISE, permettant l’exécution de code à distance sans authentification.
- Proton Pass a corrigé une faille de clickjacking DOM, affectant plusieurs gestionnaires de mots de passe.
- Une vulnérabilité dans Imunify360 expose des millions de sites à des exécutions de code arbitraires.
- Fortinet FortiWeb a été victime d’une exploitation sauvage avant un correctif silencieux.
La cybersécurité continue d’être un enjeu majeur avec des attaques sophistiquées exploitant des vulnérabilités dans des systèmes critiques. Cette semaine, nous avons observé des incidents impliquant des protocoles anciens, des vulnérabilités zero-day, et des failles de sécurité dans des infrastructures technologiques essentielles. Les acteurs malveillants ciblent des systèmes variés, allant des gestionnaires de mots de passe aux pare-feu d’application web, en passant par des logiciels de gestion d’infrastructure. Les entreprises et les gouvernements sont confrontés à des défis croissants pour sécuriser leurs systèmes contre des attaques de plus en plus complexes. Cette veille souligne l’importance de rester informé des dernières menaces et des correctifs disponibles pour protéger les données sensibles et les infrastructures critiques.
Le protocole « Finger », anciennement utilisé pour récupérer des informations sur les utilisateurs, est exploité dans des attaques de type ClickFix. Des acteurs malveillants utilisent ce protocole pour exécuter des commandes à distance sur des appareils Windows. Selon BleepingComputer, des campagnes récentes ont abusé de ce protocole pour télécharger des logiciels malveillants et contourner les détections. Un exemple notable est une attaque où les utilisateurs sont incités à exécuter une commande Windows pour vérifier qu’ils sont bien humain, ce qui conduit à l’exécution de scripts malveillants. Ces attaques exploitent la capacité du protocole à récupérer des scripts distants, qui sont ensuite exécutés localement, compromettant ainsi les systèmes. Les conséquences incluent le téléchargement de logiciels malveillants déguisés en fichiers PDF et l’exécution de programmes Python nuisibles.
Des vulnérabilités critiques dans les systèmes Cisco ISE et Citrix sont exploitées pour déployer des portes dérobées sur mesure. Les chercheurs ont découvert une faille, CVE-2025-20337, permettant l’exécution de code à distance sans authentification dans les systèmes Cisco ISE. Comme le rapporte TechRadar, cette vulnérabilité a un score de sévérité de 10/10. Les acteurs de la menace utilisent des techniques d’évasion avancées, telles que l’injection de code en mémoire et le chiffrement DES avec un encodage Base64 non standard, pour dissimuler leur présence. Ces attaques ne ciblent aucun secteur spécifique, rendant leur portée potentiellement vaste. Les chercheurs ont également identifié l’utilisation de cette vulnérabilité pour installer des web shells personnalisés, déguisés en composants légitimes de Cisco ISE, augmentant ainsi le risque de compromission des systèmes.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Proton Pass a récemment corrigé une vulnérabilité critique de clickjacking basée sur le DOM, affectant plusieurs gestionnaires de mots de passe. Cette faille, présentée à DEF CON 33, permet aux attaquants de déclencher des composants UI sensibles de manière invisible. Selon CyberInsider, la vulnérabilité a été corrigée dans la version 1.31.6 de l’extension Proton Pass. L’attaque utilise des techniques JavaScript et CSS pour manipuler la visibilité des éléments injectés par l’extension, créant des superpositions convaincantes qui trompent les utilisateurs. Seuls quelques gestionnaires, dont Proton Pass et Bitwarden, ont publié des correctifs, tandis que d’autres, comme 1Password, ont minimisé l’importance de la faille. Cette vulnérabilité met en lumière les risques associés aux interfaces utilisateur injectées, qui peuvent être exploitées pour autoriser à leur insu l’autocomplétion de données sensibles.
Les bus électriques Yutong, fabriqués en Chine, font l’objet d’une enquête au Danemark et en Norvège en raison de failles de sécurité. Ces vulnérabilités soulèvent des inquiétudes quant à la dépendance européenne vis-à-vis de la technologie chinoise. Comme le rapporte SecurityAffairs, les opérateurs de bus scandinaves examinent les risques de manipulation ou de contrôle à distance de leurs flottes. Yutong, le plus grand fabricant de bus au monde, permet des mises à jour et diagnostics à distance, ce qui pourrait être exploité par des acteurs malveillants. Le problème ne se limite pas aux véhicules chinois, mais concerne tous les dispositifs connectés. La Norvège a renforcé la cybersécurité de ses bus, mais des experts estiment que la sécurité totale est irréaliste.
Une faille critique dans Imunify360 permet aux attaquants d’exécuter du code via des fichiers malveillants, mettant en danger des millions de sites web. Selon SecurityAffairs, l’exploitation de cette faille repose sur l’exécution de fonctions PHP dangereuses, déclenchées par des fichiers malveillants téléchargés. Imunify360, une plateforme de sécurité pour serveurs, protège actuellement plus de 56 millions de sites. Les attaquants peuvent utiliser des modèles de déobfuscation pour exécuter des commandes système arbitraires, compromettant ainsi les sites et serveurs.
SAP a publié ses mises à jour de sécurité de novembre, corrigeant plusieurs vulnérabilités, dont une faille critique dans SQL Anywhere Monitor. Cette vulnérabilité, identifiée comme CVE-2025-42890, implique des identifiants codés en dur, recevant un score de sévérité de 10.0. Selon BleepingComputer, cette faille permet aux attaquants d’exécuter du code arbitraire en utilisant des identifiants intégrés dans le code. SQL Anywhere Monitor est utilisé pour surveiller les bases de données distribuées, souvent déployé sur des appareils sans surveillance humaine fréquente. Une autre vulnérabilité critique, CVE-2025-42887, affecte SAP Solution Manager, permettant l’insertion de code malveillant. Les produits SAP sont fréquemment ciblés par des acteurs malveillants en raison de leur déploiement dans de grandes entreprises.
Microsoft a corrigé 63 vulnérabilités dans ses logiciels, dont une faille zero-day dans le noyau Windows activement exploitée. Parmi ces vulnérabilités, quatre sont classées critiques et 59 importantes. Selon TheHackerNews, la faille zero-day, CVE-2025-62215, permet une élévation de privilèges dans le noyau Windows. Cette vulnérabilité est exploitée en combinant des conditions de course pour corrompre la mémoire du noyau, permettant aux attaquants de détourner le flux d’exécution du système. La réussite de l’exploitation nécessite un accès préalable au système, souvent obtenu par ingénierie sociale ou exploitation d’autres failles. Les correctifs incluent également des mises à jour pour le navigateur Edge basé sur Chromium, abordant 27 vulnérabilités supplémentaires.
Une vulnérabilité d’authentification dans Fortinet FortiWeb WAF est activement exploitée, permettant la prise de contrôle des comptes administrateurs. Cette faille permet aux attaquants d’ajouter un compte administrateur pour maintenir un accès persistant. Selon TheHackerNews, l’exploitation utilise une combinaison de traversée de chemin et de contournement d’authentification via des requêtes HTTP. Les chercheurs ont également développé un outil pour identifier les appareils vulnérables.
Serveurs, API, outils de veille.
DCOD est un projet indépendant sans revenu. L'infra a un coût. Participez aux frais.
