Voici la revue hebdomadaire des vulnérabilités critiques signalées et des mesures proposées par les éditeurs pour y remédier.
Faits marquants de la semaine
- Un audit de sécurité du réseau Tor a mis en lumière six vulnérabilités au sein de ses outils de surveillance de relais, dont une faille critique dans le module de détection de Sybil qui affecte la fiabilité de l’analyse du trafic.
- La vulnérabilité React2Shell est activement exploitée pour déployer des portes dérobées Linux comme KSwapDoor et ZnDoor, avec un fonctionnement en mode « dormeur » et un maillage interne entre serveurs compromis.
- Hewlett Packard Enterprise a corrigé une vulnérabilité critique CVE-2025-37164 (score CVSS 10,0) dans OneView, permettant une exécution de code à distance sans authentification sur toutes les versions antérieures à la 11.00.
- Une faille UEFI dans certains modèles de cartes mères ASRock, ASUS, GIGABYTE et MSI permet des attaques DMA en tout début de démarrage, contournant les protections IOMMU et exposant la mémoire système avant le chargement de l’OS.
L’écosystème du réseau Tor a fait l’objet d’un audit mené en octobre 2025 par une société de tests d’intrusion, qui a identifié six vulnérabilités et formulé onze recommandations de durcissement. Selon CyberInsider, la portée couvrait des composants variés comme TagTor, DescriptorParser, Margot, Exitmap, Tor_fusion, SBWS, ainsi que les implémentations Arti et Tor C. La faille la plus grave touche le module Sybil Hunter (Margot), dont la logique basée sur la similarité de chaînes entraîne à la fois des faux positifs et des contournements par des relais malveillants, compromettant la détection de clusters contrôlés par un même adversaire.
La vulnérabilité React2Shell est utilisée pour livrer des malwares Linux tels que KSwapDoor et ZnDoor, d’après The Hacker News. Un responsable de Palo Alto Networks Unit 42 décrit KSwapDoor comme un outil d’accès distant conçu pour la furtivité, capable de construire un réseau maillé interne entre serveurs compromis, chiffrer ses communications avec un chiffrement de niveau militaire et rester en « mode dormant » jusqu’à réception d’un signal invisible. Le malware a été repéré dans deux régions et deux secteurs distincts, où il se fait passer pour un processus légitime du noyau Linux, tout en offrant exécution de commandes, opérations sur fichiers et exploration latérale.
Hewlett Packard Enterprise a corrigé une vulnérabilité critique dans OneView, référencée CVE-2025-37164 et notée 10,0 sur l’échelle CVSS, qui permet l’exécution de code à distance par un attaquant non authentifié. Comme le détaille The Hacker News, toutes les versions antérieures à OneView 11.00 sont affectées, avec un correctif spécifique disponible pour les versions 5.20 à 10.20. Le correctif doit être réappliqué après certaines mises à jour ou après un reformatage HPE Synergy Composer.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Une nouvelle vulnérabilité UEFI expose certains modèles de cartes mères ASRock, ASUS, GIGABYTE et MSI à des attaques DMA (Direct Memory Access) en phase très précoce de démarrage, permettant à des périphériques PCIe malveillants d’accéder directement à la mémoire système. Selon SecurityAffairs, le problème vient d’implémentations UEFI qui déclarent à tort les protections DMA actives alors que l’IOMMU n’est pas correctement initialisé. Un avis du CERT/CC précise qu’un périphérique disposant d’un accès physique peut lire ou modifier la mémoire avant le chargement des défenses du système d’exploitation, facilitant l’injection de code pré-boot et l’exfiltration de données sensibles sur des systèmes utilisant un firmware non corrigé.
WatchGuard a publié des correctifs pour une faille critique de Fireware OS, exploitée dans des attaques réelles et suivie sous le CVE-2025-14733 avec un score CVSS de 9,3. D’après The Hacker News, il s’agit d’un dépassement d’écriture hors limites affectant le processus iked, permettant à un attaquant distant non authentifié d’exécuter du code arbitraire sur des configurations VPN IKEv2 mobiles ou de site à site.
Une vulnérabilité de concurrence critique a été identifiée dans le module Rust Binder du noyau Linux, sous le CVE-2025-68260, provoquant des corruptions mémoire internes et des plantages de système. Selon GBHackers, le problème est apparu dans la version 6.18 du noyau au sein du fichier node.rs. Le code déplace des éléments vers une liste locale après avoir relâché le verrou, créant une fenêtre de course sur les pointeurs prev/next.
Elastic a corrigé une vulnérabilité XSS critique dans Kibana, suivie comme CVE-2025-68385 et notée 7,2 en score CVSSv3.1, qui permet à des attaquants authentifiés d’injecter des scripts malveillants dans des pages consultées par d’autres utilisateurs. Comme le rapporte GBHackers, la faille touche l’implémentation de la fonctionnalité de visualisation Vega, où une neutralisation incorrecte des entrées permet de contourner des protections XSS antérieures.
Atlassian a publié des mises à jour de sécurité corrigeant des dizaines de vulnérabilités dans ses produits, dont une faille XML External Entity (XXE) maximale, CVE-2025-66516, affectant Apache Tika avec un score CVSS de 10,0. D’après SecurityAffairs, cette faille permet, via un fichier XFA malveillant intégré dans un PDF, de forcer Tika à traiter des entités XML externes dans les modules core, PDF et parsers, ouvrant l’accès à des ressources internes sensibles.
Des acteurs malveillants exploitent deux vulnérabilités critiques Fortinet, CVE-2025-59718 et CVE-2025-59719 (score CVSS 9,1), seulement quelques jours après la publication des correctifs, ciblant plusieurs produits quand FortiCloud SSO est activé. Selon SecurityAffairs, ces failles d’authentification reposent sur une vérification incorrecte des signatures cryptographiques dans FortiOS, FortiWeb, FortiProxy et FortiSwitchManager, permettant de contourner la connexion SSO via un message SAML forgé.
Expertise Cyber en accès libre.
Pas de paywall, pas d'abonnement caché. Votre soutien permet de maintenir cette gratuité.
