Bulletin du 25 février 2025

La CISA ajoute une nouvelle vulnérabilité à son catalogue KEV

La Cybersecurity and Infrastructure Security Agency (CISA) a ajouté la vulnérabilité CVE-2023-34192 à son catalogue Known Exploited Vulnerabilities (KEV). Cette faille, affectant Zimbra Collaboration Suite (ZCS) de Synacor, est une vulnérabilité de type Cross-Site Scripting (XSS) qui permet à un attaquant authentifié à distance d’exécuter du code arbitraire via la fonction /h/autoSaveDraft.

PCI SSC : Deux développements majeurs visant à renforcer la sécurité des données de paiement

Lancement du nouveau tableau de bord du portail des fournisseurs

Le 20 février 2025, le PCI SSC a dévoilé son nouveau tableau de bord du portail des fournisseurs, une amélioration significative de l'ancien portail PCI. Ce tableau de bord offre aux fournisseurs une vue d'ensemble centralisée de toutes leurs soumissions de programmes, simplifiant ainsi la gestion et réduisant la complexité des processus. Parmi les avantages clés, on note des mises à jour en temps réel, une réduction de la dépendance envers les laboratoires et les évaluateurs, ainsi qu'une communication plus fluide grâce à une transparence accrue du processus de soumission. Les fournisseurs peuvent accéder à ce nouveau tableau de bord via leurs identifiants actuels du portail PCI SSC, sans configuration supplémentaire requise.

Entrée en vigueur de la norme PCI DSS v4.x

Parallèlement, le PCI SSC rappelle que la norme PCI DSS version 3.2.1 a été officiellement retirée le 31 mars 2024. Désormais, seules les versions 4.0 et 4.0.1, regroupées sous l'appellation PCI DSS v4.x, sont en vigueur. Cette mise à jour majeure vise à répondre aux besoins actuels de sécurité dans l'industrie des paiements, en promouvant une approche continue de la sécurité et en offrant une flexibilité accrue aux organisations pour atteindre les objectifs de protection des données. Les entités concernées, y compris les commerçants, les processeurs, les acquéreurs, les émetteurs et les fournisseurs de services, sont encouragées à adopter ces nouvelles exigences dès que possible pour assurer la conformité et renforcer la sécurité des données de paiement.

Faille XSS dans l'extension WordPress Essential Addons for Elementor

Une faille XSS vient d'être rendue publique : CVE-2025-24752. Elle est due à une mauvaise manipulation de la saisie d'un argument dans le fichier src/js/view/general.js. Les versions à partir de 6.0.15 corrigent cette vulnérabilité. Cela ne concerne pas le constructeur de page Elementor directement.

Vulnérabilités critiques dans Mattermost Boards

Mattermost, une plateforme open-source dédiée à la communication et à la collaboration en équipe, a corrigé trois vulnérabilités de sécurité critiques affectant son plugin Boards. Ces failles, identifiées sous les références CVE-2025-20051, CVE-2025-24490 et CVE-2025-25279, permettent à des attaquants de lire des fichiers arbitraires et d'exécuter des attaques par injection SQL.

Détails des vulnérabilités :

• CVE-2025-20051 (CVSS 9.9) : Lecture arbitraire de fichiers via la duplication de blocs dans Mattermost Boards. Un attaquant peut dupliquer un bloc spécialement conçu pour accéder à des informations sensibles.
• CVE-2025-24490 (CVSS 9.6) : Injection SQL via la réorganisation des ID de catégories de boards. L’exploitation réussie de cette faille peut mener à des fuites de données et un accès non autorisé.
• CVE-2025-25279 (CVSS 9.9) : Lecture arbitraire de fichiers via la fonctionnalité d’import/export. Un attaquant peut créer des archives malveillantes pour exploiter cette faille et accéder à des fichiers sensibles.

Versions affectées :

• 10.4.x <= 10.4.1
• 9.11.x <= 9.11.7
• 10.3.x <= 10.3.2
• 10.2.x <= 10.2.2

Mattermost recommande fortement aux utilisateurs de mettre à jour vers les versions 10.5.0, 10.4.2, 9.11.8, 10.3.3 et 10.2.3. Une mise à jour du plugin Mattermost Boards vers la version 9.0.5 ou supérieure est également nécessaire pour corriger ces vulnérabilités.

Vulnérabilité critique dans les switches Moxa EN 50155 (CVE-2024-7695)

Une vulnérabilité de type Out-of-Bounds Write (CWE-787) a été identifiée dans les switches industriels Moxa EN 50155, référencée sous CVE-2024-7695. Cette faille, causée par une validation insuffisante des entrées, permettrait à un attaquant distant et non authentifié d’écrire des données au-delà des limites d’un tampon mémoire, entraînant une interruption de service (DoS) et une potentielle perturbation des opérations.

Produits concernés et correctifs

Les équipements affectés incluent :

• TN-G4500 Series (firmware 5.3 et versions antérieures)
• TN-G6500 Series (firmware 5.4 et versions antérieures)

Moxa recommande une mise à jour immédiate vers le firmware 5.5 ou supérieur afin de corriger cette vulnérabilité.

Score CVSS et impact

• CVSS 3.1 : 7.5 (High) – Exploitable à distance, sans authentification, impactant la disponibilité.
• CVSS 4.0 : 8.7 – Confirmant la criticité de la menace.

En attendant l’application des correctifs, il est conseillé de désactiver Moxa Services et Moxa Service (Encrypted) s’ils ne sont pas essentiels au fonctionnement.

Faille de sécurité critique sur les imprimantes HP LaserJet

HP a récemment identifié une faille critique affectant certaines imprimantes LaserJet Pro, LaserJet Enterprise et LaserJet Managed. Cette vulnérabilité, exploitée via un fichier PostScript, peut permettre une exécution de code à distance et une élévation de privilèges, mettant en danger l’intégrité des systèmes.

Les modèles affectés incluent plusieurs références des séries M506, M552, M725, M880, et bien d’autres. La liste complète est disponible sur le site officiel de HP.

HP recommande fortement aux utilisateurs de mettre à jour le firmware de leurs imprimantes via la page HP Software and Driver Downloads.

Référence HP : HPSBPI04007 Rev. 1 CVE : CVE-2025-26506, CVE-2025-26507, CVE-2025-26508

Rapport 2025 de Dragos sur la Cybersécurité OT

Le dernier rapport annuel de Dragos sur la cybersécurité des technologies opérationnelles (OT) et des systèmes de contrôle industriel (ICS) met en lumière une année marquée par une intensification des cyberattaques, accentuée par des tensions géopolitiques croissantes.

Chiffres Clés :

• 87 % d'augmentation des attaques par ransomware contre les infrastructures industrielles en 2024.
• 70 % des vulnérabilités identifiées se trouvent profondément ancrées dans les réseaux OT, rendant leur correction plus complexe.
• 9 groupes de menaces sur les 23 suivis par Dragos étaient actifs en 2024, y compris KAMACITE, ELECTRUM et VOLTZITE.
• 1 171 attaques par ransomware ont visé le secteur manufacturier, la cible principale des cybercriminels.

Tendances et Menaces Émergentes :

• Montée en puissance des hacktivistes : des groupes comme CyberArmyofRussia_Reborn et Hunt3r Kill3rs exploitent des failles OT pour des actions destructrices.
• Deux nouveaux groupes de menaces identifiés : GRAPHITE (attaquant le secteur de l’énergie) et BAUXITE (liée aux infrastructures critiques aux États-Unis, en Europe et au Moyen-Orient).
• ICS Malware en plein essor : de nouveaux logiciels malveillants tels que Fuxnet et FrostyGoop ciblent directement les environnements OT, avec des impacts sur les réseaux énergétiques et industriels.

Recommandations Clés pour les Défenseurs :

1. Renforcer la surveillance des réseaux OT : mise en place d’outils de détection avancés.
2. Améliorer la gestion des accès à distance : éviter l’exposition directe des dispositifs OT à Internet.
3. Appliquer une segmentation stricte entre IT et OT pour limiter la propagation des attaques.
4. Prioriser les vulnérabilités critiques avec une approche "Now, Next, Never" pour optimiser la remédiation.

Conclusion : L’année 2024 a démontré que les infrastructures industrielles sont devenues des cibles stratégiques majeures. Le passage d’une posture défensive réactive à une cybersécurité proactive et résiliente est désormais impératif.

Rapport du CERT-FR : Menaces informatiques dans le secteur du Cloud

Le CERT-FR publie un rapport sur l’état de la menace informatique dans le secteur du cloud. L’ANSSI observe une hausse des attaques visant les fournisseurs et clients de services cloud, motivées par des objectifs lucratifs, d’espionnage ou de déstabilisation.

Les attaquants exploitent des mauvaises configurations et tentent des mouvements latéraux depuis des systèmes on-premise compromis. La sécurité partagée entre fournisseurs et clients est essentielle pour limiter les risques.

Le rapport fournit des recommandations clés pour renforcer la protection des infrastructures cloud.

🔗 Rapport complet : CERTFR-2025-CTI-001

Conférence sur le thème du CLOUD lors de la JSSI

L'Observatoire de la Sécurité des Systèmes d'Information et des Réseaux (OSSIR) organise le 11 mars 2025 la JSSI autour du cloud.

Au rendez-vous plusieurs thèmes abordés (prévisionnel) :

• To Cloud or Not To Cloud?
• Le traitement des vulnérabilités pour les solutions UCaaS Cloud
• Points de vigilance sur les contrats de prestations Cloud sous l’angle cyber
• Détection et investigation dans GitHub Enterprise
• Détection de Secrets & Responsible Disclosure 
• Retour d’expérience sur la qualification SecNumCloud de services cloud
• Maîtriser la sécurité du cloud : les défis et les solutions d’un Cloud Provider

La conférence est disponible en présentiel à l'ESIEA (Paris), ou en distanciel et se déroulera de 8h30 à 17h30

Premier Kryptosphere Summit Innovation

L'IMT Atlantique de Nantes accueillera la première édition du Kryptosphere Summit Innovation (KSI), un événement dédié aux avancées de la blockchain.

Organisé par Kryptosphere IMT Atlantique et KRYPTOSPHERE FRANCE, ce sommet réunira des experts du domaine pour aborder des sujets variés tels que :

• Les défis réglementaires et économiques du Bitcoin
• L’intégration de la blockchain dans les entreprises
• Les innovations Cardano
• L’open source et la preuve de provenance on-chain

L’événement est gratuit mais l'inscription est obligatoire.