Bulletin du 4 mars 2025

mardi 4 mars 2025

Les actualités de la cybersécurité

  • Centreon devient CNA

    La solution de référence pour la supervision de la performance digitale devient autorité de numérotation de CVE parmi les 438 entités déjà accréditées. Centreon pourra désormais attribuer des numéros CVE pour les vulnérabilités découvertes dans ses produits.

    centreon, 27 février 2025, en français

  • IBM acquiert HashiCorp : un coup d’accélérateur pour Terraform et l’automatisation du cloud

    IBM a finalisé l’acquisition de HashiCorp pour 6,4 milliards de dollars, renforçant ainsi son portefeuille d’outils d’automatisation du cloud hybride. Cette acquisition met particulièrement en avant Terraform, l’un des outils phares de HashiCorp, utilisé pour le provisionnement d’infrastructures dans des environnements multi-cloud.

    Avec Terraform, IBM vise à intégrer davantage d’automatisation et de gestion du cycle de vie des infrastructures dans ses solutions existantes, notamment aux côtés d’Ansible (Red Hat) et de ses outils d’observabilité et de gestion des coûts. L’objectif est de fournir aux entreprises une approche unifiée pour déployer et sécuriser leurs infrastructures cloud, un enjeu clé face à l’essor des applications cloud-native et de l’IA générative.

    L'intégration de Terraform dans l’écosystème IBM pourrait aussi renforcer la sécurité et la gestion des secrets avec Vault, un autre produit HashiCorp, en complément de Red Hat OpenShift.

    IBM, 4 mars 2025, en anglais

  • Quatre nouvelles vulnérabilités ajoutées à la base CISA KEV : Cisco, Hitachi, Microsoft et Progress concernés

    La CISA a ajouté cinq nouvelles vulnérabilités à son catalogue Known Exploited Vulnerabilities (KEV), mettant en avant des risques critiques affectant des équipements réseau, des solutions d’analyse métier et des systèmes Windows.

    • CVE-2023-20118 (Cisco RV Series) : Injection de commandes via l’interface web, pouvant permettre une élévation de privilèges jusqu’à root.
    • CVE-2022-43939 & CVE-2022-43769 (Hitachi Vantara Pentaho BA Server) : Contournement d’autorisation et injection de templates Spring, ouvrant la porte à l’exécution de commandes arbitraires.
    • CVE-2018-8639 (Windows Win32k) : Faille permettant une élévation locale de privilèges, critique pour les environnements multi-utilisateurs.
    • CVE-2024-4885 (WhatsUp Gold) : Vulnérabilité de traversal de chemin pouvant mener à une exécution de code à distance non authentifiée.
    CISA, 4 mars 2025, en anglais

Focus sur les vulnérabilités récentes

  • Multiples vulnérabilités critiques dans Delta Electronics ISPSoft

    Le logiciel ISPSoft de Delta Electronics est affecté par trois vulnérabilités critiques permettant l'exécution de code à distance. Ces failles, découvertes par ZDI et publiées comme des 0-day, concernent le parsing des fichiers CBDGL et DVP, entraînant des corruptions de mémoire exploitables.

    Détails des vulnérabilités :

    1. CVE-2025-24085 - Dépassement de tampon basé sur la pile (CBDGL)
      • Score CVSS : 7.8 (Élevé)
      • Impact : Exécution de code arbitraire via un fichier malveillant.
      • Cause : Absence de validation de la longueur des données fournies par l'utilisateur avant leur copie dans une mémoire tampon fixe.
    2. ZDI-25-101 (CVE en attente) - Écriture hors limites (DVP)
      • Score CVSS : 7.8 (Élevé)
      • Impact : Exécution de code arbitraire via un fichier DVP malveillant.
      • Cause : Écriture hors des limites d'une structure de données allouée.
    3. ZDI-25-102 (CVE en attente) - Dépassement de tampon basé sur la pile (DVP)
      • Score CVSS : 7.8 (Élevé)
      • Impact : Exécution de code arbitraire via un fichier DVP malveillant.
      • Cause : Mauvaise validation de la longueur des données copiées dans un tampon de pile fixe.
    ZDI, 3 mars 2025, en anglais

  • Zimbra Daffodil 10.1.6 : Mise à jour et correctifs de sécurité

    Zimbra a publié la version 10.1.6 de Zimbra Daffodil, incluant des correctifs de sécurité et des changements affectant les API et le système de licences.

    L’accès en écriture au répertoire /opt/zimbra/jetty/webapps est désormais restreint afin de renforcer la sécurité et limiter les risques potentiels.

    Zimbra, 3 mars 2025, en anglais

  • Lecture arbitraire sur les équipements Synology

    Une vulnérabilité dans NFS (Network File System) permet à un attaquant de lire n'importe quel fichier. Une mise à jour pour les différentes branches de DSM 7 a été publiée : 7.1.1-42962-8, 7.2.1-69057-7 et 7.2.2-72806-3.

    Synology, 1 mars 2025, en anglais

  • La mise à jour de Mars d'Android corrige deux failles exploitées

    Le projet Android Open Source Project (AOSP) vient de mettre en ligne un bulletin de sécurité. Il mentionne notamment la correction de deux CVE (CVE-2024-43093 et CVE-2024-50302) qui sont activement exploitées. La première permet une élévation de privilèges via la méthode shouldHideDocument de la classe JAVA ExternalStorageProvider.java. La seconde concerne une potentielle fuite de mémoire dans le kernel.

    Android, 4 mars 2025, en anglais

Prochains rendez-vous

  • Conférence sur le thème du CLOUD lors de la JSSI

    L'Observatoire de la Sécurité des Systèmes d'Information et des Réseaux (OSSIR) organise le 11 mars 2025 la JSSI autour du cloud.

    Au rendez-vous plusieurs thèmes abordés (prévisionnel) :

    • To Cloud or Not To Cloud?
    • Le traitement des vulnérabilités pour les solutions UCaaS Cloud
    • Points de vigilance sur les contrats de prestations Cloud sous l’angle cyber
    • Détection et investigation dans GitHub Enterprise
    • Détection de Secrets & Responsible Disclosure 
    • Retour d’expérience sur la qualification SecNumCloud de services cloud
    • Maîtriser la sécurité du cloud : les défis et les solutions d’un Cloud Provider

    La conférence est disponible en présentiel à l'ESIEA (Paris), ou en distanciel et se déroulera de 8h30 à 17h30

    OSSIR, 11 mars 2025, en français