Bulletin du 11 mars 2025

Let's Encrypt abandonne OCSP.

Let's Encrypt a annoncé la fin progressive de l'utilisation des requêtes OCSP (Online Certificate Status Protocol) pour vérifier la révocation des certificats. À la place, l'autorité de certification privilégiera les CRL (Certificate Revocation Lists).

Campagne de malvertising massive

Microsoft a récemment identifié une vaste campagne de malvertising sur des sites de streaming illégaux. Des publicités malveillantes intégrées dans les iframes des vidéos redirigeaient les utilisateurs vers des dépôts GitHub contenant des logiciels malveillants.

Chaîne d'infection

• Phase 1 : Téléchargement d'un fichier malveillant depuis GitHub, servant de point d'entrée pour les étapes suivantes.
• Phase 2 : Collecte d'informations système (taille de la mémoire, détails graphiques, résolution d'écran, système d'exploitation) et transmission de ces données aux attaquants.
• Phase 3 : Déploiement de charges utiles supplémentaires, telles que des logiciels espions ou des outils d'accès à distance, permettant une persistance et une évasion des défenses.
• Phase 4 : Exécution des logiciels malveillants sur le système.

L'un des principaux objectifs était le vol d'identifiants stockés dans les navigateurs web. Microsoft a collaboré avec GitHub pour supprimer les dépôts malveillants.

Une liste détaillée des indices de compromission est disponible à la fin de l'article de Microsoft :

• Le nom des exécutables utilisés pour les trois stades.
• Les liens de redirection vers les sites malveillants.
• Les URL GitHub malveillantes.
• Les noms de domaine utilisés pour la campagne.
• La liste des certificats signés utilisés lors de la campagne.
• Une liste d'IP publiques référencées comme C2.

Cinq nouvelles vulnérabilités ajoutées à la base CISA KEV : Ivanti EMP, Advantive VeraCore

La CISA a ajouté cinq nouvelles vulnérabilités à son catalogue Known Exploited Vulnerabilities (KEV), mettant en avant l'accès à des informations sensibles, des injections SQL et le téléchargement de fichiers non accessibles initialement.

Dans le Produit EPM de l'entreprise Ivanti :

CVE-2024-13161, CVE-2024-13160 et CVE-2024-13159: Un attaquant non authentifié peut, à distance, accéder à des informations sensibles via un Path Traversal.

Ces vulnérabilités touchent les versions 2022 SU6 et 2024. Une correction est disponible avec la mise à jour de sécurité de janvier 2025.

Dans le produit VeraCore de l'entreprise Advantive :

CVE-2024-57968 : Un attaquant authentifié à distance peut télécharger des fichiers vers des dossiers non prévus en exploitant le fichier upload.aspx. Cette vulnérabilité affecte les versions antérieures à la 2024.4.2.1.

CVE-2025-25181 : Un attaquant distant peut exécuter des commandes arbitraires en manipulant le paramètre PmSess1, dû à une vulnérabilité dans le fichier TimeoutWarning.asp permettant une injection SQL. Cette vulnérabilité affecte toutes les versions jusqu'à la 2025.1.0 incluse.

Exécution de code à distance complexe à exploiter dans Apache Tomcat

Les versions 11.0.0-M1 à 11.0.2, 10.1.0-M1 à 10.1.34 et 9.0.0.M1 à 9.0.98 de Apache Tomcat contiennent une exécution de code à distance (CVE-2025-24813) qui peut conduire à la divulgation et/ou corruption d'information. Elle utilise la méthode PUT partielle (activée par défaut) avec l'écriture pour le servelet par défaut (désactivée par défaut). Il faut, de plus, que l'attaquant connaisse le nom des fichiers sensibles qu'il souhaite accéder. Une mise à jour pour chaque branche majeure est disponible : 11.0.3, 10.1.35 et 9.0.99.

Vulnérabilités de sécurité dans Firefox et Thunderbird

Mozilla a récemment publié des mises à jour pour Firefox et Thunderbird, corrigeant plusieurs vulnérabilités de sécurité.

Détails des vulnérabilités :

• CVE-2025-1931 : Une vulnérabilité de type "use-after-free" dans WebTransportChild, pouvant entraîner un crash exploitable.​
• CVE-2025-1932: Un comparateur incohérent dans le tri XSLT, susceptible de provoquer un accès hors limites exploitable
• CVE-2025-1933 : Une corruption JIT des valeurs de retour WASM i32 sur les processeurs 64 bits, pouvant entraîner une interprétation incorrecte des types.​
• CVE-2025-1937 et CVE-2025-1938: Des vulnérabilités de sécurité mémoire entraînant une corruption pouvant permettre l'exécution de code arbitraire.

Vulnérabilité critique dans le système de contrôle d'accès Siemens.

Une vulnérabilité affectant toutes les versions antérieures à la V6.4.9 des dispositifs SiPass intégrés AC5102 et ACC-AP a été identifiée.

CVE-2025-27494 : Un administrateur authentifié sur la solution peut effectuer une élévation de privilèges en injectant des commandes arbitraires exécutées avec les privilèges root.

Cette vulnérabilité réside dans un manque de validation des entrées sur l'endpoint "pubkey".

Autres vulnérabilités dans le même bulletin : CVE-2024-52285 (sévérité moyenne), la solution expose des URLs MQTT sans authentification et la CVE-2025-27493 (sévérité haute) permet à un administrateur local d'élever ses privilèges en injectant des commandes arbitraires via l'interface telnet.

Nouveau réseau de botnet IoT découvert

L'équipe Nokia Deepfield Emergency Response Team (ERT) fait part de leur découverte : Eleven11bot. Il s'agit d'un nouveau réseau de botnet comprenant environ 5000 périphériques. Il comprend principalement des caméras de sécurité et enregistreurs vidéo en réseau (NVR). L'équipe GreyNoise apporte des précisions. Il semble s'agir d'une variation de Mirai ciblant en particulier HiSilicon et exécutant le logiciel TVT-NVMS9000.

Forum InCyber 2025 : Rendez-vous incontournable de la cybersécurité à Lille

Le Forum InCyber Europe 2025 se tiendra du 1ᵉʳ au 3 avril 2025 au Grand Palais de Lille. Cet événement majeur rassemblera les acteurs clés de la sécurité et de la confiance numérique en Europe.

Thème central : "Zero Trust, la confiance pour tous ?"

Face à la multiplication des menaces et à l'élargissement des surfaces d'attaque, le modèle du Zero Trust s'impose comme une réponse incontournable aux enjeux contemporains de cybersécurité. Cette approche repose sur une méfiance systématique vis-à-vis de tout utilisateur, appareil ou application, jusqu'à preuve de leur légitimité.

Thématiques majeures abordées :

• Cyber-résilience : Explorer les défis et les stratégies pour renforcer la capacité des organisations à résister et à se remettre des cyberattaques.
• Sécurité des environnements Web3 : Discuter des mesures de protection dans les environnements Web3 émergents.
• Gestion des identités numériques : Aborder les enjeux liés à l'identité numérique et aux processus de connaissance client (KYC).

Intervenants de renom attendus :

• Stéphane Richard : Président non-exécutif de Perella Weinberg Partners et ancien PDG d’Orange.
• Yves Leterme : Ancien Premier ministre de Belgique.
• Carsten Meywirth : Directeur de la division cyber à l'Office fédéral de la police criminelle d'Allemagne.
• Joe Sullivan : PDG de Joe Sullivan LLC, ancien CSO de Facebook, Uber et Cloudflare.

Woman & Cyber 2025 : L'innovation au féminin dans la cybersécurité

Le 25 mars 2025, Paris accueillera le forum Woman & Cyber, un événement majeur visant à promouvoir la place des femmes dans la cybersécurité. Conférences, tables rondes et témoignages mettront en lumière les parcours inspirants et les enjeux de ce secteur stratégique.

Temps forts du programme

Table ronde – Aérospatial : nouveau terrain de jeu des hackers (16h00 - 17h00)

• Cybersécurité et aérospatial : un enjeu stratégique majeur
• Souveraineté technologique : bataille pour l’indépendance
• Menaces électromagnétiques (TEMPEST) : un risque sous-estimé
• Les femmes, actrices clés de la cybersécurité

Talks & conférences (17h00 - 19h00)

• Orange, AFORP, DBM et Lex Regula interviendront sur l’innovation, la formation et la réglementation en cybersécurité.
• L’OSIIC (Opérateur des Systèmes d’Information Interministériels Classifiés) sera présent pour partager son expertise.

Informations pratiques : Paris – 25 mars 2025 – 15h00 à 20h00 - 64 rue Saintonge, 75003 Paris