Bulletin du 02 avril 2025

mercredi 2 avril 2025

Les actualités de la cybersécurité

  • Campagne active de crypto-mineur sur les instances PostgreSQL publique

    L'équipe de WIZ fait part de leurs observations d'une campagne en cours. L'auteur, JINX-0126, abuse des instances PostgreSQL directement accessibles avec des identifiants peu robustes ou couramment utilisés. Il déploie ensuite XMRig-C3 qui sert à miner la cryptomonnaie Monero (XMR). D'après l'analyse, chaque porte-monnaie utilisé dans la campagne aurait au moins 550 mineurs actifs, soit un total de 1500 (3 portes-monnaie). Des indices de compromissions sont fournis dont les signatures des fichiers déployés lors de l'exploitation.

    WIZ, 2 avril 2025, en anglais

  • L'ANSSI lance la plateforme MesServicesCyber

    MesServicesCyber est une plateforme en ligne destinée à faciliter l'accès aux services et ressources en cybersécurité pour les entités publiques et privées.

    Il est à noter que l'ANSSI vise deux cibles prioritaires auxquelles est réservé l'accès à certains de ses services numériques : les entités régulées et les entités publiques.

    MesServicesCyber propose :

    • Un catalogue de services et ressources autour des besoins essentiels en cybersécurité : sensibiliser, se former, sécuriser et réagir.
    • Trois sélections de services et de ressources pour : se lancer, approfondir, et pour les entités régulées par la directive NIS2.
    • Un test de maturité permettant une évaluation rapide et indicative.
    ANSSI, 2 avril 2025, en français

  • La conférence Sunny Tech est de retour en 2025

    La conférence Sunny Tech revient les 26 et 27 juin 2025 à Montpellier. Cet événement annuel, pour les professionnels du numérique, proposera deux journées riches en contenu autour des technologies du développement, du produit et de l’expérience utilisateur.

    Au programme : 85 conférences et ateliers répartis sur 5 tracks thématiques, permettant aux participants de suivre des parcours adaptés à leurs intérêts.

    Sunny Tech, 31 mars 2025, en français

  • Importants changements dans la gestion des licences des produits VMware par Braodcom

    Le distributeur français Arrow averti d'un message reçu de Broadcom sur des changements importants.

    À compter du 10 avril 2025, le nombre minimum de cœurs facturés passe de 16 à 72. Cela signifie qu'une machine avec un simple CPU de 8 cœurs sera désormais facturée comme une configuration haut de gamme (bi-CPU 16 cœurs), quadruplant ainsi le coût pour les plus petits par rapport à l’ancien modèle.

    Autre changement majeur : des pénalités de 20 % s’appliqueront rétroactivement pour tout client n’ayant pas renouvelé son contrat à la date anniversaire.

    Enfin, les mises à jour logicielles ne seront plus accessibles librement : elles passeront par des URL individualisées, nécessitant des jetons d’authentification, complexifiant la gestion pour les équipes disposant de peu de ressources. Les détails sur le fonctionnement sont disponibles sur le site de Broadcom, ici.

    Next, 31 mars 2025, en français

  • L'Union européenne investit 1,3 milliard d'euros

    La Commission européenne a annoncé un investissement dans le cadre du Digital Europe Programme pour la période 2025-2027.

    Ce programme met l’accent sur le déploiement de l’IA et son adoption par les entreprises et les administrations publiques, le cloud et les données, la cybersécurité et les compétences numériques.

    Les priorités du programme DIGITAL comprennent :

    • améliorer la disponibilité de l’IA générative dans des secteurs clés
    • soutenir les pôles européens d’innovation numérique
    • renforcer l’initiative Destination Earth
    • renforcer la cybersécurité
    • développer la capacité des établissements d’enseignement de l’UE à former et attirer les talents
    • faciliter la structure du portefeuille d’identité numérique européen
    • stimuler la transformation numérique des services publics.
    Commission européenne, 28 mars 2025, en anglais

Focus sur les vulnérabilités récentes

  • Vulnérabilité dans l'extension WordPress Import Export Suite for CSV and XML Datafeed

    Une mauvaise validation du fichier envoyé (CVE-2025-2008) lors de l'utilisation de l'extension Import Export Suite for CSV and XML Datafeed permet à un utilisateur authentifié avec des permissions l'envoi de n'importe quel fichier. Cela rend possible l'exécution de code via ces fichiers. Une mise à jour est disponible pour corriger cette faille dans la version 7.19.1.

    Wordfence, 2 avril 2025, en anglais

  • Exécution de code critique dans Apache Parquet

    Une nouvelle vulnérabilité ayant le score le plus élevé (CVE-2025-30065, CVSS4 10.0) vient d'être corrigé dans la version 1.15.1 d'Apache Parquet. Elle permet à un attaquant l'exécution de code arbitraire à distance suite à un manque de vérification des paquets autorisés (ReflectData et SpecificData).

    Github, 2 avril 2025, en français

  • Exécution de code arbitraire à distance par les imprimantes Canon

    L'équipe Microsoft’s Offensive Research and Security Engineering (MORSE) a rapporté une nouvelle faille critique de sécurité aux équipes de gestion de vulnérabilités Canon. Cette vulnérabilité réside dans les pilotes Canon (PCL6, UFR II, LIPS4, LIPSXL et PS) et permet de réaliser, à distance, une exécution de code arbitraire par l'imprimante. Si le périphérique est connecté directement à internet sans filtrage sortant, elle pourrait devenir membre d'un réseau de botnet. Une mise à jour est disponible en version V3.12.

    Canon PSIRT, 2 avril 2025, en anglais

  • Mise à jour de sécurité de Unity OS de Dell

    Dell vient de mettre en ligne un bulletin couvrant un nombre important de vulnérabilités dans les produits Unity (Unity, Unity VSA et Unity XT) qui sont la base de leurs solutions de stockage. Parmi la liste, deux sont particulièrement notables :

    • CVE-2025-22398 : exécution de code à distance par un attaquant sans authentification requise (accès distant nécessaire). Les commandes peuvent être exécutées avec les privilèges système les plus élevés (compte root).
    • CVE-2025-24383 : Suppression de fichiers arbitraires avec les permissions systèmes les plus élevées (compte root).

    Elles concernent les versions inférieures à 5.5.0.0.5.259. Les mises à jour peuvent être trouvées sur le site du support Dell ici.

    Dell, 1 avril 2025, en anglais

  • Deux nouvelles vulnérabilités critiques dans Microsoft Azure

    Microsoft a publié deux bulletins de sécurité concernant ses solutions Azure référencées sous les codes :

    Azure Playwright

    • CVE-2025-26683 : Un défaut de contrôle d’accès peut permettre à un attaquant d’élever ses privilèges.

    Azure Health Bot

    • CVE-2025-21384 : Un attaquant authentifié peut élever ses privilèges sur le réseau via une attaque SSRF.
    Microsoft, 31 mars 2025, en français

  • Vulnérabilité dans le plugin WordPress Kubio AI Page Builder

    Wordfence a publié dans sa base de données de vulnérabilités une nouvelle faille touchant Kubio AI Page Builder.

    Cette vulnérabilité référencée sous le code CVE-2025-2294, permet à un attaquant non authentifié d'inclure et d'exécuter des fichiers arbitraires sur le serveur via la fonction kubio_hybrid_theme_load_template

    Toutes les versions jusqu'à la 2.5.1 incluse sont concernées par cette vulnérabilité.

    Wordfence, 31 mars 2025, en anglais

  • Exploitation d’un plugin WordPress

    Les chercheurs de Sucuri ont révélé, le 28 mars 2025, une série d’attaques utilisant les Must-Use plugins de WordPress pour dissimuler du code malveillant. Ces plugins sont automatiquement exécutés sans apparaître dans l’interface d’administration classique, des détails sont disponibles ici.

    Trois types de malwares identifiés :

    • Malware de redirection vers une fausse mise à jour logicielle : un fichier contenu dans wp-content/mu-plugins/redirect.php redirige les visiteurs vers un site malveillant.
    • RCE Webshell : présent dans le fichier wp-content/mu-plugins/index.php. Il permet à un attaquant de télécharger et d’exécuter dynamiquement du code PHP à distance, permettant une prise de contrôle totale du site.
    • Injection de spam : un script d’injection de spam contenu dans wp-content/mu-plugins/custom-js-loader.php, permettant d’injecter du contenu indésirable de type spam sur le site web.
    Sucuri, 28 mars 2025, en anglais

À découvrir

  • La CNIL annonce une nouvelle Journée RGPD à Caen

    La CNIL annonce la tenue d'une nouvelle Journée RGPD à Caen, le jeudi 24 avril 2025. Cet événement s'inscrit dans le cadre de son programme de rencontres régionales visant à sensibiliser et accompagner les professionnels sur les enjeux de la protection des données personnelles.

    Ces Journées RGPD, initiées en 2022, ont déjà eu lieu dans plusieurs villes françaises. Elles offrent une opportunité aux acteurs d'échanger avec les experts de la CNIL sur l'application des principes du RGPD, les démarches de conformité et les outils disponibles.

    Au programme : analyse d’impact relative à la protection des données et à la sous-traitance, intelligence artificielle et gestion des risques cyber.

    L'événement se tiendra uniquement en présentiel, avec une inscription obligatoire.

    CNIL, 31 mars 2025, en français

Prochains rendez-vous

  • Événement sur le thème du RGPD

    La CNIL et la Direction générale du Trésor organisent, le 20 mai 2025, un événement académique international intitulé : « RGPD : quel impact économique ? ».

    Cet événement vise à évaluer les effets économiques du Règlement général sur la protection des données (RGPD), plus de cinq ans après son entrée en vigueur.

    L'événement se déroulera à la CNIL et en ligne, de 13h à 18h.

    CNIL, 20 mai 2025, en français