Bulletin du 29 avril 2025


mardi 29 avril 2025

Les actualités de la cybersécurité

  • Nouvelle clé GPG pour les dépôts de la distribution Kali Linux

    La perte de la clé GPG utilisée pour signer les paquets apt (44C6513A8E4FB3D30875F758ED444FF07D8D0BF6) a entrainé son remplacement par une nouvelle clé (827C8569F2518CC677FECA1AED65462EC8D5E4C5). Il vous faudra alors importer cette clé pour continuer d'installer et mettre à jour les paquets (sudo curl https://archive.kali.org/archive-keyring.gpg -o /usr/share/keyrings/kali-archive-keyring.gpg).

    Kali, 29 avril 2025, en anglais
  • Données personnelles : une année 2024 sous tension selon la CNIL

    La CNIL dresse pour 2024 un bilan marqué par une intensification de son activité : 17 772 plaintes reçues (un record), 5 629 notifications de violations de données (+20 %), et 87 sanctions prononcées pour un total de 55 millions d’euros d’amendes. Les principales inquiétudes concernent les fuites massives de données et les cyberattaques d’ampleur croissante. Les plaintes se concentrent sur les télécoms, le web et les réseaux sociaux (49 %). La CNIL souligne aussi son rôle européen renforcé et sa vigilance accrue face aux enjeux de cybersécurité et à l’essor de l’intelligence artificielle.

    CNIL, 29 avril 2025, en français
  • Les administrateurs de WooCommerce visés par une attaque de phishing

    L'équipe de Patchstack a découvert une campagne de phishing visant les administrateurs de WooCommerce en exploitant une fausse vulnérabilité "Unauthenticated Administrative Access".

    La méthodologie des attaquants consiste à envoyer un mail de phishing aux administrateurs en leur faisant croire qu'une vulnérabilité est activement exploitée et qu'il faut appliquer un correctif.

    Dans ce mail, un lien est proposé pour télécharger un patch malicieux. L'ingéniosité des attaquants réside dans le nom de domaine utilisé pour télécharger la mise à jour woocommėrce[.]com. Une fois la mise à jour réalisée, une tâche planifiée est mise en place afin de créer un compte admin généré aléatoirement sur le site compromis.

    Il est ensuite envoyé à un serveur C2 woocommerce-services[.]com/wpapi pour récupérer l'identifiant et le mot de passe nouvellement créés ainsi que l'adresse du site compromis. Dans un second temps, les attaquants créent une requête pour télécharger des fichiers malveillants depuis woocommerce-help[.]com/activate et woocommerce-api[.]com/activate, permettant aux attaquants de déployer un webshell et prendre la main sur le serveur de la victime.

    Patchstack, 28 avril 2025, en anglais
  • Trois nouvelles vulnérabilités : Commvault, Qualita Active!, Broadcom référencées par la CISA

    La CISA a ajouté trois nouvelles vulnérabilités à son catalogue Known Exploited Vulnerabilities (KEV) :

    • CVE-2025-3928 (Commvault) : Une vulnérabilité non spécifiée affecte les produits Web Server. Un attaquant distant authentifié peut créer et exécuter des webshells. Un correctif est disponible en version 11.36.46, 11.32.89, 11.28.141 et 11.20.217 pour les plateformes Windows et Linux.
    • CVE-2025-42599 (Qualita Active!) : Cette vulnérabilité affecte les produits Active! Mail. Un attaquant non authentifié peut exploiter à distance une vulnérabilité de dépassement de tampon basé sur la pile (stack-based buffer overflow) en créant des requêtes spécialement conçues et ainsi injecter du code d'exécution pouvant conduire à un déni de service. Les versions concernées sont 6.60.05008561 et antérieures.
    • CVE-2025-1976 (Broadcom) : Cette vulnérabilité concerne les produits Brocade Fabric OS. Les versions commençant par 9.1.0 ont supprimé les accès root, cependant un utilisateur local avec des privilèges administrateur peut exécuter du code arbitraire avec les privilèges root. Les versions concernées sont de 9.1.0 à 9.1.1d6.
    CISA, 28 avril 2025, en anglais

Focus sur les vulnérabilités récentes

  • Exploitation d'une faille critique pour SAP NetWeaver

    Le produit NetWeaver de SAP a reçu un correctif pour une faille critique : CVE-2025-31324. Cette vulnérabilité permet à un attaquant non authentifié d'envoyer un fichier binaire exécutable.

    L'équipe de watchTowr indique que cette faille est maintenant activement exploitée. Les attaquants l'utilisent pour obtenir un web shell sur l'hôte puis pivoter afin de récupérer d'autres accès par la suite.

    ReliaQuest, 27 avril 2025, en anglais
  • Vulnérabilité critique pour Craft CMS

    Une des dépendances utilisées par Craft CMS : Yii, est vulnérable à une exécution de code arbitraire à distance. La librairie a été mise à jour (2.0.52) dans les versions 3.9.15, 4.14.15 et 5.6.17 du CMS le 10 avril. Pour vérifier l'exploitation de la vulnérabilité, il faut analyser les requêtes POST vers la ressource actions/assets/generate-transform de votre serveur web. Si jamais un site est compromis, il est recommandé de changer les secrets utilisés par l'application et les mots de passe des utilisateurs.

    Craft CMS, 27 avril 2025, en anglais

À découvrir

  • Rapport 2025 Mandiant

    Le rapport M-Trends 2025 de Mandiant (Google Cloud Security) souligne une sophistication croissante des cybermenaces. Les attaquants exploitent principalement les failles de sécurité (33 % des cas) pour initier leurs intrusions, en particulier via des malwares de type infostealer et des dépôts de données mal sécurisés. Le secteur financier reste la cible privilégiée. Le délai médian de détection d’une compromission est remonté à 11 jours. La migration vers le cloud expose davantage d’organisations à des attaques, tout comme les menaces liées à Web3 et aux cryptomonnaies. Des risques internes, notamment liés à des acteurs étatiques comme la Corée du Nord et l’Iran, sont également en hausse.

    Mandiant, 29 avril 2025, en anglais
  • 2025 : l’IA et le multicloud redessinent les menaces cyber selon Trend Micro

    Trend Micro souligne une mutation rapide du paysage des cybermenaces avec l’émergence massive de l’IA générative utilisée par les cybercriminels. Les attaques sur la chaîne d’approvisionnement et les risques liés aux environnements multiclouds connaissent une forte augmentation. Le rapport prévoit une explosion des cybermenaces contre les infrastructures critiques, notamment dans les secteurs de la santé et de l’énergie. L’exposition aux ransomwares reste élevée, poussée par des groupes cybercriminels de plus en plus organisés. Enfin, l’adoption croissante du modèle Zero Trust est jugée indispensable pour limiter les risques liés à une surface d’attaque étendue.

    Trend Micro, 29 avril 2025, en anglais

Prochains rendez-vous

  • Événement sur le thème du RGPD

    La CNIL organisent, le 14 mai 2025, une nouvelle journée RGPD, elle sera dédiée aux données de santé. L'objectif est d'identifier des solutions pour une gestion responsable et innovante des données de santé.

    L'événement se tiendra à la Faculté de droit de l'Université Catholique de Lille. Il sera accessible uniquement en présentiel et l'inscription est obligatoire.

    CNIL, 14 mai 2025, en français