Bulletin du 2 mai 2025

Trois nouvelles vulnérabilités : SAP, Apache, SonicWall référencées par la CISA

La CISA a ajouté trois nouvelles vulnérabilités à son catalogue Known Exploited Vulnerabilities (KEV) :

• CVE-2025-31324 (SAP) : Une mauvaise configuration de "NetWeaver Visual Composer Metadata Uploader" peut permettre à un attaquant de téléverser des binaires exécutables malicieux sur le système hôte.
• CVE-2024-38475 (Apache) : Une vulnérabilité dans mod_rewrite du serveur Apache HTTP Server, affectant toutes les versions jusqu’à la 2.4.59 incluse. Une mauvaise gestion de l’échappement des sorties peut permettre à un attaquant de mapper des URLs vers des emplacements du système de fichiers qui, bien que servis par le serveur, ne sont normalement pas accessibles via des URLs directes. Cela peut entraîner l'exécution de code ou la divulgation de code source.
• CVE-2023-44221 (SonicWall) : Une vulnérabilité de neutralisation incorrecte d'éléments spéciaux présente dans l'interface de gestion SSL-VPN du SMA100 permet à un attaquant distant authentifié ayant des privilèges administratifs d'injecter des commandes arbitraires en tant qu'utilisateur "nobody", ce qui peut conduire à une vulnérabilité d'injection de commandes système.

WordPress : découverte d’un plugin malicieux « antymalwary-bot.php »

Les chercheurs de Wordfence ont découvert une nouvelle campagne malveillante visant les sites WordPress via un plugin frauduleux baptisé "antymalwary-bot.php".

Ce plugin, qui adopte l’apparence d’un outil de sécurité légitime, est en réalité un malware. Une fois installé, le plugin déploie plusieurs fonctionnalités malveillantes :

• Accès complet au site pour les attaquants
• Masquage du plugin afin qu’il reste invisible dans le tableau de bord WordPress
• Exécution de code à distance, permettant de nouvelles compromissions
• Communication avec un serveur C2 (Command and Control) pour signaler l’infection
• Mécanisme de propagation, étendant le malware à d’autres répertoires du site

TheWizards APT : Détournement de SLAAC IPv6

Des chercheurs d’ESET ont révélé que le groupe APT chinois TheWizards exploite le protocole SLAAC d’IPv6 pour mener des attaques de type Adversary-in-the-Middle (AITM). Cette technique permet aux attaquants d’intercepter et de rediriger le trafic réseau de manière quasi-invisible.

Leur méthode repose sur Spellbinder, un outil qui, couplé à WinPcap, envoie des messages ICMPv6 falsifiés de type Router Advertisement. En se faisant passer pour un routeur légitime sur le réseau, les attaquants prennent le contrôle du processus d’auto-configuration des machines, redirigeant notamment les requêtes DNS vers des serveurs malveillants. Cela ouvre la voie à la diffusion de logiciels suspects tels que Sogou Pinyin et Tencent QQ, sous couvert de fausses mises à jour.

La chaîne d’attaque se termine par l’installation du cheval de Troie WizardNet, capable d’exécuter des modules .NET sur les systèmes.

La CNIL donne ses consignes pour renforcer la sécurité des grandes bases de données

Suite à une année 2024 marquée par un nombre impressionnant de fuites de données massive et concernant un grand nombre de personnes, la CNIL met en avant des mesures pour sécuriser les grandes bases de données :

• Sécuriser les accès externes au système d’information, via une authentification multi-facteur
• Journaliser, analyser et fixer des limites sur les flux de données qui transitent sur le système d’information
• Considérer l’humain comme un acteur de la sécurité : organiser des sensibilisations régulières adaptées aux profils d’utilisateurs
• Encadrer la sécurité des données avec les sous-traitants

La cybersécurité est l'un des trois axes principaux pour le plan d'action 2025-2028.

Vulnérabilité OAuth 2.1 : contournement de la protection PKCE

Une faille de sécurité a été identifiée dans le package npm @cloudflare/workers-oauth-provider, utilisé dans le cadre du framework MCP de Cloudflare.

Cette vulnérabilité, référencée sous le code CVE-2025-4144, permet à un attaquant de contourner la protection PKCE via une attaque de type "downgrade".

Exécution de code à distance 0-click au travers de AirPlay

Apple a mis à jour fin Mars l'ensemble de ces OS (iOS, macOS, visionOS) pour corriger un ensemble de 23 vulnérabilités. L'ensemble est connu sous le nom "AirBorne" et affecte les appareils avec AirPlay.

Cependant, l'équipe à l'origine des découvertes, Oligo Security, indique qu'une exploitation avec deux des vulnérabilités (CVE-2025-24252 et CVE-2025-24132) peut mener à une exécution de code arbitraire à distance sans aucune interaction. L'attaquant doit être sur le même réseau que le périphérique visé.

Initiation à la cybersécurité gratuite par l'université du Maryland (USA)

L'université vient de publier sur coursera un cours en six modules sur la cybersécurité. Le contenu est gratuit et en anglais. Comme il s'agit d'une initiation, le niveau ciblé est débutant.