Bulletin du 9 mai 2025


vendredi 9 mai 2025

Les actualités de la cybersécurité

  • Arrêt de six plates-formes de DDoS par Europol

    Suite à une coordination mondiale, la police Polonaise a arrêté quatre individus identifiés comme les administrateurs de ces services. Les États-Unis ont saisi les domaines associés. Ces services étaient actifs depuis 2022 et servaient à cibler des écoles, services gouvernementaux, entreprises et jeux en ligne.

    Europol, 8 mai 2025, en anglais
  • Fuite de données pour le gang dernière LockBit

    Les panneaux d'administration du rançongiciel affiche un message "Don't do crime CRIME IS BAD xoxo from Prague" avec un lien d'une archive. Elle contient un export de la base de données. Cet export regroupe vingt tables donc notamment les adresses des portes-feuille Bitcoin, les utilisateurs ainsi qu'un historique des négociations. Le gang a indiqué travailler pour corriger la faille et remettre l'ensemble en ligne.

    Bleeping Computer, 8 mai 2025, en anglais
  • Le FBI alerte sur l’exploitation de routeurs obsolètes en fin de vie via le malware TheMoon

    Le FBI, via l’IC3 (Internet Crime Complaint Center), signale une campagne active ciblant d’anciens routeurs Linksys et Cisco (ex. E1200, WRT320N, M10). Exploités par une variante du malware TheMoon, ces équipements servent de proxy anonymes revendus à des cybercriminels, facilitant hameçonnage et exfiltration de données via la plateforme Faceless.

    Les routeurs obsolètes, souvent sans support, deviennent des cibles idéales. Il est conseillé de désactiver l'accès distant ou de remplacer ces équipements.

    Créé en 2000, l’IC3 est le guichet du FBI pour les signalements de cybercriminalité. Il centralise les plaintes, éclaire les enquêtes et sensibilise les victimes aux menaces en ligne.

    FBI, 9 mai 2025, en anglais
  • Symfony 7.3 renforce la sécurité des emails avec TLS, DKIM et S/MIME

    Symfony 7.3 améliore significativement les fonctions de sécurité de son composant Mailer. Deux nouveautés majeures :

    1. Exiger TLS en SMTP : Désormais, vous pouvez obliger l’usage de TLS avec setRequireTls(true) ou via la DSN (?require_tls=true). Si le serveur distant ne le supporte pas, l’envoi est bloqué — une mesure précieuse pour les environnements sensibles ou soumis à des exigences de conformité.
    2. Signature et chiffrement globalisés : La configuration YAML permet désormais d’activer DKIM et S/MIME pour tous les messages sans redondance de code. Un service personnalisé peut fournir les certificats S/MIME automatiquement selon l’adresse du destinataire.
    Symfony, 9 mai 2025, en anglais

Focus sur les vulnérabilités récentes

  • Exécution de code arbitraire pour Kibana

    Les terminaisons concernant les rapports et l'apprentissage automatique sont vulnérables à une pollution via prototype : CVE-2025-25014. Une requête forgée vers ces deux terminaisons peut entrainer l'exécution de code arbitraire. Une mise à jour est sortie pour les versions supportées : 8.17.6, 8.18.1, et 9.0.1. Si la mise à jour n'est pas possible, il est recommandé de désactiver les fonctionnalités concernées : xpack.ml.ad.enabled: false et xpack.reporting.enabled: false dans le fichier kibana.yml.

    Elastic, 8 mai 2025, en anglais
  • L'extension WordPress OttoKit: All-in-One Automation Platform une nouvelle fois vulnérable

    Une nouvelle faille critique (CVE-2025-27007) vient d'être documenté par l'équipe de Wordfence Threat Intelligence. Cette fois-ci, il s'agit d'une possible élévation de privilèges via la fonction create_wp_connection(). Un attaquant non authentifié est capable d'établir une connexion et de rebondir pour s'élever en droits. Des indices de compromissions sont donnés dans leur article. Une nouvelle version corrigée est sortie : 1.0.83.

    Wordfence, 8 mai 2025, en anglais
  • Trois nouvelles vulnérabilités corrigées pour la gamme SMA100 de SonicWall

    Le service de VPN SSL offert par ce produit vient de recevoir une nouvelle mise à jour : 10.2.1.14-75sv. Elle corrige trois vulnérabilités :

    • CVE-2025-32819 : suppression arbitraire de fichiers pour un utilisateur authentifié. Cela peut causer un redémarrage avec une réinitialisation en mode usine.
    • CVE-2025-32820 : injection d'un chemin transversal par un utilisateur authentifié pour ajouter les droits en écriture sur n'importe quel dossier.
    • CVE-2025-32821 : injection de commande shell pour envoyer un fichier arbitraire sur le périphérique pour les utilisateurs authentifié avec des droits administrateurs.
    SonicWall, 9 mai 2025, en anglais
  • Vulnérabilité critique pour Cisco IOS XE Wireless Controller

    Cisco vient de publier un bulletin concernant une faille critique : CVE-2025-20188. Elle permet à un attaquant non authentifié d'exploiter la fonctionnalité de téléchargement d'images (Out-of-Band AP Image Download) pour envoyer un fichier arbitraire sur le système. Il peut alors exécuter du code avec les privilèges root. Elle est due à la présence d'un jeton JWT (JSON Web Token) statique présent dans le code. Une mise à jour est disponible. Aucune exploitation active n'est connue pour l'instant.

    Cisco, 9 mai 2025, en anglais

Prochains rendez-vous

  • SSTIC 2025 se tiendra à Rennes

    Le Symposium sur la Sécurité des Technologies de l'Information et des Communications 2025 se déroulera du 4 au 6 juin 2025.

    Quelques exemples de conférences au programme :

    Mercredi 4 juin :

    • 300 secondes chrono : prise de contrôle d’un système d’infodivertissement automobile à distance
    • Rumps

    Jeudi 5 juin :

    • Eurydice : guichet de diodes open source par l'ANSSI
    • Analysez des logiciels malveillants plus rapidement avec hrtng

    Vendredi 6 juin :

    • bbs et proxychains-udp : deux outils proxy pour le pentest
    • “Ça fait quoi si j'appuie là ?” : retour d'expérience de tests d'intrusion sur des systèmes industriels
    SSTIC, 4 juin 2025, en français
  • Événement sur le thème du RGPD

    La CNIL organisent, le 14 mai 2025, une nouvelle journée RGPD, elle sera dédiée aux données de santé. L'objectif est d'identifier des solutions pour une gestion responsable et innovante des données de santé.

    L'événement se tiendra à la Faculté de droit de l'Université Catholique de Lille. Il sera accessible uniquement en présentiel et l'inscription est obligatoire.

    CNIL, 14 mai 2025, en français
  • Prochaine conférence Google I/O les 20 et 21 mai 2025

    L'événement sera en ligne et en direct. Aucun enregistrement préalable est nécessaire pour le suivre.

    Google, 20 mai 2025, en anglais