Bulletin du 16 mai 2025

Des problèmes dans les corrections de Spectre v2 pour Intel et AMD : Training Solo

D'après les découvertes de l'équipe VUSec, les mitigations et isolations misent en place suite à la découverte de Spectre ne sont pas suffisantes. Leurs nouvelles méthodes se déclinent en trois variantes : basée sur l'historique des instructions, adresses prévisibles et branches indirectes pour la prédiction de branche indirectes (schéma). Intel a déjà publié des nouvelles versions pour le micro-code des CPU concernés. AMD a jugé les mesures en place suffisante.

Campagne d'hameçonnage usurpant WooCommerce

Une campagne, en cours, envoie un message aux administrateurs de sites WordPress ayant WooCommerce d'installé. Le message contient un avertissement sur une fausse vulnérabilité (Accès adminstateur non autorisé) avec un lien pour télécharger une mise à jour. Le lien utilisait est très similaire au vrai site de WooCommerce (woocommėrce[.]com) afin de tromper les usagers. Le fichier malicieux est une archive portant le nom authbypass-update-31297-id.zip.

Une vulnérabilité touchant plusieurs solutions Fortinet est ajoutée au catalogue de la CISA pour l'exploitation sur FortiVoice

La CISA (U.S. Cybersecurity and Infrastructure Security Agency) vient d’ajouter la vulnérabilité critique CVE-2025-32756 à son catalogue KEV (Known Exploited Vulnerabilities), signalant une exploitation active dans la nature.

Cette faille de type stack-based buffer overflow affecte plusieurs produits Fortinet, dont FortiVoice, FortiMail, FortiNDR, FortiRecorder et FortiCamera. Elle permet à un attaquant distant non authentifié d’exécuter du code arbitraire via des requêtes HTTP malicieuses.

Impacts :

• Confidentialité : Accès aux identifiants et données sensibles (SSH, système)
• Intégrité : Ajout de tâches cron malveillantes, modification des logs
• Disponibilité : Contrôle à distance du système ciblé

Exploitation :

Fortinet a confirmé l’exploitation active sur FortiVoice, avec des comportements observés : scan réseau, effacement de logs, activation de « fcgi debugging » pour intercepter les identifiants, déploiement de malwares.

Note du CERT illicium :

• Désactiver l'interface admin HTTP/HTTPS.
• Vérifier la présence d'indicateurs de compromission via la commande CLI diag debug application fcgi.

Deux vulnérabilités jour-0 corrigées pour Ivanti Endpoint Manager Mobile

Ivanti vient de mettre en ligne une nouvelle version pour Ivanti Endpoint Manager Mobile (EPMM) : 11.12.0.5, 12.3.0.2, 12.4.0.2 ou 12.5.0.1. Elle corrige deux vulnérabilités, CVE-2025-4427 et CVE-2025-4428. La première permet de contourner l'authentification sur un composant de l'API et permet d'accéder à des ressources protégées. La seconde permet d'exécuter du code arbitraire depuis l'API. Aucune exploitation ne semble active pour le moment selon ivanti.

Mise à jour de sécurité critique pour Adobe ColdFusion

Adobe vient de mettre en ligne une mise à jour pour ColdFusion 2025 (Update 2), ColdFusion 2023 (Update 14) et ColdFusion 2021 (Update 20). Elle permet de corriger notamment : lecture arbitraire de fichier (CVE-2025-43559, CVE-2025-43566 et CVE-2025-43561), exécution de code arbitraire (CVE-2025-43560, CVE-2025-43562, CVE-2025-43564 et CVE-2025-43565) et élévation de privilèges (CVE-2025-43563).

Nouvelle mise à jour de sécurité Microsoft dont 5 jour-0 exploitées

Cette mise à jour pour Windows 11 et Windows 10 corrige 72 vulnérabilités, dont 11 critiques et 5 jour-0 activement exploitées :

• CVE-2025-30397 : exécution de code à distance en utilisant Internet Explorer ou Microsoft Edge
• CVE-2025-30400 : use-after-free dans Windows DWM (Desktop Window Manage) permet à un acteur authentifié d'obtenir les privilèges SYSTEM.
• CVE-2025-32701 : use-after-free dans Windows Common Log File System Driver permet une élévation de privilèges locale.
• CVE-2025-32706 : mauvaise validation des données en entrée dans Windows Common Log File System Driver permet une élévation de privilèges locale.
• CVE-2025-32709 : use-after-free dans Windows Ancillary Function Driver for WinSock permet une élévation de privilèges locale.

Vulnérabilité critique dans FortiOS, FortiProxy et FortiSwitchManager (FG-IR-25-254)

Fortinet a publié un avis de sécurité concernant une vulnérabilité critique (CVSS 9.8) affectant plusieurs de ses produits, notamment FortiOS, FortiProxy et FortiSwitchManager. Cette faille, identifiée sous la référence FG-IR-25-254, réside dans une gestion inadéquate de la mémoire tampon lors du traitement de requêtes HTTP/2, pouvant conduire à une exécution de code arbitraire à distance.

Jenkins : vulnérabilités critiques dans plusieurs plugins tiers (CVE-2025-47884,47889)

Le 14 mai 2025, le projet Jenkins a publié un avis de sécurité concernant six vulnérabilités touchant des plugins couramment utilisés dans les environnements CI/CD, dont OpenID Connect Provider, Health Advisor by CloudBees, et WSO2 Oauth Plugin.

Vulnérabilités critiques

• CVE-2025-47884 – OpenID Connect Provider Plugin Risque de falsification de tokens d’identité via des variables d’environnement non maîtrisées. Un attaquant peut usurper un job Jenkins et accéder à des services externes sensibles.
• CVE-2025-47889 – WSO2 Oauth Plugin Contournement complet de l’authentification : un attaquant peut se connecter à Jenkins sans credentials valides, exploitant une validation déficiente des claims d’authentification.

Ivanti Neurons for ITSM (CVE-2025-22462) : contournement d’authentification critique en on-premise

Ivanti a publié un correctif de sécurité pour sa solution Neurons for ITSM (on-premises uniquement) afin de corriger une vulnérabilité critique référencée CVE-2025-22462. Cette faille permet à un attaquant distant non authentifié de prendre le contrôle administrateur du système.

La faille touche les installations exposées à Internet ou mal sécurisées. Ivanti précise que les configurations respectant leurs recommandations — IIS restreint à des IP/domaines de confiance et usage de DMZ — limitent considérablement le risque.

Projet cURL : encadrement proactif de l’usage de l’IA dans les contributions

Le responsable du projet cURL, Daniel Stenberg, a publié des directives claires sur l’usage de l’intelligence artificielle dans les contributions au projet, illustrant une démarche anticipative visant à maîtriser les risques liés à l’IA, notamment en matière de cybersécurité.

Par exemples :

• Les signalements générés via des outils IA doivent être explicitement indiqués comme tels.
• Le projet accepte du code assisté par IA à condition qu’il respecte les standards de qualité, soit documenté, testé et conforme aux exigences de licence.

La prochaine Microsoft Build sera entre le 19 et 22 mai 2025

Microsoft Build revient en présentiel à Seattle, positionné comme le rendez-vous incontournable pour les développeurs, architectes cloud, et décideurs technologiques. Cet événement phare du géant de Redmond propose une immersion dans l’écosystème Microsoft à travers keynotes, sessions techniques, laboratoires pratiques, certifications, et networking avec les ingénieurs Microsoft.

Thématiques phares

Cette édition 2025 met l’accent sur :

• Le développement sécurisé d'applications IA
• L’adoption du Zero Trust avec Microsoft Entra
• La gouvernance et conformité des données avec Microsoft Purview
• La sécurité des API et des conteneurs
• L’ingénierie logicielle sécurisée (DevSecOps, Intune, Azure DevOps)

Focus cybersécurité

Build 2025 propose une programmation dense autour de la sécurité des applications IA et des environnements cloud hybrides. Quelques sessions majeures :

• "Deploying an end-to-end secure AI application" : de l’identité au prompt shield.
• "Shift Left: Secure your code and AI from the start" : modélisation des menaces, sécurisation des LLMs.
• "Building Secure Business Apps" : gouvernance et design sécurisé dans Power Platform.
• "AI Security Testing with PyRIT" : framework open source pour le red teaming IA.
• "Learn How Microsoft Secured the Engineering System" : pratiques internes inspirantes pour les clients.