Bulletin du 27 juin 2025

Le registre Open VSX vulnérable à une attaque de la chaîne d'approvisionnement

Open VSX, initiative portée par la fondation Eclipse, se propose en remplacement open-source de Visual Studio Marketplace. Il est donc utilisé par un grand nombre de logiciels dérivé de VS Code : Cursor, Windsurf, Codium, GitLab Web IDE... L'équipe Koi Security ont remarqué en mai 2025 une faille dans le processus de publication d'extension. Lors du processus, l'action automatique exécute npm install pour construire l'extension avant sa publication. Cependant, cette commande va exécuter arbitrairement les scripts fournis par l'exécution. Cela peut résulter par un accès au jeton d'authentification utilisé pour la publication (OVSX_PAT). Une preuve de concept est disponible. Ce jeton ayant la possibilité de publication/modification/suppression, un attaquant peut l'utiliser pour usurper n'importe quelle extension existante en la remplaçant. Un correctif a été déployé le 25 juin et aucune trace d'exploitation n'a été relevée.

Nouvelle option pour étendre le support de Windows 10

La fin du support technique pour Windows 10 est toujours prévu pour le 14 octobre prochain. Cependant, Microsoft vient de dévoiler une nouvelle solution : étendre le support pour un an supplémentaire. L'assistant offrira alors le choix entre trois options pour se faire :

• Utilisation du service dans le cloud Sauvegarde Windows
• Dépenser 1000 points Microsoft Rewards
• Payer 30 dollars (probablement le même montant en euros)

Cela vient en complément de l'offre du programme ESU (Extended Security Update) pour les entreprises. Il permet d'étendre le support pour 3 ans pour un montant de 61 dollars par machine.

Interpellation de cinq français responsable du forum Breach Forums

La Brigade de lutte contre la cybercriminalité (BL2C) vient d'arrêter cinq personnes dans les Hauts-de-Seine, en Seine-Maritime et à la Réunion. Cela fait suite à l'arrestation par un autre gestionnaire du site par le FBI en mars 2023. Ces cinq personnes auraient pris le relais et sont accusés d'avoir porté préjudice suite aux fuites de données de SFR, Boulanger, France Travail ou la FFF (Fédération française de football).

Corruption de la mémoire pour Kibana

Suite à la découverte de Google en mars 2025, Elastic vient de mettre à jour Kibana pour corriger une vulnérabilité critique : CVE-2025-2135. Dû à une confusion de type dans Chromium, il est possible de corrompre la mémoire avec une page HTML. Cela concerne les instances Kibana où les rapports PDF et PNG sont activés (utilisation de Chromium pour les générer). Une mise à jour est disponible : Kibana 7.17.29, 8.17.8, 8.18.3 et 9.0.3. Il est également possible de mitiger en désactivant la fonction de rapport (xpack.reporting.enabled: false) ou mettre en place des politiques d'accès (réseaux et utilisateurs).

Vulnérabilité critique dans pbkdf2 : génération de clés prévisibles

Une faille critique (CVE-2025-6545) affecte la bibliothèque pbkdf2 utilisée dans les environnements Node.js et navigateurs via des polyfills comme crypto-browserify. Lorsqu’un algorithme non supporté ou mal normalisé est utilisé (ex. : “Sha256”, “sha3-512”), la fonction retourne des clés remplies de zéros ou de mémoire non initialisée, rendant les dérivations cryptographiques totalement inopérantes. Cette vulnérabilité compromet gravement la confidentialité et l’intégrité, sans nécessiter d’interaction utilisateur. La faille touche en particulier les environnements front-end packagés (Webpack, Vite) utilisant pbkdf2/browser.

Les versions affectées vont de 3.0.10 à 3.1.2, corrigée en 3.1.3. Il est recommandé d’auditer les usages indirects (ex. via crypto-browserify) et d’éviter les polyfills au profit de l’API WebCrypto (crypto.subtle).

• CVE-2025-6547 : retourne des clés identiques qu'importe l'entrée saisie par l'utilisateur via Uint8Array.
• CVE-2025-6545 : mauvaise initialisation de la mémoire (usage de la fonction Buffer.allocUnsafe) qui entraine alors un résultat de 0 lors de l'usage d'algorithmes non implémentées ou non-standard.

Huit vulnérabilités publiées pour les imprimantes Brother, FUJIFILM, Richo, Toshiba et Konica Minolta

Rapid7, suite à une coordination avec le JPCERT/CC, vient de publier leurs découvertes. C'est un ensemble de huit vulnérabilités couvrant un ensemble de 689 périphériques Brother, 46 Fujifilm, 5 Richo, 6 Konica Minolta et 2 Toshiba. La plus ciritique, CVE-2024-51978, permet de générer le mot de passe par défaut de l'imprimante en connaissant le numéro de série. Elle peut donc être la suite d'un autre vulnérabilité, CVE-2024-51977, contourner l'authentification et faire fuiter des informations, dont le numéro de série. Brother a indiqué avoir modifié ses processus de fabrication pour corriger le souci, une mise à jour n'étant pas suffisante pour tout corriger.

CitrixBleed 2 : nouvelle vulnérabilité critique exploitée pour Citrix NetScaler

Citrix vient de publier un bulletin et une nouvelle mise à jour pour NetScaler ADC. Elle permet de corriger la faille CVE-2025-6543. Suite à un dépassement de la mémoire, un attaquant peut causer un déni de service et mauvais contrôle des flux. Les versions impactées sont :

• NetScaler ADC et NetScaler Gateway 14.1 antérieur à 14.1-47.46
• NetScaler ADC et NetScaler Gateway 13.1 antérieur à 13.1-59.19
• NetScaler ADC et NetScaler Gateway 12.1 et 13.0 (vulnérable et fin de vie)
• NetScaler ADC 13.1-FIPS et NDcPP antérieur à 13.1-37.236-FIPS et NDcPP

Pour que la vulnérabilité soit exploitable, il faut que le matériel soit configuré comme passerelle (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) ou serveur virtuel AAA.

Exécution de code sans authentification pour Cisco Identity Services Engine

Les versions 3.3 et 3.4 de Cisco Identity Services Engine (ISE) viennent de recevoir une nouvelle mise à jour : 3.3 Patch 6 et 3.4 Patch 2. Elle vient corriger une vulnérabilité permettant à un utilisateur non authentifié d'exécuter des commandes à distance en tant que root sur le matériel. Deux références ont été générées : CVE-2025-20281 et CVE-2025-20282.

Vulnérabilité Bluetooth Realtek : DoS lors de l’appairage

Une faille critique (CVE-2024-48290) dans la pile Bluetooth Low Energy de Realtek (SDK RTL8762E v1.4.0) permet des attaques par déni de service durant l’appairage. L’envoi de paquets mal formés perturbe la séquence de connexion, figeant la pile Bluetooth et bloquant les connexions ultérieures. Exploitable sans authentification à 10 mètres, elle vise une large gamme de dispositifs IoT. Realtek n’a pas encore diffusé de correctif officiel. Des contournements temporaires sont recommandés.

n8n : vulnérabilité de redirection ouverte dans le flux de connexion

Une vulnérabilité de type “Open Redirect” (CVE-2025-49592) affecte les versions de n8n antérieures à 1.98.0. En manipulant l’URL de connexion, un utilisateur authentifié peut être redirigé vers un domaine tiers contrôlé par un attaquant. Cela facilite les attaques de phishing par imitation de l’interface n8n, avec un risque de vol d’identifiants ou de codes 2FA. Le correctif introduit une validation stricte de l’origine des redirections post-authentification.

Webinaire Illicium : Cybersécurité simplifiée pour les TPE/PME

Dans un contexte où les cyberattaques ne ciblent plus seulement les grandes entreprises, Illicium organise un webinaire intitulé « La cybersécurité simplifiée pour les TPE/PME », spécialement conçu pour les dirigeants, responsables IT et gestionnaires de petites structures.

Le 1er juillet 2025 à 18h00 il y aura au programme :

• Une présentation claire des menaces actuelles qui visent les petites et moyennes entreprises : rançongiciels, hameçonnage, compromission de messageries, etc.
• Les bonnes pratiques à mettre en œuvre rapidement, sans mobiliser de ressources techniques complexes.
• Une démonstration en direct de la solution SaaS développée par Illicium, pensée pour automatiser les contrôles essentiels de sécurité, avec une approche pédagogique et accessible.

Ce webinaire a pour objectif de démystifier la cybersécurité et de prouver qu’elle est à la portée de toutes les structures, même sans DSI.