🔎 Nouvelles vulnérabilités et ✅ correctifs
Chaque mois, des éditeurs de logiciels publient des correctifs pour remédier à des vulnérabilités critiques, dont certaines sont activement exploitées par des cybercriminels.
L’application rapide de ces correctifs est essentielle pour réduire les risques d’attaques.
Le groupe APT ToddyCat exploite la CVE-2024-11859 affectant les produits d'ESET à des fins d'évasion
Le 7 avril 2025, les chercheurs de Kaspersky ont signalé l'exploitation active d'une faille de sécurité affectant les solutions d'antivirus de l'éditeur ESET . Référencée CVE-2024-11859, cette vulnérabilité permettait à un attaquant disposant de privilèges administrateurs de charger une bibliothèque DLL malveillante afin de
contourner des mesures de sécurité et de prendre le contrôle du système
Un cluster de ransomware exploite la faille de sécurité 0-day CVE-2025-29824
affectant le kernel driver Windows CLFS
Le 8 avril 2025, les chercheurs de Microsoft ont signalé l'exploitation active d'une faille de sécurité de type 0-day affectant le kernel driver Windows Common Log File System ( CLFS ). Référencée CVE-2025-29824 et corrigée dans le cadre d'une Patch Tuesday du mois d'avril, cette vulnérabilité aurait permis à des opérateurs de ransomware d'élever leurs privilèges sur des systèmes précédemment compromis.
Une campagne massive cible notamment la France via l'exploitation de vulnérabilités corrigées affectant Fortinet
Le 10 avril 2025, les chercheurs de Fortinet et du CERT-FR ont révélé l'exploitation de trois vulnérabilités déjà corrigées affectant Fortinet dans des campagnes massives, dont certaines ciblant la France. Référencées CVE-2022-42475, CVE-2023-27997 et CVE-2024-21762, ces vulnérabilités, disposant d'un code d'exploitation disponible publiquement, ont été instrumentalisées via une nouvelle technique permettant d'accéder aux informations sensibles de l'ensemble du système des équipements Fortigate.
Exploitation malveillante de la faille de sécurité CVE-2025-24054 affectant la suite de protocole NTLM de Microsoft
Le 16 avril 2025, les chercheurs de CheckPoint ont signalé l'exploitation active d'une faille de sécurité affectant la suite de protocole d'authentification New Technology LAN Manager ( NTLM ) développés par Microsoft . Référencée CVE-2025-24054, cette vulnérabilité aurait permis à un cluster malveillant de mener des attaques de type NTLM hash disclosure via spoofing .
⚠️ Codes d’exploitation publiés
Les codes d’exploitation publiés permettent aux attaquants de tirer parti des vulnérabilités connues. Leur divulgation accroît le risque d’attaques opportunistes et impose une application immédiate des correctifs disponibles.
Android :Un code d'exploitation tirant parti de la CVE-2024-53104 et affectant un composant du kernel Linux a été publié. L'exploitation de cette faille permet d'élever ses privilèges. L'exploitation de cette vulnérabilité permet à un attaquant local et authentifié d'exploiter une faille de sécurité provoquant une écriture hors-limite
Drupal :Un code d'exploitation tirant parti de la vulnérabilité CVE-2024-45440 et affectant Drupal a été publié. L'exploitation de cette faille permet d'accéder à des informations sensibles. Le code effectue une requête HTT GET vers le chemin /core/authorize.php de l'adresse IP ou du domaine cible et vérifie si la réponse contient le fichier settings.php.
Ivanti :Une Preuve de concept ( Proof-of-Concept , PoC ) tirant parti de la vulnérabilité référencée CVE-2025-22457 affectant Ivanti . L'exploitation de cette faille permet de prendre le contrôle du système, voire de crasher ce dernier. La vulnérabilité provenait d'une erreur dans la fonction WebRequest::dispatchRequest .
💀 Etat de la menace
L'ANSSI publie un état de la menace informatique sur le secteur des transports urbains
Le 17 avril 2025, l' Agence nationale de la sécurité des systèmes d'information a publié son état de la menace informatique sur le secteur des transports urbains. Ce panorama souligne que les entités du secteur des transports urbains sont caractérisées par une forte
criticité.
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) publie son
guide sur l'homologation de sécurité des systèmes d'information
Le 1er avril 2025, l'Agence nationale de la sécurité des systèmes d'information ( ANSSI ) a publié son guide sur l'homologation de sécurité des systèmes d'information. Ce support vise à accompagner les organisations dans leur démarche d’homologation et a été écrit en collaboration avec la Direction interministérielle du numérique ( DINUM ). L'ANSSI encourage les organisations, si elles le peuvent, à mettre en place une gouvernance adaptée, permettant de faciliter les travaux de sécurisation des systèmes d’information et de leur homologation
Le groupe de ransomware Hunters International revendique la compromission du Groupe d'édition Delcourt
Le 6 avril 2025, le groupe de ransomware Hunters International a revendiqué sur son site de fuite de données la compromission du groupe d'édition Delcourt . Ce cluster criminel affirme avoir exfiltré et chiffré 3.7 TB de données appartenant à l'entreprise française.
Pour plus de réactivité, nous invitons à souscrire à notre offre CSIRT (veille + réponse sur incident) qui vous permettra de : · Recevoir quotidiennement des bulletins d’alertes contextualisés aux technologies présentes dans vos Systèmes d’Information, · Recevoir régulièrement des informations de qualité sur la menace ciblant votre secteur d’activité. En souscrivant à notre offre CSIRT, vous bénéficiez d’une veille structurée et industrialisée s’appuyant sur le réseau INTER-CERT France comprenant plus de 100 CERT métropolitain. De plus, Nos service vous permet également d’effectuer des levés de doute pour avoir la certitude que votre SI n’est pas vulnérable ou déjà compromis. Si vous êtes intéressés par ce service, contactez-nous : contact[at]terama.pf |
Commencez à écrire ici ...
