Veille Cybersécurité : Synthèse du mois de Février 2025

Chaque mois TE RAMA vous propose un résumé des vulnérabilités et faits marquants dans le domaine de la Cyber sécurité issus de notre veille.

Chaque mois TE RAMA vous propose un résumé des vulnérabilités et faits marquants dans le domaine de la Cyber sécurité issus de notre veille.


🔎 Nouvelles vulnérabilités et ✅ correctifs

L’application rapide de ces correctifs est essentielle pour réduire les risques d’attaques.

PostgreSQL

Le 13 février 2025, les chercheurs de Rapid7 ont révélé l'exploitation d'une vulnérabilité 0-day affectant PostgreSQL. La vulnérabilité CVE-2025-1094  permet à un attaquant d'exécuter des injections SQL et des commandes shell via des meta-commandes, affectant toutes les versions avant PostgreSQL 17.3, 16.7, 15.11, 14.16, et 13.19. Elle aurait notamment été exploitée conjointement à la CVE-2024- 12356 pour compromettre la chaine d'approvisionnement logiciel du département du Trésor américain . Un PoC  a été divulgué le même jour que la publication du correctif de PostgreSQL par les chercheurs.

Impact : Compromission système et fuite de donnée

Informations et correctifs : https://www.postgresql.org/support/security/CVE-2025-1094/

7 Zip

Le 4 février 2025, les chercheurs de Trend Micro ont publié l'analyse d'une récente campagne d'espionnage ayant ciblé des entités gouvernementales et des organisations civiles en Ukraine. S'appuyant sur l'exploitation d'une vulnérabilité 0-day référencée CVE-2025-0411 affectant 7-Zip , les attaquants ont pu contourner des protections Windows  pour distribuer des archives malveillantes contenant les malware Smoke Loader et Stealc . Cette faille de sécurité aurait été activement exploitée par différents clusters criminels alignés sur les intérêts de la Russie avant d'être corrigée le 30 novembre 2024 dans la version 24.09 de 7-Zip. 

Impact : Compromission système 

Informations et correctifs : https://www.trendmicro.com/en_us/research/25/a/cve-2025-0411-ukrainian-organizations-targeted.html

⚠️ Codes d’exploitation publiés

Les codes d’exploitation publiés permettent aux attaquants de tirer parti des vulnérabilités connues. Leur divulgation accroît le risque d’attaques opportunistes et impose une application immédiate des correctifs disponibles.

PAN-OS :  Un code d'exploitation tirant parti de la vulnérabilité CVE-2025-0108 a été publié. Cette faille affecte PAN-OS et permet à un attaquant distant non authentifié d'accéder à l'interface web de gestion de PAN-OS via le réseau, puis d'exécuter des scripts PHP malveillants.

Ivanti Endpoint Manager :  Un code d'exploitation tirant parti de la vulnérabilité CVE-2024-13159 a été publié. Cette faille affecte Ivanti Endpoint Manager et permet à un attaquant distant et non authentifié d'accéder à des informations sensibles exploitables pour des attaques relais.

💀 Etat de la menace

Des acteurs malveillants nommés Lanvin et Arkeliaad ont mis en vente sur la marketplace BreachForums des bases de données potentiellement liées à la Mutuelle des Motards et à Chronopost . Ces données impacteraient respectivement plus d'un million d'utilisateurs de la mutuelle et plus de 7 millions de clients de Chronopost. Cette filiale de La Poste a confirmé avoir été victime d'une cyberattaque ayant entrainé une fuite de données et en a informé ses clients. À noter que des signatures des clients de Chronopost ont également été identifiées, ce qui permettrait aux attaquants de réaliser des fraudes par usurpation d'identité.

La firme de télécommunications française Orange victime d'un vol de données

 Le 24 février 2025, Orange a confirmé avoir été victime d'une cyberattaque qui a conduit au vol de près de 6,5 GB de données de ses clients mais également du code source, des factures, des contrats ou encore des informations relatives à ses employés. Revendiquée sur le forum cybercriminel BreachForums par un acteur membre du groupe ransomware Hellcat , cette attaque aurait principalement affecté les opérations du groupe en Roumanie. Selon l'attaquant, la division d'Orange en Roumanie aurait été compromise depuis près d'un mois en utilisant des identifiants de connexion préalablement compromis ainsi qu'en exploitant des vulnérabilités dans le logiciel Jira édité par Atlassian .

source : https://www.usine-digitale.fr/article/orange-victime-d-une-cyberattaque-des-hackers-revendiquent-le-vol-de-documents-internes.N2227935

Synthèses des menaces sur les collectivités territoriales et sur le cloud computing  publiées par l'ANSSI 

Le 24 février 2025, l' ANSSI a publié une synthèse de la menace sur les collectivités territoriales, ce qui inclut les communes, les établissements publics de coopération intercommunale ( ECPI ), les départements et les régions. Sur l'année 2024, elle a traité 218 incidents. Toutefois, en mettant en perspective, les départements et les régions ont concentré le plus d'incidents, ce qui peut s'expliquer par un ciblage spécifique par les acteurs de la menace ou par un signalement plus fréquent à l'ANSSI.

source : https://www.cert.ssi.gouv.fr/cti/CERTFR-2025-CTI-002/   

l' ANSSI a publié également publié un état de la menace sur le cloud computing , qui consiste à héberger des ressources informatiques dans un centre de données accessible à distance. Une des nouvelles tendances identifiées est l'utilisation par les acteurs de la menace des services cloud comme infrastructures d'attaques afin de complexifier la détection de leurs activités. Pour parer au mieux ces menaces, l'ANSSI a publié plusieurs recommandations s'adressant aussi bien aux clients des fournisseurs de services cloud qu'aux fournisseurs eux-mêmes.

source :  https://www.cert.ssi.gouv.fr/cti/CERTFR-2025-CTI-001/

Pour plus de réactivité, nous invitons à souscrire à notre offre CSIRT (veille + réponse sur incident) qui vous permettra de :

·        Recevoir quotidiennement des bulletins d’alertes contextualisés aux technologies présentes dans vos Systèmes d’Information,

·        Recevoir régulièrement des informations de qualité sur la menace ciblant votre secteur d’activité.

En souscrivant à notre offre CSIRT, vous bénéficiez d’une veille structurée et industrialisée s’appuyant sur le réseau INTER-CERT France comprenant plus de 100 CERT métropolitain.

De plus, Nos service vous permet également d’effectuer des levés de doute pour avoir la certitude que votre SI n’est pas vulnérable ou déjà compromis.

Si vous êtes intéressés par ce service, contactez-nous : contact[at]terama.pf

 


Veille Cybersécurité : Synthèse du mois de Février 2025
TE RAMA, Jérémy MOUNIER 5 mars 2025
Partager cet article
Étiquettes