🔎 Nouvelles vulnérabilités et ✅ correctifs
Chaque mois, des éditeurs de logiciels publient des correctifs pour remédier à des vulnérabilités critiques, dont certaines sont activement exploitées par des cybercriminels.
L’application rapide de ces correctifs est essentielle pour réduire les risques d’attaques.
Fortinet
Le 14 janvier 2025, l'éditeur Fortinet a publié un bulletin de sécurité sur une vulnérabilité 0-day activement exploitée affectant ses systèmes FortiOS et FortiProxy . Référencée CVE-2024-55591, la vulnérabilité permet à un attaquant distant et non authentifié d'obtenir des privilèges super-administrateur. Le même jour, un acteur malveillant a revendiqué la compromission et la divulgation de données sensibles de plus de 15 000 instances FortiGate. Ces données incluraient des informations de configuration, des adresses IPs et des mots de passe associés aux instances compromises.
Certaines adresses correspondent à la Polynésie française.
Impact : Compromission des routeurs et campagnes de déni de service distribué (DDoS).
Informations et correctifs : https://www.fortiguard.com/psirt/FG-IR-24-463
Microsoft
Le premier Patch Tuesday de l'année 2025 a été publié par Microsoft, au programme : 159 vulnérabilités corrigées, dont 8 zero-day dont 3 sont déjà exploitées dans le cadre d'attaques!
Hyper-V, l'hyperviseur de Microsoft, est particulièrement affecté, car trois failles de sécurité zero-day ont été patchées (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335)
Impact : Compromission des systèmes Windows
Informations et correctifs : https://msrc.microsoft.com/update-guide
On retrouve également d’autres produits nécessitant une attention particulière :
Produits Atlassian (Jira, Confluence, BitBucket) : Corrige des vulnérabilités critiques pouvant conduire à la compromission des systèmes.
Oracle (Critical Patch Update) : Correctifs pour Oracle Supply Chain, essentiel pour les acteurs de la distribution et de la logistique (potentiellement transport et hôtellerie).
Google Chrome, Mozilla Firefox et Thunderbird : Mise à jour pour éviter des attaques ciblant les utilisateurs via des campagnes de phishing.
⚠️ Codes d’exploitation publiés
Les codes d’exploitation publiés permettent aux attaquants de tirer parti des vulnérabilités connues. Leur divulgation accroît le risque d’attaques opportunistes et impose une application immédiate des correctifs disponibles.
- FortiOS : Un code d'exploitation tirant parti de la vulnérabilité référencée CVE-2024-55591 affectant FortiOS a été publié. L'exploitation de cette faille permettait à un attaquant de contourner l'authentification.
- Apache NiFi (CVE-2024-56512) : Exploitation à distance pour divulguer des informations sensibles. Utilisateurs autorisés peuvent exploiter cette faille pour contourner les mécanismes de sécurité.
- Microsoft BitLocker : Exploitation d’une faille critique (CVE-2023-21563) malgré le correctif, via une méthode documentée lors de la conférence 38C3.
- IBMi AS400 : Un code d'exploitation tirant parti de la CVE-2024-51464 affectant IBM i a été publié. L'exploitation de cette faille permet à un attaquant authentifié d'effectuer des opérations à distance.
- Aruba Networking 501 Wireless Client Bridge (CVE-2024-54006, CVE-2024-54007) : Code permettant la prise de contrôle du système via des identifiants privilégiés. Les hôtels connectés pourraient être concernés.
💀 Etat de la menace
Une campagne d’influence opérée par l'Azerbaïdjan via le Baku Initiative Group (BIG) a été révélée par Viginum. Depuis juillet 2023, cette organisation propage des contenus visant à remettre en cause la souveraineté de la France dans les DROM-COM, y compris la Polynésie Française, et en Corse.
Deux mécanismes principaux de désinformation sont utilisés dans ces campagnes :
- Amplification artificielle : 423 faux comptes Twitter/X diffusent massivement des contenus hostiles à la France.
- Exploitation d’événements locaux : La campagne a tiré parti des émeutes en Nouvelle-Calédonie pour propager des discours hostiles et discréditer la présence française.
Pour plus d’informations vous pouvez accéder au rapport depuis le site du SGDSN : https://www.sgdsn.gouv.fr/publications/un-notorious-big-une-campagne-numerique-de-manipulation-de-linformation-ciblant-les
- Entités publiques et privées françaises : Des Attaques DDoS revendiquées contre des entités françaises, réponse supposée à des financements européens à l’Ukraine. Aucun incident rapporté en Polynésie mais une vigilance accrue est recommandée.
- CHU de Grenoble Alpes : Tentatives d’intrusions du 13 au 20 janvier, confirmant une tendance récurrente contre les infrastructures santé.
- Carrefour : Revendication d’un cybercriminel (13 millions de données compromises). Bien que démentie par la firme, cela souligne les risques liés aux bases de données transactionnelles.
- Ransomwares et groupes d’attaquants :
- SpaceBears : Compromission revendiquée d’Atos, sans demande de rançon officielle à ce jour. Attaques similaires documentées contre des acteurs du transport aérien français en 2024.
- Cicada3301 : Vol de données sensibles (échantillons de 1,6 To) publié par un fournisseur français du secteur agroalimentaire.
Pour plus de réactivité, nous invitons à souscrire à notre offre CSIRT (veille + réponse sur incident) qui vous permettra de : · Recevoir quotidiennement des bulletins d’alertes contextualisés aux technologies présentes dans vos Systèmes d’Information, · Recevoir régulièrement des informations de qualité sur la menace ciblant votre secteur d’activité. En souscrivant à notre offre CSIRT, vous bénéficiez d’une veille structurée et industrialisée s’appuyant sur le réseau INTER-CERT France comprenant plus de 100 CERT métropolitain. De plus, Nos service vous permet également d’effectuer des levés de doute pour avoir la certitude que votre SI n’est pas vulnérable ou déjà compromis. Si vous êtes intéressés par ce service, contactez-nous : contact[at]terama.pf
|