Veille Cybersécurité : Synthèse du mois de Mars 2025

🔎 Nouvelles vulnérabilités et ✅ correctifs

Chaque mois, des éditeurs de logiciels publient des correctifs pour remédier à des vulnérabilités critiques, dont certaines sont activement exploitées par des cybercriminels.

L’application rapide de ces correctifs est essentielle pour réduire les risques d’attaques.

Identification de 5 vulnérabilités affectant le pilote Paragon Partition Manager

Le 28 février 2025, Microsoft a identifié cinq failles de sécurité affectant le pilote Paragon Partition Manager BioNTdrv.sys , dont l'une d'entre elles, référencée CVE-2025-0289, aurait été exploitée comme 0-day par des groupes de ransomware non spécifiés. Les pilotes vulnérables auraient été détournés par les attaquants dans le cadre d'attaques dites Bring Your Own Vulnerable Driver (BYOVD).

Distribution de la souche de ransomware SuperBlack via l'exploitation des vulnérabilités affectant les instances Fortinet 

Le 12 mars 2025, les chercheurs de ForeScout ont publié un bulletin de sécurité alertant sur l'exploitation active de 2 failles de sécurité au sein des instances Fortinet par une nouvelle souche de ransomware nommée SuperBlack opérée par l'acteur malveillant Mora_001 . Référencées CVE-2025-24472 et CVE-2024-55591, ces vulnérabilités auraient permis à l'attaquant de contourner un processus d'authentification et d'obtenir les privilèges super-administrateur sur les instances ciblées. D'après les investigations menées par ForeScout, l'opérateur de SuperBlack aurait exploité la CVE-2025-24472 dès le 2 février 2025.

⚠️ Codes d’exploitation publiés

Les codes d’exploitation publiés permettent aux attaquants de tirer parti des vulnérabilités connues. Leur divulgation accroît le risque d’attaques opportunistes et impose une application immédiate des correctifs disponibles.

Kubernetes :Un code d'exploitation tirant parti des vulnérabilités référencées CVE-2025-1974, CVE-2025-1098, CVE-2025-1097 et CVE-2025-24514 affectant Kubernetes a été publié. L'exploitation de ces failles permet de prendre le contrôle du système. Le code écrit en Python génère une bibliothèque malveillante .so contenant un reverse shell et l'envoi vers Ingress NGINX Controller via une requête POST .

GLPi  : Un code d'exploitation tirant parti des vulnérabilités référencées CVE-2025-24799 et CVE-2025-24801 a été publié. Ces failles de sécurité affectent GLPI. Les failles permettent à un attaquant distant et non authentifié d'accéder à des données sensibles, d'élever ses privilèges, et d'exécuter du code arbitraire.

Apache CAMEL : Un code d'exploitation tirant parti de la vulnérabilité, référencée CVE-2025-27636, affectant Apache Camel a été publié. L'exploitation de cette faille permet à un attaquant distant et non authentifié d'exécuter du code arbitraire.

Windows :  Un code d'exploitation tirant parti de la CVE-2024-30085 affectant Windows a été publié. L'exploitation de cette faille permet à un attaquant local et authentifié d'élever ses privilèges sur la machine. Ce code d'exploitation se présente sous la forme d'un programme écrit en Ruby , qui peut être exécuté via l'outil Metasploit .

💀 Etat de la menace

Compromission de 20 GB de données associées à Sorbonne Université

Le 7 mars 2025, le groupe de ransomware Funksec a revendiqué la compromission de 20 GB de données appartenant à l'institution française Sorbonne Université . Les données compromises pourraient inclure des informations sensibles relatives à l'activité de Sorbonne Université.

Publication du plan stratégique 2025 - 2027 par l'ANSSI

Le 6 mars 2025, l' ANSSI a publié sa nouvelle stratégie nationale de cybersécurité pour la France pour les années 2025 à 2027. L'agence française constate l’évolution du numérique toujours plus présent ainsi que la diversification des menaces et des types d'attaquants dans tous les pans de l’économie et de la société. Afin de faire face aux enjeux et développer une cyberrésilience,