Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft dans le cadre de son Patch Tuesday [1], par Veeam pour Veeam Backup & Replication [2], par Apache pour ActiveMQ [3], par Cisco [4], par Fortinet pour FortiPAM, FortiSwitch Manager WAD/GUI et FortiOS [5] [6], par F5 pour F5 OS et BIG-IP [7] [8], par Google pour Chrome [9], par Mozilla pour Firefox, Thunderbird et Firefox ESR [10] [11] [12][13], par Adobe pour Commerce et Illustrator [14] [15], par Oracle pour E-Business Suite [16], par Samba [17], par Ivanti pour Endpoint Manager et Endpoint Manager Mobile [18] [19] et enfin par SAP pour Business Objects [20]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Un code d’exploitation a été publié cette semaine. Un correctif est disponible.
Prise de contrôle du système via une vulnérabilité au sein de WatchGuard Firebox [21]
Un code d’exploitation tirant parti de la vulnérabilité CVE-2025-9242 affectant WatchGuard Firebox a été publié. Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exploitant ce programme, un attaquant distant non authentifié était alors en mesure d’exécuter un script déployant différentes payloads, provoquant à terme un débordement écrasant des zones sauvegardées de la pile, lui permettant de détourner le flux d’exécution et ainsi exécuter du code à distance. Le CERT-XMCO recommande l’installation de l’une des versions suivantes de Firebox : 2025.1.1, 12.11.4, 12.5.13 ou 12.3.1_Update3 (B722811). Ces versions sont disponibles auprès du support de WatchGuard.
Informations
Vulnérabilités exploitées
Exploitation malveillante de la faille de sécurité CVE-2025-48384 affectant Git [22]
Le 16 octobre 2025, les chercheurs de CrowdStrike ont publié un avis de sécurité relatif à l’exploitation active d’une vulnérabilité affectant Git. Référencée CVE-2025-48384, cette faille désormais corrigée provenait du traitement incohérent des caractères d’un carriage return par Git lors de l’analyse des fichiers de configuration et des chemins d’accès aux sous-modules. Un attaquant distant authentifié pouvait l’exploiter pour prendre le contrôle du système. Lors de leurs investigations, les chercheurs de CrowdStrike ont identifié le recours à la faille susmentionnée conjointement à des techniques de social engineering sophistiquées.
Exploitation active de la CVE-2025-61884 affectant Oracle E-Business Suite suite à la publication d’un PoC par ShinyHunters [23]
Le 14 octobre 2025, Bleeping Computer a publié un article détaillant l’exploitation active de la désormais corrigée CVE-2025-61884 affectant Oracle E-Business Suite, permettant à un attaquant distant et non authentifié d’accéder à des informations sensibles (cf. CXA-2025-5782). Cette faille a bénéficié d’une correction au travers d’une mise à jour exceptionnelle suite à la divulgation publique d’une preuve de concept (PoC) par le groupe ShinyHunters. L’avis de sécurité officiel d’Oracle ne fait cependant aucune mention de l’exploitation en cours ni de la fuite de l’exploit, un manque de transparence qui a été confirmé par de multiples chercheurs, et ce malgré les sollicitations répétées de la presse spécialisée.
Exploitation des CVE-2025-20352 et CVE-2017-3881 affectant Cisco pour distribuer des Rootkits Linux [24]
Le 15 octobre 2025, les chercheurs de TrendMicro ont révélé une campagne d’attaque nommée Operation ZeroDisco reposant sur l’exploitation d’une vulnérabilité affectant le protocole SNMP de Cisco, déjà exploitée comme 0-day, pour déployer des rootkits sur des périphériques réseau vulnérables. Corrigée en septembre 2025 et référencée CVE-2025-20352, elle permettait à un attaquant distant disposant de privilèges élevés d’exécuter du code en tant qu’utilisateur root (cf. CXA-2025-5492). Une version modifiée de la vulnérabilité CVE-2017-3881 disposant d’un exploit et affectant Cisco a également été instrumentalisée pour permettre une lecture et écriture en mémoire (cf. CXA-2017-1449, CXA-2017-1033).
Storm-2603 détourne Velociraptor via la faille de sécurité CVE-2025-6264 afin de distribuer diverses souches de ransomware [25]
Le 9 octobre 2025, les chercheurs de Cisco Talos ont publié une analyse du mode opératoire Storm-2603 (aka CL-CRI-1040 et Gold Salem), connu pour opérer des attaques via la distribution des ransomware Warlock, Babuk et LockBit. Actif depuis le mois de juin 2025, ce cluster criminel a revendiqué plus d’une soixantaine de compromissions à l’international, motivées par la recherche de gains financiers. Lors de récentes investigations, les chercheurs ont identifié le détournement de l’outil légitime Velociraptor par le groupe d’attaquants. Velociraptor est un outil légitime, disponible en sources ouvertes, utilisé généralement par les équipes d’investigation numérique et de réponse à incident (DFIR).
La nouvelle faille de sécurité CVE-2025-11371 affectant Gladinet CentreStack et Triofox permet de réactiver la CVE-2025-30406 pourtant corrigée [26]
Le 9 octobre 2025, les chercheurs d’Huntress ont publié un article dévoilant l’exploitation active d’une nouvelle vulnérabilité affectant Gladinet CentreStack et Triofox, référencée CVE-2025-11371, permettant à des attaquants d’accéder à des informations sensibles et ne disposant pas de mise à jour corrective à l’heure actuelle. L’exploitation a été détectée sur une version supérieure à 16.4.10315.56368 pourtant considérée comme corrigée contre la vulnérabilité critique CVE-2025-30406, détectée en avril dernier par les mêmes chercheurs (cf. CXN-2025-1972, CXN-2025-2062). L’analyse effectuée révèle que des acteurs malveillants utilisent cette nouvelle faille pour lire le fichier Web.config de l’application, en extraire la machine key, et ainsi réactiver la vulnérabilité de désérialisation CVE-2025-30406 pour obtenir une exécution de code à distance.
État-nation
Compromission de l’entreprise technologique américaine F5 par un groupe d’attaquants étatique [27]
Le 15 octobre 2025, l’entreprise technologique américaine F5 a publié un avis de sécurité suite à la détection d’un incident sur ses systèmes informatiques. Identifiée au mois d’août dernier, l’attaque sophistiquée aurait été opérée par un groupe étatique, pour l’heure non spécifié, contre F5 afin d’accéder aux ressources de l’entreprise, incluant des environnements de développement pour BIG-IP et les plateformes de gestion des connaissances techniques. À l’issue des opérations de réponse à cet incident, l’éditeur F5 a précisé que les acteurs malveillants avaient exfiltré des fichiers sensibles, incluant du code source de BIG-IP ainsi que des vulnérabilités identifiées en interne n’ayant jusqu’alors pas fait l’objet d’une documentation publique.
France
La région des Hauts de France victime d’une attaque par le ransomware Qilin [28]
Le 13 octobre 2025, l’opérateur de ransomware Qilin a révélé sur son site vitrine avoir compromis la région française des Hauts de France. Le groupe déclare posséder plus d’un téraoctet de données appartenant à l’organisme public français, précisant détenir des informations concernant plusieurs programmes régionaux liés à l’économie, au transport, à l’éducation, à la culture ainsi qu’à l’écologie. D’après les images publiées sur le site des attaquants, des données contenant des informations personnelles telles que des passeports et des rapports internes semblent figurer parmi les informations subtilisées. L’incident semble avoir un impact important sur le fonctionnement des lycées de la région, 80% d’entre eux expérimentant des dysfonctionnements depuis l’attaque.
Références portail XMCO
[1]
https://msrc.microsoft.com/update-guide/en-us/releaseNote/2025-Oct
[2]
[3]
https://seclists.org/oss-sec/2025/q4/47
[4]
[5]
https://fortiguard.fortinet.com/psirt/FG-IR-25-010
[6]
[7]
- https://my.f5.com/manage/s/article/K000156767
- https://my.f5.com/manage/s/article/K000156771
- https://my.f5.com/manage/s/article/K000149820
- https://my.f5.com/manage/s/article/K000156796
- https://my.f5.com/manage/s/article/K000154661
- https://my.f5.com/manage/s/article/K000148625
- https://my.f5.com/manage/s/article/K000151718
[8]
- https://my.f5.com/manage/s/article/K000151902
- https://my.f5.com/manage/s/article/K000151309
- https://my.f5.com/manage/s/article/K000156707
- https://my.f5.com/manage/s/article/K44517780
- https://my.f5.com/manage/s/article/K000156691
- https://my.f5.com/manage/s/article/K000156642
- https://my.f5.com/manage/s/article/K000154647
- https://my.f5.com/manage/s/article/K000151308
- https://my.f5.com/manage/s/article/K000151658
- https://my.f5.com/manage/s/article/K000156800
- https://my.f5.com/manage/s/article/K90301300
- https://my.f5.com/manage/s/article/K000156801
[9]
- https://chromereleases.googleblog.com/2025/10/chrome-for-android-update_01943141190.html
- https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_14.html
[10]
https://www.mozilla.org/en-US/security/advisories/mfsa2025-81/
[11]
https://www.mozilla.org/en-US/security/advisories/mfsa2025-84/
[12]
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-83/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-85/
[13]
https://www.mozilla.org/en-US/security/advisories/mfsa2025-82/
[14]
https://helpx.adobe.com/security/products/magento/apsb25-94.html
[15]
https://helpx.adobe.com/security/products/illustrator/apsb25-102.html
[16]
https://www.oracle.com/security-alerts/alert-cve-2025-61884.html
[17]
- https://www.samba.org/samba/history/samba-4.21.9.html
- https://www.samba.org/samba/history/samba-4.22.5.html
- https://www.samba.org/samba/history/samba-4.23.2.html
[18]
[19]
[20]
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/october-2025.html
[21]
- https://labs.watchtowr.com/yikes-watchguard-fireware-os-ikev2-out-of-bounds-write-cve-2025-9242/
- https://github.com/watchtowrlabs/watchTowr-vs-WatchGuard-CVE-2025-9242/
[22]
- https://www.crowdstrike.com/en-us/blog/crowdstrike-falcon-blocks-git-vulnerability-cve-2025-48384/
- https://www.cisa.gov/news-events/alerts/2025/08/25/cisa-adds-three-known-exploited-vulnerabilities-catalog
[23]
- https://www.bleepingcomputer.com/news/security/oracles-silently-fixes-zero-day-exploit-leaked-by-shinyhunters/
- https://www.oracle.com/security-alerts/alert-cve-2025-61884.html
[24]
[25]
- https://blog.talosintelligence.com/velociraptor-leveraged-in-ransomware-attacks/
- https://www.darkreading.com/cybersecurity-operations/chinese-hackers-velociraptor-ir-tool-ransomware-attacks
- https://thehackernews.com/2025/10/hackers-turn-velociraptor-dfir-tool.html
[26]
- https://www.huntress.com/blog/gladinet-centrestack-triofox-local-file-inclusion-flaw
- https://securityaffairs.com/183259/hacking/cve-2025-11371-unpatched-zero-day-in-gladinet-centrestack-triofox-under-attack.html
- https://www.cve.org/CVERecord?id=CVE-2025-11371
[27]
- https://my.f5.com/manage/s/article/K000154696
- https://www.cisa.gov/news-events/directives/ed-26-01-mitigate-vulnerabilities-f5-devices
- https://www.ncsc.gov.uk/news/confirmed-compromise-f5-network
- https://www.bleepingcomputer.com/news/security/hackers-breach-f5-to-steal-undisclosed-big-ip-flaws-source-code/
- https://thehackernews.com/2025/10/f5-breach-exposes-big-ip-source-code.html
[28]
