Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Redis [1], par Oracle pour E-Business Suite [2], par Microsoft pour Edge [3], par Gitlab [4], par Google pour Chrome [5], par Amazon pour AWS [6] [7] et par Elastic pour Kibana [8]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 3 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.
Prise de contrôle du système via une vulnérabilité au sein d’Oracle E-Business Suite [9]
Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2025-61882 et affectant Oracle E-Business Suite a été publié. L’exploitation de cette faille permet de prendre le contrôle du système. Le PoC effectue une requête HTTP POST pré-authentifiée depuis le servlet public (UiServlet). Il envoie un XML via le paramètre getUiType, contenant une balise return_url contrôlée par l’attaquant. Cette URL déclenche une SSRF (Server-Side Request Forgery) vers un service interne sur le port 7201. Le PoC y injecte des séquences CRLF (Carriage Return Line Feed) encodées pour forger des en-têtes. En réutilisant la connexion keep-alive, il enchaîne plusieurs échanges sur la même connexion TCP : les premières requêtes HTTP GET manipulées par le SSRF servent à établir et cadrer la connexion, puis, grâce au découpage forcé obtenu par les CRLF, il envoie ensuite des requêtes supplémentaires qui deviennent des HTTP POST arbitraires vers des endpoints internes. En exploitant aussi une traversée de répertoire (path traversal), il force le serveur à charger une feuille XSLT distante, contrôlée par l’attaquant. La transformation XSLT invoque des extensions/mécanismes Java, ce qui permet l’exécution de code arbitraire sur le serveur. Le CERT-XMCO recommande l’installation du correctif de sécurité dédié à la faille CVE-2025-61882. Ce correctif est disponible auprès du support client à l’adresse suivante : https://support.oracle.com/rs?type=doc&id=3106344.1
Contournement de sécurité via une vulnérabilité au sein de produits Cisco [10]
Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2025-20362 et affectant des produits Cisco a été publié. L’exploitation de cette faille permet de contourner la sécurité du système. Le code d’exploitation ciblant la CVE-2025-20362 est fourni sous la forme d’un template Nuclei. Il envoie une requête POST vers l’URL /+CSCOU+//../+CSCOE+/files/file_action.html?mode=upload&path=foo&server=srv&sourceurl=qaz, qui utilise des séquences d’évasion (path traversal) pour atteindre un point d’accès interne de gestion de fichiers normalement protégé par authentification. La détection repose sur la présence dans le corps de la réponse de la chaîne <script>alert(‘CSRF token mismatch’). Si ce template est effectivement valide, un attaquant pourrait exploiter ce contournement d’authentification et enchaîner ensuite avec la CVE-2025-20333 pour prendre le contrôle du système. Le CERT-XMCO recommande l’installation de la dernière version de Cisco Secure Firewall ASA et Cisco Secure Firewall FTD, en utilisant l’outil dédié disponible à l’adresse suivante : https://sec.cloudapps.cisco.com/security/center/softwarechecker.x
Prise de contrôle du système via une vulnérabilité au sein de Dell Unity [11]
Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2025-36604 et affectant Dell Unity a été publié. L’exploitation de cette faille permet de prendre le contrôle du système. Ce code d’exploitation se présente sous la forme d’un template Nuclei. Le code effectue une requête HTTP GET vers l’endpoint suivant afin d’injecter une commande : /misc/`curl${IFS}{{interactsh-url}}`/..;/index.html. Les backticks permettent d’effectuer de la substitution de commande, tandis que le suffixe /..;/index.html est un contournement de normalisation. Ainsi, un attaquant pouvait exécuter du code à distance et prendre le contrôle du système. Le CERT-XMCO recommande l’installation de la version 5.5.1 de Dell Unity Operating Environment disponible à l’adresse suivante : https://www.dell.com/support/home/fr-fr/product-support/product/unity-all-flash-family/drivers
Informations
Vulnérabilités exploitées
Le groupe de ransomware Cl0p a exploité la faille de sécurité 0-day CVE-2025-61882 affectant Oracle E-Business Suite [12]
Le 4 octobre 2025, l’éditeur Oracle a publié un correctif de sécurité dédié à la vulnérabilité CVE-2025-61882. Cette faille affectait le produit Oracle Concurrent Processing de la solution Oracle E-Business Suite et permettait à un attaquant distant non authentifié de prendre le contrôle du système (cf. CXA-2025-5636). Elle aurait été exploitée comme 0-day par le groupe de ransomware Cl0p, résultant sur des vols de données et des tentatives d’extorsion par mail (cf. CXN-2025-5602). Afin d’endiguer les risques associés à cette campagne, Oracle a publié des indicateurs de compromission. Dans son bulletin de sécurité, l’entreprise a indiqué que les versions 12.2.3 à 12.2.14 d’Oracle E-Business Suite étaient affectées par la faille susmentionnée. Pour corriger la vulnérabilité, Oracle a précisé que les clients affectés devaient d’abord installer la mise à jour critique d’octobre 2023 avant de pouvoir installer le nouveau correctif dédié à la CVE-2025-61882. Un code d’exploitation public de cette faille serait disponible, il est donc essentiel que les administrateurs Oracle installent la mise à jour de sécurité dès que possible.
Exploitation active d’une 0-day référencée CVE-2025-27915 au sein de Zimbra [13]
Le 30 septembre 2025, les chercheurs de StrikeReady Labs ont publié une analyse détaillant l’exploitation d’une vulnérabilité 0-day dans la suite logicielle Zimbra Collaboration Suite (ZCS). Cette faille désormais corrigée, identifiée comme CVE-2025-27915, est une vulnérabilité de type XSS utilisée via des pièces jointes de calendrier ICS permettant à l’attaquant de manipuler des données et d’accéder à des informations sensibles (cf. CXA-2025-3535). Le problème provenait d’un assainissement insuffisant du contenu HTML dans ces fichiers, permettant aux attaquants d’exécuter un code JavaScript arbitraire dans la session de la victime et de mettre en place des filtres de redirection de courriels.
Le groupe de ransomware Medusa a exploité la faille de sécurité CVE-2025-10035 affectant GoAnywhere Managed File Transfer [14]
Le 6 octobre 2025, les chercheurs de Microsoft ont publié un bulletin de sécurité à la suite de l’exploitation d’une faille de sécurité affectant GoAnywhere MFT par le mode opératoire Storm-1175, connu pour déployer le ransomware Medusa. Référencée CVE-2025-10035 et désormais corrigée, cette vulnérabilité provenait d’un défaut au sein du License Servlet qui désérialisait des données non fiables sans vérification suffisante (CWE-77, CWE-502). Cette vulnérabilité permettait à un attaquant distant et non authentifié de soumettre un objet malveillant via une réponse de licence à la signature forgée et ainsi de prendre le contrôle du système. Pour endiguer les risques relatifs à l’exploitation malveillante de cette faille qui dispose d’un PoC publiquement disponible, le CERT-XMCO recommande d’application les correctifs publiés par Fortra (cf. CXA-2025-5403 et CXA-2025-5470).
Cybercriminel
Un nouveau site de fuite de données lié aux groupes Lapsus$, Scattered Spider et ShinyHunters a été mis en ligne [15]
Le 3 octobre 2025, le collectif de groupes criminels Lapsus$, Scattered Spider, et ShinyHunters (UNC624) a commencé à opérer un site TOR menaçant de publier les données de 39 entreprises. Selon les informations indiquées, une grande partie des revendications proviendrait de la compromission de l’entreprise SalesForce opérée depuis au moins le mois d’août 2025 et qui aurait notamment impliqué le détournement d’instances chez Google et Cisco (cf. CXN-2025-4461, CXN-2025-5325). Par l’intermédiaire de leur site de fuite de données, également accompagné d’un compte sur la marketplace BreachForums, les cybercriminels menacent de publier les données de toutes les victimes le 10 octobre 2025.
Analyse des TTPs du groupe criminel Crimson Collective [16]
Le 7 octobre 2025, les chercheurs de Rapid7 ont publié une analyse des TTPS utilisées par le groupe criminel Crimson Collective qui cible les environnements cloud AWS avec l’objectif d’exfiltrer les données trouvées pour ensuite extorquer les victimes via des demandes de rançon. Le collectif se concentre principalement sur la collecte et l’exfiltration de bases de données, de référentiels de projets ainsi que d’autres informations sensibles. Afin d’obtenir un accès initial, le groupe utilise un outil légitime open source appelé TruffleHog pour rechercher des identifiants AWS exposés et vulnérables. Ensuite, les attaquants établissent une persistance et élèvent leurs privilèges en créant de nouveaux utilisateurs IAM et profils de connexion via des appels API, puis génèrent de nouvelles clés d’accès avec un statut d’administrateur ce qui leur donne un contrôle complet sur l’instance AWS compromise.
Europe
Campagne de spearphishing alimentée à l’IA de l’APT chinois UTA0388 ciblant l’Europe, l’Amérique du Nord et l’Asie [17]
Le 8 octobre 2025, les chercheurs de Volexity ont publié l’analyse d’une campagne de spearphishing ciblant l’Amérique du Nord, l’Asie et l’Europe attribuée à UTA0388, acteur de la menace soupçonné d’être parrainé par l’État chinois, observée depuis juin 2025. Ces campagnes sont conçues pour déployer un implant malveillant développé en langage Go, nommé GOVERSHELL. Selon le rapport, les opérations initiales du cluster étaient personnalisées, utilisant des messages prétendument envoyés par des chercheurs d’organisations fictives, mais à consonance légitime, afin d’inciter les cibles à cliquer sur des liens menant vers une charge malveillante. Par la suite, l’acteur a diversifié ses approches en utilisant différentes identités et leurres dans plusieurs langues, dont le français.
Campagne d’espionnage attribuée à un groupe APT chinois ciblant le secteur de l’aviation au sein de plusieurs pays européens [18]
Le 3 octobre 2025, les chercheurs de Strike Ready ont révélé au sein d’un article avoir détecté une campagne de spearphishing ayant ciblé un service gouvernemental serbe du secteur de l’aviation. Des investigations complémentaires ont mis en évidence l’extension des activités de cet acteur malveillant à d’autres pays européens, des opérations de nature similaire ayant été identifiées en Italie, aux Pays-Bas, en Hongrie et en Belgique. Le processus d’attribution est fondé sur l’analyse technique des outils utilisés par l’attaquant, en l’occurrence l’arsenal logiciel connu sous les noms de SOGU, Plugx ou Korplug. Ce dernier est considéré comme une signature technique probante, son utilisation à des fins d’espionnage étant documentée de manière quasi exclusive au sein de groupes d’attaquants d’origine chinoise depuis plus d’une décennie.
France
Compromission de la commune française de Saint-Claude par le ransomware Qilin [19]
Le 6 mars 2025, le groupe ransomware Qilin a revendiqué la compromission de la commune française Saint-Claude, située dans le Jura. Le collectif criminel n’indique pas la quantité de données volées, mais affirme détenir des informations personnelles sur les résidents et les touristes de la commune, ainsi que plusieurs documents administratifs appartenant à la mairie de Saint-Claude. L’administration locale n’a pas confirmé la véracité de cette revendication, mais Qilin est un collectif très actif au sein de l’écosystème cybercriminel et s’est déjà illustré par la compromission de nombreuses entités françaises à l’instar de SMEF AZUR, BIO3G ou PathoQuest (cf. CXN-2025-4720, CXN-2025-5019, CXN-2025-5314). La montée en puissance du groupe ces derniers mois s’expliquerait par la migration d’affiliés issus de RansomHub vers son programme de Ransomware‑as‑a‑Service (RaaS), vraisemblablement consécutive à une restructuration interne (cf. CXN-2025-2415).
Références portail XMCO
[1]
- https://github.com/redis/redis/releases/tag/6.2.20
- https://github.com/redis/redis/releases/tag/7.2.11
- https://github.com/redis/redis/releases/tag/7.4.6
- https://github.com/redis/redis/releases/tag/8.0.4
- https://github.com/redis/redis/releases/tag/8.2.2
[2]
[3]
[4]
- https://about.gitlab.com/releases/2025/10/08/patch-release-gitlab-18-4-2-released/
- http://cwe.mitre.org/data/definitions/863.html
- https://cwe.mitre.org/data/definitions/862.html
[5]
- https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop.html
- https://chromereleases.googleblog.com/2025/10/chrome-for-android-update.html
- https://cwe.mitre.org/data/definitions/122.html
- https://cwe.mitre.org/data/definitions/416.html
- https://cwe.mitre.org/data/definitions/125.html
[6]
[7]
[8]
- https://discuss.elastic.co/t/kibana-8-18-8-8-19-5-9-0-8-9-1-5-security-update-esa-2025-17/382451
- https://discuss.elastic.co/t/elasticsearch-8-18-8-8-19-5-9-0-8-9-1-5-security-update-esa-2025-18/382453
- https://discuss.elastic.co/t/kibana-8-18-8-8-19-4-9-0-7-9-1-4-security-update-esa-2025-16/382450
- https://discuss.elastic.co/t/kibana-crowdstrike-connector-8-18-8-8-19-5-9-0-8-and-9-1-5-security-update-esa-2025-19/382455
- https://discuss.elastic.co/t/kibana-8-18-8-8-19-5-9-0-8-and-9-1-5-security-update-esa-2025-20/382449
[9]
- https://www.oracle.com/security-alerts/alert-cve-2025-61882.html
- https://labs.watchtowr.com/well-well-well-its-another-day-oracle-e-business-suite-pre-auth-rce-chain-cve-2025-61882well-well-well-its-another-day-oracle-e-business-suite-pre-auth-rce-chain-cve-2025-61882/
[10]
[11]
- https://www.dell.com/support/kbdoc/fr-fr/000350756/dsa-2025-281-security-update-for-dell-unity-dell-unityvsa-and-dell-unity-xt-security-update-for-multiple-vulnerabilities
- https://labs.watchtowr.com/its-never-simple-until-it-is-dell-unityvsa-pre-auth-command-injection-cve-2025-36604/
- https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-36604.yaml
[12]
- https://www.oracle.com/security-alerts/alert-cve-2025-61882.html
- https://www.bleepingcomputer.com/news/security/oracle-patches-ebs-zero-day-exploited-in-clop-data-theft-attacks/
[13]
- https://strikeready.com/blog/0day-ics-attack-in-the-wild/
- https://www.bleepingcomputer.com/news/security/hackers-exploited-zimbra-flaw-as-zero-day-using-icalendar-files/
- https://github.com/StrikeReady-Inc/research/tree/main/2025-09-29%20ics%200day
[14]
- https://www.microsoft.com/en-us/security/blog/2025/10/06/investigating-active-exploitation-of-cve-2025-10035-goanywhere-managed-file-transfer-vulnerability/
- https://www.bleepingcomputer.com/news/security/microsoft-critical-goanywhere-bug-exploited-in-ransomware-attacks/
- https://cwe.mitre.org/data/definitions/77.html
- https://cwe.mitre.org/data/definitions/502.html
[15]
- https://www.resecurity.com/blog/article/shinyhunters-launches-data-leak-site-trinity-of-chaos-announces-new-ransomware-victims
- https://x.com/DailyDarkWeb/status/1974070701159031080
- https://x.com/FalconFeedsio/status/1974922664352579784
- https://x.com/FalconFeedsio/status/1975069456822071502
[16]
- https://www.rapid7.com/blog/post/tr-crimson-collective-a-new-threat-group-observed-operating-in-the-cloud/
- https://www.bleepingcomputer.com/news/security/crimson-collective-hackers-target-aws-cloud-instances-for-data-theft/
[17]
- https://www.volexity.com/blog/2025/10/08/apt-meets-gpt-targeted-operations-with-untamed-llms/
- https://thehackernews.com/2025/10/from-healthkick-to-govershell-evolution.html
- https://github.com/volexity/threat-intel/blob/main/2025/2025-10-08%20UTA0388/iocs.csv
[18]
- https://strikeready.com/blog/cn-apt-targets-serbian-government/
- https://therecord.media/suspected-chinese-spies-serbia
[19]
