Chaque semaine, les consultants de notre service de veille, synthétisent et analysent les faits marquants de la semaine écoulée.
Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Découvrez en détail ce service sur www.xmco.fr et testez-le gratuitement.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Apple pour iPadOS, pour iOS [1] [2] et pour macOS [3], par Microsoft pour Edge [4] [5], par Google pour Chrome [6] [7], par Android [8] et par Cisco pour Identity Services Engine (ISE) [9]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Cette semaine, 2 codes d’exploitation ont été publiés. Un correctif est disponible pour chacun d’entre eux.
Divulgation d’informations via une vulnérabilité au sein d’ArgoCD [10]
Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2025-55190 et affectant ArgoCD a été publié. L’exploitation de cette faille permet d’accéder à des informations sensibles. En envoyant une requête POST /api/v1/session, un attaquant peut obtenir un jeton d’authentification, qu’il utilise ensuite dans une requête GET /api/v1/projects/default/detailed. La réponse de cet endpoint contient des informations sensibles, notamment des champs username et password dans la section repositories. Des extracteurs JSON et des expressions régulières sont ensuite utilisés pour vérifier la présence de ces données et extraire automatiquement les identifiants exposés, révélant une fuite de secrets dans l’API. Le CERT-XMCO recommande l’installation des versions suivantes d’Argo CD : 3.1.2, 3.0.14, 2.14.16 ou 2.13.9.
Divulgation d’informations via une vulnérabilité au sein d’Oracle E-Business Suite [11]
Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2025-61884 et affectant Oracle E-Business Suite a été publié. L’exploitation de cette faille permet d’accéder à des informations sensibles, notamment dans Oracle Configurator. En effectuant une requête POST vers le chemin /OA_HTML/configurator/UiServlet, contenant une contenant une charge utile XML spécialement conçue dans le paramètre getUiType, il est possible d’induire le serveur Oracle E-Business Suite à effectuer une requête externe vers un serveur interactsh. Le CERT-XMCO recommande l’installation de la dernière version corrigée d’Oracle E-Business Suite disponible à l’adresse suivante : https://support.oracle.com/rs?type=doc&id=3107176.1
Informations
Vulnérabilités exploitées
Exploitation active des CVE-2025-20333 et CVE-2025-20362 affectant des produits Cisco [12]
Le 5 novembre 2025, Cisco a mis à jour son bulletin de sécurité concernant l’exploitation de vulnérabilités affectant ses produits Secure ASA ou Secure FTD. Corrigées le 25 septembre et référencées CVE-2025-20333 et CVE-2025-20362, elles ont été instrumentalisées pour réaliser des attaques par déni de service. Précédemment exploitées comme 0-day par le groupe UAT4356, elles permettaient à un attaquant distant de contourner des mesures d’authentification pour ensuite exécuter du code arbitraire (cf. CXN-2025-5504, CXA-2025-5502). Un code d’exploitation est également disponible pour la CVE-2025-20362 (cf. CXA-2025-5679).
Exploitation active de la CVE-2025-11833 affectant le plugin Post SMTP de WordPress [13]
Le 3 novembre 2025, les chercheurs de Wordfence ont révélé l’exploitation d’une vulnérabilité affectant le plugin de solution de livraison d’emails Post SMTP installé sur plus de 400 000 sites WordPress. Corrigée le 29 octobre 2025 et référencée CVE-2025-11833, elle permettait à un attaquant distant et non authentifié de prendre le contrôle du site Web. À l’heure actuelle, l’entreprise de sécurité a bloqué plus de 4 500 tentatives d’exploitation, il est donc recommandé d’appliquer le correctif publié par Wordfence le 31 octobre.
Exploitation d’une vulnérabilité 0-day référencée CVE-2025-61932 affectant Motex par le groupe APT chinois BRONZE BUTLER [14]
Le 30 octobre 2025, les chercheurs de Sophos ont révélé l’exploitation comme 0-day d’une vulnérabilité affectant un logiciel de gestion d’actifs principalement utilisé au Japon, Motex Lanscope Endpoint Manager, par le groupe APT associé à la Chine BRONZE BUTLER (alias Tick). Référencée CVE-2025-61932 et corrigée le 20 octobre 2025, la faille de sécurité permettait à un attaquant distant et non authentifié d’exécuter du code arbitraire. Dans cette campagne d’attaque, elle a été instrumentalisée pour distribuer la backdoor Gokcpdoor à des fins d’espionnage.
Ransomware
Détection d’une version améliorée de Gootloader, opérée par les clusters Storm-0494 et Vanilla Tempest à des fins criminelles [15]
Le 5 novembre 2025, les chercheurs de Huntress ont publié une analyse sur la résurgence du malware Gootloader, largement utilisé pour faciliter l’accès sur des systèmes informatiques ciblés. Sa découverte remonterait à 2020 et son code serait régulièrement mis à jour pour améliorer ses fonctionnalités d’attaque. Cette souche de code malveillant serait opérée par le cluster Storm-0494 pour obtenir des accès initiaux, ensuite exploités par Vanilla Tempest (aka DEV-0832), un mode opératoire connu pour ses liens avec divers programmes de ransomware, dont BlackCat, Zeppelin, Quantum Locker et plus récemment Rhysida (cf. CXN-2025-6382).
Les opérateurs du ransomware Rhysida détournent des certificats de signature de code pour distribuer OysterLoader et Latrodectus [16]
Le 31 octobre 2025, les chercheurs d’Expel ont documenté une campagne d’attaques opérée par le groupe de ransomware Rhysida (aka Vanilla Tempest). Active depuis le mois de juin dernier, cette opération malveillante serait menée via la distribution d’un malware nommé OysterLoader, aussi connu comme Broomstick et CleanUpLoader, utilisé par les attaquants pour compromettre des systèmes informatiques et assurer par la suite leur contrôle à distance (cf. CXN-2024-5793).
Références portail XMCO
[1]
[2]
[3]
- https://support.apple.com/en-gb/125634
- https://support.apple.com/en-gb/125635
- https://support.apple.com/en-gb/125636
[4]
[5]
[6]
- https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_28.html
- https://chromereleases.googleblog.com/2025/10/chrome-for-android-update_30.html
[7]
- https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop.html
- https://chromereleases.googleblog.com/2025/11/chrome-for-android.html
[8]
[9]
[10]
[11]
- https://www.oracle.com/security-alerts/alert-cve-2025-61884.html
- https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-61884.yaml
[12]
- https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks
- https://thehackernews.com/2025/11/cisco-warns-of-new-firewall-attack.html
[13]
[14]
[15]
- https://www.huntress.com/blog/gootloader-threat-detection-woff2-obfuscation
- https://www.bleepingcomputer.com/news/security/gootloader-malware-is-back-with-new-tricks-after-7-month-break
[16]
