Résumé de la semaine #51 (du 13 au 19 décembre 2025)

Chaque semaine, les consultants de notre service de veille, synthétisent et analysent les faits marquants de la semaine écoulée.

Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.

CORRECTIFS

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par F5 pour NGINX Controller [1], par Elastic pour Kibana [2], par Mozilla pour Firefox [3], par Watchguard pour Firebox [4], par Microsoft pour Edge [5], par SonicWall pour SMA1000 [6], par Google pour Chrome [7], par Apple pour macOS [8], iPad [9] et Safari [10]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.

CODES D’EXPLOITATION

Cette semaine, un code d’exploitation a été publié. Un correctif est disponible.

Prise de contrôle du système et contournement de sécurité via une vulnérabilité au sein de FortiWeb [11]

Un code d’exploitation tirant parti de la vulnérabilité CVE-2025-52970 affectant FortiWeb a été publié. Ce code d’exploitation se présente sous la forme d’un programme écrit en Python. En exploitant cette faille, un attaquant distant et non authentifié pouvait exploiter un accès hors limites OOB (Out-Of-Bound) dans le parsing des cookies FortiWeb pour forger une clé de session prévisible, puis de générer et valider un cookie malveillant signé avec HMAC-SHA1 contenant des privilèges administrateur encodés. L’attaquant était alors en mesure de contourner l’authentification sur l’endpoint /api/fabric/device/status en injectant le cookie malveillant dans l’en-tête Authorization. L’accès administrateur obtenu est alors exploité pour exécuter des requêtes d’injection SQL. Le CERT-XMCO recommande l’installation de l’une des versions suivantes de FortiWeb : 7.6.4, 7.4.9, 7.2.11 et 7.0.11, disponibles auprès du support de Fortinet.

INFORMATIONS

Vulnérabilités exploitées

Exploitation malveillante de la CVE-2025-20393, une faille zero-day non corrigée affectant les produits Cisco SEG et SEWM [12]

Le 17 décembre 2025, les chercheurs de Cisco Talos ont publié un bulletin de sécurité signalant l’exploitation malveillante d’une vulnérabilité 0‑day critique. Référencée CVE-2025-20393, cette faille de sécurité affecte Cisco AsyncOS, un logiciel présent au sein des appliances Secure Email Gateway (SEG) et Secure Email and Web Manager (SEWM). Elle permet à un attaquant distant et non authentifié d’exécuter des commandes arbitraires en possédant des privilèges root, en raison d’un défaut au sein de la fonctionnalité Spam Quarantine quand elle est exposée à Internet, qui provoque une mauvaise validation des entrées (cf. CXA-2025-7400). D’après l’analyse publiée par Cisco Talos, la campagne serait attribuée à un mode opératoire documenté sous le nom de UAT-9686, lié à la Chine et dont l’utilisation d’outils et l’infrastructure sont cohérentes avec celles d’autres groupes d’attaquants chinois.

Exploitation comme 0-day de la vulnérabilité CVE-2025-40602 affectant SonicWall SMA1000 [13]

Le 17 décembre 2025, SonicWall a publié un bulletin de sécurité corrigeant une vulnérabilité exploitée comme 0-day affectant la solution SMA1000 de SonicWall. Référencée CVE-2025-40602, elle permettait à un attaquant distant et authentifié avec des privilèges élevés d’élever ses privilèges localement (cf. CXA-2025-7398). Cette dernière a été exploitée conjointement à la faille de désérialisation de pré-authentification CVE-2025-23006 corrigée en janvier 2025 et affectant également SMA1000 pour exécuter des commandes OS arbitraires avec des privilèges root (cf. CXA-2025-0418). L’éditeur précise que la vulnérabilité n’affecte pas les VPN SSL exécutés sur les pare-feu SonicWall.

Nouvelles mentions d’attaques exploitant la faille de sécurité CVE-2025-55182 (Reac2Shell) [14]

Le 15 décembre 2025, les chercheurs de Microsoft Defender ont publié une analyse de l’exploitation de la vulnérabilité critique CVE-2025-55182, dite React2Shell, affectant React Server Components, Next.js et les frameworks associés. Évaluée à 10,0 sur l’échelle CVSS, cette faille de désérialisation non sécurisée désormais corrigée permettait à un attaquant distant et non authentifié d’exécuter du code arbitraire. (cf. CXN-2025-7105). Les chercheurs signalent avoir observé des attaques dirigées contre des applications web d’entreprise exposées, impliquant des charges allant de Cobalt Strike à des mineurs XMRig et divers RATs, dont VShell, EtherRAT, SNOWLIGHT et ShadowPAD.

France

Un acteur malveillant revendique sur BreachForums la compromission du ministère de l’Intérieur français [15]

Le 12 décembre 2025, le ministre de l’Intérieur français, Laurent Nuñez, a annoncé que des données associées aux serveurs de messagerie de son ministère avaient été compromis. Cette attaque, revendiquée le 13 décembre par un administrateur de BreachForums nommé Indra, serait survenue en réaction à l’arrestation, en juin dernier, de plusieurs membres du groupe ShinyHunters, un collectif criminel particulièrement actif, récemment associé aux collectifs Scattered Spider et LAPSUS$ (cf. CXN-2025-4330, CXN-2025-6424). À ce jour, les autorités françaises n’ont pas spécifié si des données avaient été exfiltrées par les attaquants.

---

Références portail XMCO

[1]

• https://my.f5.com/manage/s/article/K000158176

[2]

• https://discuss.elastic.co/t/kibana-8-19-9-9-1-9-and-9-2-3-security-update-esa-2025-34/384182
• https://discuss.elastic.co/t/kibana-8-19-9-9-1-9-and-9-2-3-security-update-esa-2025-35/384183
• https://discuss.elastic.co/t/kibana-8-19-9-9-1-9-and-9-2-3-security-update-esa-2025-36/384184
• https://discuss.elastic.co/t/kibana-8-19-8-9-1-8-and-9-2-2-security-update-esa-2025-38/384186
• https://discuss.elastic.co/t/kibana-8-19-7-9-1-7-and-9-2-1-security-update-esa-2025-39/384187

[3]

• https://www.mozilla.org/en-US/security/advisories/mfsa2025-98/

[4]

• https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00027

[5]

• https://learn.microsoft.com/en-us/DeployEdge/microsoft-edge-relnotes-security

[6]

• https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0019

[7]

• https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop_16.html
• https://chromereleases.googleblog.com/2025/12/chrome-for-android-update_01890795727.html

[8]

• https://support.apple.com/en-us/125888
• https://support.apple.com/en-us/125886
• https://support.apple.com/en-us/125887

[9]

• https://support.apple.com/en-us/125885
• https://support.apple.com/en-us/125884

[10]

• https://support.apple.com/en-us/125892

[11]

• https://github.com/Hex00-0x4/FortiWeb-CVE-2025-52970-Authentication-Bypass

[12]

• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4
• https://blog.talosintelligence.com/uat-9686/
• https://www.bleepingcomputer.com/news/security/cisco-warns-of-unpatched-asyncos-zero-day-exploited-in-attacks/

[13]

• https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0019
• https://www.bleepingcomputer.com/news/security/sonicwall-warns-of-new-sma1000-zero-day-exploited-in-attacks/

[14]

• https://www.microsoft.com/en-us/security/blog/2025/12/15/defending-against-the-cve-2025-55182-react2shell-vulnerability-in-react-server-components/

[15]

• https://www.bleepingcomputer.com/news/security/france-interior-ministry-confirms-cyberattack-on-email-servers/
• https://x.com/FalconFeedsio/status/2000531579203162204/photo/1
• https://www.lemagit.fr/actualites/366636399/Ministere-de-lInterieur-lintrusion-revendiquee-par-les-operateurs-de-BreachForums
• https://www.rtl.fr/actu/justice-faits-divers/un-assaillant-a-pu-penetrer-sur-un-certain-nombre-de-fichiers-sur-rtl-laurent-nu-ez-confirme-une-attaque-informatique-au-ministere-de-l-interieur-7900577003