Chaque semaine, les consultants de notre service de veille, synthétisent et analysent les faits marquants de la semaine écoulée.
Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Microsoft pour Edge et dans le cadre du Patch Tuesday [1] [2] [3], par Synology pour BeeStation OS [4], par SAP [5], par Docker pour Desktop [6], par Gitlab pour CE/EE [7], par Zoom [8], par Google pour Chrome [9], par Mozilla pour Firefox [10], par Splunk [11] et par Citrix pour NetScaler ADC et NetScaler Gateway Security [12]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
Codes d’exploitation
Un code d’exploitation a été publié cette semaine. Aucun correctif n’est disponible.
Prise de contrôle du système et contournement de sécurité via une vulnérabilité non référencé au sein de FortiWeb [13]
Un code d’exploitation tirant parti d’une vulnérabilité non référencée au sein de Fortinet FortiWeb a été publié. L’exploitation de cette faille permet de contourner des restrictions de sécurité et de prendre le contrôle du système. Cette technique permet de contourner les restrictions de l’API publique et d’accéder au script CGI fwbcgi, normalement inaccessible. Ce dernier s’exécute avec des privilèges administrateur sans valider l’identité de l’appelant. La payload intégrée à la requête contient les paramètres nécessaires pour provisionner un nouveau compte utilisateur disposant de privilèges de niveau super-administrateur. Aucun correctif de sécurité n’est disponible à l’heure actuelle. Les tests d’exploitations réalisées démontrent que seules les versions inférieures à 8.0.2 de Fortinet FortiWeb sont impactées.
Informations
Vulnérabilités exploitées
Le cluster UNC6485 exploite la faille de sécurité CVE-2025-12480 affectant Triofox [14]
Le 10 novembre 2025, les chercheurs de Google ont signalé l’exploitation active d’une faille de sécurité affectant Triofox. Référencée CVE-2025-12480, cette vulnérabilité maintenant corrigée permettait à un attaquant distant et non authentifié de contourner le processus d’authentification et d’accéder aux pages de configuration de l’application, afin d’exécuter en cascade des payloads arbitraires. D’après le Threat Intelligence Group de Google, le mode opératoire UNC6485 l’aurait exploité à la fin du mois d’août 2025 à des fins d’espionnage. L’exploitation de la faille susmentionnée a été détectée par Google à la suite du déploiement d’utilitaires d’accès à distance sur le serveur Triofox d’un client non spécifié.
Distribution du spyware LANDFALL via la faille de sécurité CVE-2025-21042 affectant des téléphones mobiles Samsung [15]
Le 7 novembre 2025, des chercheurs de Unit 42 ont publié une analyse de LANDFALL, une nouvelle famille de spyware Android commercial exploitant la faille de sécurité CVE-2025-21042 affectant des appareils Samsung. Depuis juillet 2024, des acteurs de la menace mèneraient des campagnes d’espionnage ciblant principalement les appareils Samsung Galaxy. Le malware serait diffusé par l’envoi, via WhatsApp, de fichiers image DNG malformés servant à compromettre les dispositifs visés. Les chercheurs indiquent que la vulnérabilité était activement exploitée avant que Samsung ne propose une mise à jour de sécurité en avril 2025.
Une faille de sécurité, non référencée et affectant FortiWeb, serait activement exploitée à des fins malveillantes [16]
Le 13 novembre 2025, les journalistes de Bleeping Computer ont publié un bulletin de sécurité alertant sur l’identification d’une faille de sécurité affectant Fortinet FortiWeb. Non référencée, cette vulnérabilité dispose d’un code d’exploitation publiquement disponible (PoC) et serait activement exploitée. Cette faille permettrait de contourner des restrictions de sécurité et de prendre le contrôle du système, en créant de nouveaux utilisateurs administratifs sur des appareils exposés sans exiger d’authentification. Les premières traces d’exploitation malveillante de la faille auraient été détectées par la société Defused le 6 octobre dernier.
Cybercriminel
Détection de 9 paquets NuGet malveillants délivrant des payloads capables de saboter des systèmes de contrôle industriels [17]
Le 6 novembre 2025, les équipes de Socket ont découvert 9 paquets NuGet malveillants, capables d’injecter en temps différé des payloads chargées de saboter des systèmes de contrôle industriels. Ces 9 paquets NuGet ont été publiés en open source entre 2023 et 2024 par un développeur connu sous le nom de shanhai666. Les fonctionnalités malveillantes de ces paquets étaient destinées à mettre fin au processus de l’application hôte après des dates de déclenchement spécifiques en 2027 et 2028.
Plus d’un millier de serveurs liés à Rhadamanthys, VenomRAT et Elysium saisis par les autorités dans le cadre de l’Opération Endgame [18]
Le 13 novembre 2025, Europol a publié une mise à jour informative concernant les dernières évolutions de l’Opération Endgame, ayant permis de récemment démanteler 1 025 serveurs appartenant à des cybercriminels. Cette opération a ciblé plusieurs éléments clés de l’infrastructure cybercriminelle mondiale, notamment l’infostealer Rhadamanthys, le cheval de Troie d’accès à distance VenomRAT, et le botnet Elysium. Cette dernière étape de l’opération reposait sur une coopération internationale afin de saisir et mettre hors service les serveurs et domaines utilisés par ces cybercriminels.
Réapparition du Malware-as-a-Service DanaBot [19]
Le 10 novembre 2025, les chercheurs de Zscaler ont identifié une nouvelle variante nommée version 669 du Trojan bancaire devenu ensuite un infostealer, DanaBot. Fonctionnant comme un Malware-as-a-Service (MaaS), il avait fait l’objet d’une saisie de ses ressources lors de l’opération Endgame II annoncée par Europol le 23 mai dernier. Aucune information complémentaire n’a été donnée par les chercheurs sur ce malware qui exploite diverses techniques comme vecteur d’accès initial telles que le phishing, le SEO poisonning ainsi que le malvertising. Utilisé généralement par des groupes de ransomware à la recherche de gains financiers, il a aussi été exploité dans des campagnes d’espionnage.
Recrudescence de l’activité de Lumma Stealer marquée par le recours à de nouvelles techniques d’obfuscation [20]
Le 13 novembre 2025, les chercheurs de Trend Micro ont publié une analyse de la résurgence de Lumma Stealer, un infostealer traqué par les chercheurs sous le nom de Water Kurita, dont les activités avaient diminué depuis la divulgation de l’identité de certains de ses opérateurs. Le malware s’est imposé depuis 2022 parmi les infostealers les plus utilisés dans les campagnes de vol de données à l’échelle mondiale. Ce logiciel malveillant, promu en tant que Malware-as-a-Service (MaaS), cible principalement les navigateurs, les portefeuilles de cryptomonnaie, les identifiants et les extensions d’authentification, ce qui le rend particulièrement dangereux pour les individus et les organisations.
Références portail XMCO
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
- https://www.zoom.com/en/trust/security-bulletin/zsb-25048/
- https://www.zoom.com/en/trust/security-bulletin/zsb-25040/
- https://www.zoom.com/en/trust/security-bulletin/zsb-25043/
- https://www.zoom.com/en/trust/security-bulletin/zsb-25046/
- https://www.zoom.com/en/trust/security-bulletin/zsb-25045/
[9]
- https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop_11.html
- https://chromereleases.googleblog.com/2025/11/chrome-for-android-update.html
[10]
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-89/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-88/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-87/
[11]
- https://advisory.splunk.com//advisories/SVD-2025-1101
- https://advisory.splunk.com//advisories/SVD-2025-1102
- https://advisory.splunk.com//advisories/SVD-2025-1103
[12]
[13]
[14]
- https://cloud.google.com/blog/topics/threat-intelligence/triofox-vulnerability-cve-2025-12480/
- https://www.bleepingcomputer.com/news/security/hackers-abuse-triofox-antivirus-feature-to-deploy-remote-access-tools/
- https://thehackernews.com/2025/11/hackers-exploiting-triofox-flaw-to.html
[15]
- https://unit42.paloaltonetworks.com/landfall-is-new-commercial-grade-android-spyware/
- https://www.darkreading.com/mobile-security/landfall-malware-targeted-samsung-galaxy-users
[16]
- https://www.pwndefend.com/2025/11/13/suspected-fortinet-zero-day-exploited-in-the-wild/
https://www.bleepingcomputer.com/news/security/fortiweb-flaw-with-public-poc-actively-exploited-to-create-admin-users/
https://x.com/watchtowrcyber/status/1989017336632996337
[17]
- https://socket.dev/blog/9-malicious-nuget-packages-deliver-time-delayed-destructive-payloads
- https://thehackernews.com/2025/11/hidden-logic-bombs-in-malware-laced.html
- https://www.numerama.com/cyberguerre/2113173-cette-cyberattaque-vicieuse-est-dores-et-deja-programmee-pour-novembre-2028.html
[18]
- https://www.europol.europa.eu/media-press/newsroom/news/end-of-game-for-cybercrime-infrastructure-1025-servers-taken-down
- https://thehackernews.com/2025/11/operation-endgame-dismantles.html
- https://www.proofpoint.com/us/blog/threat-insight/security-brief-venomrat-defanged
[19]
- https://x.com/Threatlabz/status/1987965385036230779
- https://www.bleepingcomputer.com/news/security/danabot-malware-is-back-to-infecting-windows-after-6-month-break/
[20]
