Chaque semaine, les consultants de notre service de veille, synthétisent et analysent les faits marquants de la semaine écoulée.
Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.
CORRECTIFS
Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par Docker pour Desktop [1], par Splunk pour SOAR [2], par Google pour Chrome [3] et par Hashicorp pour Vault [4]. Ces correctifs remédient à des dommages allant du déni de service à la prise de contrôle du système.
CODES D’EXPLOITATION
Un code d’exploitation a été publié cette semaine. Un correctif est disponible.
Prise de contrôle du système via une vulnérabilité au sein d’Oracle Fusion Middleware [5]
Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2025-61757 affectant Fusion Middleware a été publié. Dans les versions vulnérables, toutes les URLs se terminant par .wald sont exemptées d’authentification. Ainsi, en envoyant une requête POST spécialement conçue vers le chemin /iam/governance/applicationmanagement/api/v1/applications/groovyscriptstatus;.wadl, un attaquant peut exécuter du code arbitraire. Cette faille de sécurité a été exploitée comme 0-day. Le CERT-XMCO recommande l’installation des correctifs de sécurité disponibles via le site du support Oracle à l’adresse suivante : https://support.oracle.com/rs?type=doc&id=3105435.1.
INFORMATIONS
Vulnérabilités exploitées
Nouvelle exploitation de la CVE-2025-26633 affectant Microsoft par le groupe APT lié à la Russie EncryptHub [6]
Le 25 novembre 2025, les chercheurs de Zscaler ont révélé une nouvelle campagne du groupe APT associé à la Russie EncryptHub (alias Larva-208, Water Gamayun) reposant sur l’exploitation d’une vulnérabilité déjà exploitée par le groupe comme 0-day et affectant Microsoft Management Console. Corrigée dans le cadre du Patch Tuesday de Microsoft en mars 2025 et référencée CVE-2025-26633 (alias MSC EvilTwin), elle permettait à un attaquant local et non authentifié de contourner les mesures de sécurité afin d’exécuter du code malveillant. Dans ce contexte, il est fortement recommandé d’appliquer les correctifs publiés par Microsoft et d’intégrer les IoCs fournis par Zscaler. L’entreprise met par ailleurs à disposition plusieurs recommandations de détection visant à réduire les risques de compromission liés à cette menace.
Exploitation de plusieurs vulnérabilités affectant des produits IoT pour distribuer le malware ShadowV2, notamment en France [7]
Le 26 novembre 2025, des chercheurs de Fortinet ont révélé que plusieurs vulnérabilités affectant des produits IoT de différents fabricants, dont DDWRT, D-Link, DigiEver, TBK et TP-Link, étaient exploitées pour diffuser le botnet ShadowV2. Cette campagne, active en particulier durant la panne majeure d’AWS, a visé de nombreux secteurs à l’échelle mondiale, incluant la France. Les acteurs de la menace ont exploité les vulnérabilités CVE-2009-2765, CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915, CVE-2023-52163, CVE-2024-3721 et CVE-2024-53375 pour distribuer ShadowV2, une variante du botnet Mirai. Le malware prend en charge plusieurs protocoles, notamment UDP, TCP et HTTP, et implémente différentes variantes d’attaques associées à ces protocoles avant d’exécuter des attaques DDoS.
Exploitation comme 0-day de la vulnérabilité référencée CVE-2025-61757 affectant Oracle Fusion Middleware [8]
Le 20 novembre 2025, des chercheurs du SANS ont révélé, après l’analyse publiée par Searchlight Cyber le même jour, l’exploitation en tant que 0-day d’une vulnérabilité affectant le produit Identity Manager d’Oracle Fusion Middleware. Référencée CVE-2025-61757 et corrigée lors du Critical Patch Update d’Oracle en octobre 2025, cette faille de sécurité permettait à un attaquant distant et non authentifié de prendre le contrôle du système. D’après les analyses du SANS, aucun groupe n’a été spécifiquement identifié, mais les indicateurs de compromission suggèrent qu’un unique attaquant serait à l’origine de cette campagne. Pour limiter les risques d’exploitation de la vulnérabilité, il est recommandé d’appliquer le correctif publié par Oracle en octobre et d’intégrer les IOCs fournis par le SANS.
Cybercriminel
Synthèse des activités malveillantes associées au collectif ShinyHunters contre Salesforce, Gainsight et CrowdStrike [9]
Le 21 novembre 2025, Salesforce a publié un bulletin de sécurité à la suite de la détection d’une activité inhabituelle impliquant des applications Gainsight connectées à Salesforce, installées et gérées directement par des clients. Cette activité malveillante aurait permis à des attaquants d’obtenir un accès non autorisé aux données Salesforce de certains clients. La plateforme Gainsight a de son côté précisé que l’incident était en cours de traitement par Mandiant et a fourni une liste d’indicateurs de compromission associés à cette attaque. Selon le Threat Intelligence Group de Google, cette opération malveillante est susceptible d’être opérée par le collectif ShinyHunters, le même groupe cybercriminel qui avait attaqué Salesloft Drift en août dernier. Un représentant de DataBreaches[.]net a pris contact auprès d’un représentant du collectif de ransomware afin de clarifier la situation.
Analyse de la campagne Shai-Hulud 2.0 : compromission de l’écosystème npm et menaces sur les environnements cloud [10]
Le 27 novembre 2025, Trend Micro a publié une analyse de la récente campagne d’attaques ayant impliqué la compromission de paquets NPM via le ver Shai-Hulud. Observée depuis le 24 novembre dernier, cette nouvelle vague d’attaques impliquerait une amélioration des capacités de collecte de données du ver informatique, désormais en mesure de voler des identifiants auprès des fournisseurs de cloud AWS, GCP et Azure. Fait notable, le malware installe automatiquement une backdoor dans chaque paquet NPM géré par la victime, puis les republie avec des payloads malveillantes qui s’exécutent lors de l’installation du paquet, permettant aux opérateurs de Shai-hulud de se propager de manière exponentielle dans l’écosystème NPM et de compromettre potentiellement des milliers d’utilisateurs en aval.
France
L’Agence nationale de la sécurité des systèmes d’information a publié un état de la menace sur les téléphones mobiles [11]
Le 26 novembre 2025, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié un état de la menace relatif aux téléphones mobiles. Ce document d’analyse présente les différents vecteurs techniques exploités par les acteurs malveillants afin de compromettre des téléphones mobiles et dresse une vue d’ensemble des menaces pesant sur les utilisateurs, à l’appui d’exemples concrets d’attaques opérées en France ou à l’étranger. Afin d’endiguer les risques associés à ces dernières, l’ANSSI propose diverses recommandations de sécurité à destination des utilisateurs, disponibles dans son rapport.
Références portail XMCO
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
- https://isc.sans.edu/diary/Oracle+Identity+Manager+Exploit+Observation+from+September+CVE202561757/32506/
- https://www.bleepingcomputer.com/news/security/cisa-warns-oracle-identity-manager-rce-flaw-is-being-actively-exploited/
- https://content.govdelivery.com/accounts/USDHSCISA/bulletins/3fc8920
[9]
- https://status.salesforce.com/generalmessages/20000233
- https://status.gainsight.com/
- https://www.bleepingcomputer.com/news/security/salesforce-investigates-customer-data-theft-via-gainsight-breach/
- https://securityaffairs.com/184896/hacking/salesforce-alerts-users-to-potential-data-exposure-via-gainsight-oauth-apps.html
- https://techcrunch.com/2025/11/21/crowdstrike-fires-suspicious-insider-who-passed-information-to-hackers/
- https://www.bleepingcomputer.com/news/security/crowdstrike-catches-insider-feeding-information-to-hackers/
[10]
- https://www.trendmicro.com/en_us/research/25/k/shai-hulud-2-0-targets-cloud-and-developer-systems.html
- https://www.trendmicro.com/content/dam/trendmicro/global/en/research/25/k/shai-hulud-2/Shai-hulud-2-ioc.txt
[11]
