Résumé de la semaine #52 (du 22 au 26 décembre 2025)

Chaque semaine, les consultants de notre service de veille, synthétisent et analysent les faits marquants de la semaine écoulée.

Ce résumé vous est partagé par le CERT-XMCO dans le cadre de son service de Veille en Vulnérabilités, Yuno. Demandez une démonstration.

CORRECTIFS

Cette semaine, le CERT-XMCO recommande en priorité l’application des correctifs publiés par IBM
pour Qradar [1], par MongoDB [2] et par FreeBSD [3]. Ces correctifs remédient à des dommages
allant du déni de service à la prise de contrôle du système.

CODES D’EXPLOITATION

Cette semaine, un code d’exploitation a été publié. Un correctif est disponible.

Prise de contrôle du système via une vulnérabilité au sein de FreeBSD (FreeBSD-SA-25:12.rtsold) [4]

Un code d’exploitation tirant parti de la vulnérabilité référencée CVE-2025-14558 et affectant FreeBSD a été publié. L’exploitation de cette faille permet à un attaquant de prendre le contrôle du système. En exploitant ce programme, un attaquant, présent sur le même segment réseau, peut exécuter des commandes à distance sur un système FreeBSD vulnérable. Ce PoC tire parti d’une faiblesse dans le traitement des options DNSSL par rtsold. Ce dernier traite les options DNSSL des annonces de routeur sans valider correctement les noms de domaine. Cela permet à un attaquant d’injecter des commandes malveillantes via des substitutions $() dans les noms de domaine, ensuite passé au script resolvconf. Comme ce script utilise une expansion de variables non sécurisée, l’attaquant peut injecter une commande malveillante, entraînant une exécution de code à distance sur la machine vulnérable. Le CERT-XMCO recommande l’installation des versions suivantes de FreeBSD : stable/15/, releng/15.0/, stable/14/, releng/14.3/, stable/13/, releng/13.5/. Les systèmes vulnérables peuvent être mis à jour vers ces versions avec l’utilitaire freebsd-update.

INFORMATIONS

Vulnérabilités exploitées

Une vulnérabilité critique affectant la plateforme n8n permettrait d’exécuter du code arbitraire (CVE-2025-68613) [5]

Le 23 décembre 2025, les journalistes de Security Affairs ont publié un article portant sur l’identification récente d’une vulnérabilité critique affectant la plateforme d’automatisation de workflows n8n. Référencée CVE-2025-68613, cette vulnérabilité dispose d’un score de criticité CVSS de 9,9 et résulte d’un contrôle inadéquat des ressources de code gérées dynamiquement (CWE-913). Lorsque certaines conditions sont réunies, un attaquant distant authentifié pouvait l’exploiter afin d’exécuter du code arbitraire. À ce jour, aucune preuve d’exploitation malveillante n’a été documentée publiquement.

France

Attaque massive par déni de service distribué ciblant le groupe français La Poste [6]

Le 22 décembre 2025, les infrastructures de La Poste ont subi une cyberattaque par déni de service distribué, rendant inaccessibles de nombreux services en ligne, dont La Banque Postale, Colissimo et Digiposte. Le trafic malveillant a visé les points d’exposition Internet du groupe, saturant le réseau sans toucher les systèmes internes ni les données clients selon les premières analyses officielles. Malgré cette situation, les opérations de paiement, les retraits et la distribution physique de courrier et de colis ont continué à fonctionner via des canaux séparés, dans un mode de fonctionnement dégradé.

Les groupes hacktivistes pro-russes NoName057(16) et Server Killers revendiquent de multiples attaques DDoS contre la France [7]

Le 23 décembre 2025, les groupes hacktivistes pro-russes NoName057(16) et Server Killers ont revendiqué une campagne d’attaques par déni de service distribué (DDoS) contre les sites web de multiples entités publiques et privées françaises. Ces opérations d’influence, qui pourraient s’inscrire dans la continuité des perturbations subies par La Poste, seraient opérées par les cybercriminels en réponse à « la russophobie des autorités françaises » (cf. CXN-2025-7479). Ce mode opératoire a été régulièrement utilisé en 2025 par les collectifs hacktivistes cherchant à promouvoir leurs opinions politiques (cf. CXN-2025-5146, CXN-2025-7029).

---

Références portail XMCO

[1]

• https://www.ibm.com/support/pages/node/7255495

[2]

• https://jira.mongodb.org/browse/SERVER-115508

[3]

• https://www.freebsd.org/security/advisories/FreeBSD-SA-25:12.rtsold.asc

[4]

• https://www.exploit-db.com/exploits/52463

[5]

• https://github.com/n8n-io/n8n/security/advisories/GHSA-v98v-ff95-f3cp
• https://securityaffairs.com/186036/hacking/critical-n8n-flaw-could-enable-arbitrary-code-execution.html
• https://censys.com/advisory/cve-2025-68613

[6]

• https://www.ouest-france.fr/economie/entreprises/la-poste/le-groupe-la-poste-victime-dune-cyberattaque-rendant-ses-services-inaccessibles-que-sest-il-passe-9542a550-df42-11f0-ae25-7dba037201f1
• https://www.leparisien.fr/high-tech/la-poste-la-cyberattaque-a-baisse-en-intensite-mais-se-poursuit-selon-le-ministre-de-leconomie-23-12-2025-6AWULZXW6JEBLNMVNU7OBYNPQQ.php
• https://www.franceinfo.fr/internet/securite-sur-internet/cyberattaques/la-cyberattaque-de-la-poste-a-baisse-en-intensite-mais-se-poursuit-affirme-le-ministre-de-l-econoie-alors-que-les-services-en-ligne-sont-toujours-inaccessibles_7697725.html

[7]

• https://x.com/FalconFeedsio/status/2003777437726097840
• https://x.com/FalconFeedsio/status/2003582361766887742
• https://x.com/FalconFeedsio/status/2003449578167894213
• https://social.circl.lu/@NoName57Bot