Des chercheurs de Wiz ont découvert une faille sévère dans les instances de Redis aboutissant à l’exécution de code à distance. L’éditeur de la base de données en mémoire vient de livrer un correctif à appliquer rapidement.
A l’occasion du Pwn2own de Berlin qui s’est déroulé mai dernier, des chercheurs de Wiz (racheté par Google) ont découvert et utilisé une vulnérabilité critique pour pirater les instances Redis. Référencée CVE-2025-49844 ou identifiée sous l’appellation RediShell, la faille est un bug de corruption de mémoire « use-after-free » présent dans le code source de Redis depuis 13 ans environ.
Les experts de Wiz soulignent l’importance de cette brèche de sécurité. « Étant donné que Redis est utilisé dans près de 75 % des environnements cloud, l’impact potentiel est considérable », expliquent-ils. Tout en estimant qu’environ 60 000 instances exposées sur Internet sont vulnérables. Redis vient de corriger cette faille, ainsi que trois autres référencées CVE-2025-46817, CVE-2025-46818 et CVE-2025-46819, dans les versions 6.2.20, 7.2.11, 7.4.6, 8.0.4 et 8.2.2.
Contournement du bac à sable Lua
Pour expliquer la faille, il faut savoir qu’en plus d’être un data store, Redis sert à exécuter des scripts écrits dans le langage de programmation Lua. Cette fonctionnalité propose aux applications d’exécuter certaines de leurs logiques liées aux données directement dans la base de données. Les scripts tournent dans un bac à sable, mais la faille CVE-2025-49844 permet aux attaquants de contourner cette contrainte et d’exécuter du code arbitraire directement sur le serveur sous-jacent.
Pour cette raison, la vulnérabilité a reçu la note de gravité la plus élevée de 10 sur l’échelle CVSS. Dans le PoC démontré par Wiz, les pirates exploitent cette vulnérabilité pour lancer un shell inversé et ainsi exécuter des commandes supplémentaires. L’attaque peut conduire au vol d’identifiants dans l’environnement, en particulier des clés SSH, des jetons AWS IAM et des certificats. Elle peut également conduire au déploiement de logiciels malveillants et des mineurs de cryptomonnaies.
Une absence d’authentification très répandue
Les chercheurs pointent du doigt la façon dont les utilisateurs déploient Redis sans authentification en interne, mais aussi de manière visible sur Internet. Par exemple, ils ont noté que dans 57% des environnements cloud, Redis est mis en place sous forme d’image de conteneur et que le conteneur Redis officiel sur Docker Hub n’a pas d’authentification activée par défaut. « L’absence d’authentification combinée à l’exposition à Internet est extrêmement dangereuse, car elle donne la possibilité à n’importe qui d’interroger l’instance Redis et, plus précisément, d’envoyer des scripts Lua (qui sont activés par défaut) », ont fait remarquer les chercheurs. Ils ajoutent « les pirates peuvent donc exploiter la vulnérabilité et exécuter du code à distance (Remote Code Execution, RCE) dans l’environnement. »
Environ 300 000 instances Redis sont exposées à Internet et on estime que 60 000 d’entre elles ne disposent pas d’authentification. Beaucoup d’autres sont probablement déployées sur des réseaux internes sans renforcement supplémentaire de la sécurité, où n’importe quel hôte interne peut s’y connecter. Les serveurs Redis sont une cible courante, au même titre que d’autres technologies natives du cloud, pour les groupes qui déploient des cryptomineurs sur des serveurs. Dans le passé, d’autres vulnérabilités d’échappement du bac à sable Redis Lua, comme la vulnérabilité CVE-2022-0543 affectant spécifiquement le paquet Debian Redis, ont été exploitées par des vers diffusés par les protocoles peer-to-peer.
Des chercheurs de l’école Polytechnique de Zürich ont trouvé une technique d’attaque contre l’isolation des machines virtuelles en s’appuyant sur des failles dans les puces Intel et AMD. Elle s’appuie sur la célèbre faille Spectre.
La faille Spectre sur les processeurs Intel et AMD continue à faire parler d’elle. En effet, des chercheurs de l’ETH Zurich ont fait la démonstration d’une attaque de type Spectre-BTI (branch target injection) sur certaines puces. Baptisée VMScape, elle exploite la fonction d’exécution spéculative des CPU pour briser la couche d’isolation invité/hôte dans les environnements virtualisés, y compris les infrastructures cloud et les centres de données. La découverte a été testée…
Il vous reste 90% de l’article à lireVous devez posséder un compte pour poursuivre la lecture
Vous avez déjà un compte?
Une campagne de vol de données a été découverte par des experts de Google visant des instances de Salesforce. Les cybercriminels se sont servis d’un chatbot IA édité par un tiers.
Les spécialistes de Google Threat Intelligence Group ont publié un avis sur une opération où des cybercriminels ont réussi à obtenir des jetons OAuth à partir de Drift de Salesloft un chatbot IA édité par Salesloft. Ils ont ensuite dérobé des grands volumes de données à partir d’instances Salesforce compromises. Un autre but des pirates était de trouver et d’extraire des identifiants supplémentaires stockés dans les enregistrements Salesforce qui pourraient étendre leur accès. « Après avoir exfiltré les données, le pirate a fouillé les données à la recherche de secrets qu’il pourrait utiliser pour compromettre les environnements des victimes », a déclaré le groupe de recherche.
Il a observé que « le groupe baptisé UNC6395 ciblait des identifiants sensibles comme les clés d’accès Amazon Web Services (AWS), les mots de passe et les jetons d’accès liés à Snowflake. » Salesloft a déjà identifié et informé les clients concernés qui avaient relié leurs instances Salesforce à Drift. Même si les jetons d’authentification Salesforce de ces utilisateurs ont déjà été invalidés, ils doivent immédiatement lancer des enquêtes internes afin de déterminer quelles autres informations d’identification stockées dans leurs instances ont pu être compromises et si d’autres actifs externes ont été consultés en conséquence.
Drift supprimé d’AppExchange
OAuth offre aux applications un moyen simple de s’authentifier les unes auprès des autres, et de nombreuses plateformes tirent parti de ce mécanisme pour s’intégrer à d’autres services. Cependant, ces intégrations élargissent la surface d’attaque, et deviennent ainsi un point d’entrée potentiel supplémentaire. Salesloft a détecté l’activité non autorisée sur sa plateforme Drift le 20 août, mais l’utilisation abusive des jetons OAuth pour accéder aux données de l’éditeur s’est produite entre le 8 et le 18 août. L’équipe de réponse aux incidents Mandiant de Google a noté que le groupe UNC6395 a exporté de grands volumes de données à partir de « nombreuses instances Salesforce d’entreprise ».
La firme dirigée par Marc Benioff a indiqué que l’accès non autorisé n’était pas dû à une vulnérabilité de sa propre plateforme et a supprimé Drift de son AppExchange en attendant une enquête plus approfondie, en plus d’invalider les jetons d’accès concernés. Les attaquants ont exécuté des requêtes SOQL pour récupérer des informations associées à des objets Salesforce comme des cas (Cases), des comptes (Accounts), des utilisateurs (Users) et des opportunités (Opportunities), et pour en extraire des données, après quoi ils ont supprimé les tâches de requête. Cependant, les journaux n’ont pas été affectés, de sorte que les entreprises peuvent les consulter pour déterminer quelles requêtes ont été exécutées et quelles données les pirates ont volées.
ShinyHunter revendique l’attaque
Le rapport GTIG et les avis Salesforce comprennent des indicateurs de compromission comme les adresses IP utilisées par les attaquants et les chaînes User-Agent pour les outils qu’ils ont utilisés pour accéder aux données. Mandiant conseille aux entreprises de rechercher également dans les journaux toute activité provenant de nœuds de sortie Tor connus, en plus des adresses IP répertoriées dans les Indicateurs de compromission (Indicator of compromise, IOC), et d’ouvrir un ticket d’assistance Salesforce pour recevoir la liste complète des requêtes exécutées par les attaquants. Les entreprises doivent rechercher dans leurs propres objets Salesforce toutes les informations d’identification stockées et les renouveler, en particulier celles qui contiennent les termes AKIA (AWS), Snowflake, mot de passe, secret et clé. Les chaînes liées aux URL de connexion de l’entreprise, y compris les pages VPN et SSO, doivent aussi être recherchées.
Il est par ailleurs possible d’utiliser l’outil open source TruffleHog pour rechercher dans les données des secrets et des informations d’identification codés en dur. « Nous constatons régulièrement la compromission et l’utilisation abusive des jetons OAuth2 et des intégrations SaaS-to-SaaS », a déclaré Cory Michal, vice-président de la sécurité de l’information et de l’IT chez AppOmni. « Ils constituent depuis longtemps un angle mort connu dans la plupart des programmes de sécurité des entreprises. Ce qui m’a surpris, c’est l’ampleur et la discipline méthodique dont ont fait preuve les attaquants. Il ne s’agissait pas d’une attaque opportuniste, mais d’une opération hautement coordonnée, dont le niveau de planification et d’exécution suggère qu’il s’agit d’un adversaire soutenu par un État poursuivant une mission plus large. » BleepingComputer rapporte qu’un représentant du groupe d’extorsion ShinyHunters a revendiqué la responsabilité de l’attaque. Ce groupe opère depuis plusieurs années et il est responsable de violations signalées chez AT&T, Ticketmaster et d’autres entreprises. Il a déjà ciblé des comptes Snowflake et AWS, ainsi que des comptes Salesforce dans le cadre d’une campagne récente d’hameçonnage par téléphone, ou vishing, impliquant de faux appels d’assistance informatique.
Des centaines de serveurs sont toujours exposés à des attaques potentielles sur deux vulnérabilités critiques dans la solution N-Central de N-able. Les entreprises et les MSP sont invités à corriger les déploiements sur site.
Souvent la cible des cybercriminels, les logiciels de surveillance et de gestion à distance RMM (Remote Monitoring and Management) sont utilisés par les prestataires tiers (MSP) et les entreprises pour surveiller les postes de travail, les serveurs, les terminaux mobiles et les équipements réseau. Dans l’outil N-Central de N-able, deux failles critiques référencées CVE-2025-8875 et CVE-2025-8876. Elles ont été corrigées dans les versions N-central 2025.3.1 et 2024.6 HF2 publiées le 13 août dernier. Mais la CISA (cybersecurity and infrastructure security agency) a ajouté ces vulnérabilités à son catalogue des failles. L’agence indique qu’elles sont exploitées en tant que zero-days. « Ces vulnérabilités nécessitent une authentification pour être exploitées. Cependant, elles présentent un risque pour la sécurité des environnements N-central si elles ne sont pas corrigées », a déclaré N-able dans ses notes de mise à jour, ajoutant que les déploiements sur site nécessitaient l’application de correctifs.
Selon les statistiques de la Shadowserver Foundation, une organisation qui assure le suivi des statistiques sur les vulnérabilités en collaboration avec le gouvernement britannique, il y a encore plus de 780 serveurs N-central vulnérables exposés à Internet, d’après le nombre d’adresses IP uniques, la majorité se trouvant en Amérique du Nord (415) et en Europe (239). Parallèlement, le moteur de recherche de dispositifs connectés à Internet Shodan affiche plus de 3 000 résultats pour N-central. Le risque est particulièrement élevé, car l’outil est un produit destiné aux MSP qui l’utilisent ensuite pour gérer et surveiller les environnements de milliers de petites et moyennes entreprises. Le développeur du produit, N-able, est l’ancienne activité MSP de SolarWinds qui a été scindée en une société distincte en 2021.
Un historique d’attaques
Même si l’on ne dispose pas de beaucoup de détails sur les deux vulnérabilités, la CVE-2025-8876 est décrite comme une faille d’injection de commande due à une désinfection inadéquate des entrées utilisateur et la CVE-2025-8875 comme une vulnérabilité de désérialisation non sécurisée pouvant conduire à l’exécution de commandes. La désérialisation est le processus par lequel un langage de programmation convertit les données d’un flux d’octets utilisé pour la transmission en un format utilisable. Cette opération d’analyse des données a toujours été une source de vulnérabilités critiques d’exécution de code à distance dans de nombreuses applications. Il n’est pas certain qu’une exploitation réussie contre N-central nécessite de combiner les deux vulnérabilités. On ignore également quels privilèges existants sont nécessaires pour lancer l’exploitation. Même si elles nécessitent une authentification pour être exploitées, les deux failles ont été affectées d’un score CVSS de 9,4 sur 10, ce qui indique une sévérité importante.
Ces dernières années, plusieurs groupes de ransomware ont exploité les vulnérabilités des logiciels RMM pour cibler les MSP, car en accédant aux outils ou aux environnements MSP, ils peuvent avoir accès à des centaines, voire à des milliers de réseaux d’entreprises en aval. En 2021, le groupe de ransomware REvil a exploité une vulnérabilité zero-day dans un outil de gestion à distance utilisé, appelé Kaseya VSA, pour compromettre des entreprises et des MSP. Les groupes de cyber-espions (APT) ont également ciblé les MSP : c’est le cas par exemple de Silk Typhoon, un groupe chinois spécialisé dans les attaques de la supply chain. Microsoft a averti en mars que Silk Typhoon ciblait régulièrement les fournisseurs de services et d’infrastructures IT, les sociétés de surveillance et de gestion à distance (RMM), les fournisseurs de services gérés (MSP) et leurs filiales.
Fortinet a corrigé une vulnérabilité critique d’injection de commande dans FortiSIEM. Le fournisseur a également réparé d’autres failles dans différents produits.
Les pirates s’attaquent régulièrement aux solutions de sécurité protégeant les systèmes IT des entreprises. Fortinet est souvent pris à partie comme le montre les récentes mises à jour du fournisseur sur ses produits. En premier lieu, il a corrigé une faille critique dans FortiSIEM, une appliance qui assure la gestion des informations et des événements de sécurité. Elle analyse le trafic réseau et les journaux afin de détecter les menaces et d’intervenir en cas d’incident.
Référencée CVE-2025-25256, la vulnérabilité résulte d’une désinfection incorrecte d’éléments spéciaux dans les requêtes de commande du système d’exploitation envoyées à l’interface de ligne de commande (CLI). Outre la gravité de la faille, un exploit est disponible et donc accessible aux cybercriminels. Elle a été corrigée dans les versions 7.3.2, 7.2.6, 7.1.8, 7.0.4 et 6.7.10. FortiSIEM 7.4 n’est pas concerné, et toutes les versions antérieures à la version 6.6, y compris celle-ci, sont affectées, mais doivent migrer vers l’une des branches prises en charge, car elles ne bénéficieront pas d’un correctif. Le fournisseur conseille aux utilisateurs qui ne peuvent pas effectuer la mise à niveau de filtrer les communications sur le port 7900 utilisé par le composant phMonitor pour surveiller l’état des processus système et leur distribuer des tâches.
D’autres vulnérabilités corrigées
En parallèle de FortiSIEM, le spécialiste de la sécurité a réparé plusieurs failles. La CVE-2024-26009 provoque un contournement d’authentification de gravité élevée dans FortiOS, FortiProxy et FortiPAM. Elle ne peut être exploitée que sur les appareils gérés par une appliance FortiManager via le protocole propriétaire FGFM, et à condition que l’attaquant connaisse le numéro de série de l’appareil. Si l’exploitation réussit, les attaquants peuvent exécuter du code et des commandes arbitraires sur le système.
D’autres correctifs publiés cette semaine colmatent plusieurs brèches. Tout d’abord la faille (CVE-2024-52964) par traversée de répertoire entraîne le remplacement arbitraire de fichiers et l’exécution de commandes non autorisées. La CVE-2023-45584 engendre un problème de double libération de mémoire conduisant à l’exécution de code non autorisé. La CVE-2025 -53744 provoque une attribution incorrecte de privilèges dans Security Fabric conduisant à une élévation de privilèges, quand à la CVE-2025-25248, elle génère un dépassement d’entier conduisant à un déni de service.
Augmentation des attaques par force brute sur FortiOS
Le jour même de la publication de ces correctifs, l’entreprise de surveillance du trafic malveillant GreyNoise a signalé une augmentation significative du trafic par force brute dirigé vers les VPN SSL de Fortinet depuis le début du mois. Selon les recherches, les pics de trafic par force brute peuvent indiquer qu’une vulnérabilité est en cours d’exploration avant sa divulgation. « De tels pics précèdent souvent la divulgation de vulnérabilités affectant le même fournisseur, généralement dans un délai de six semaines », a indiqué l’entreprise dans son rapport.
« En fait, GreyNoise a constaté que les pics d’activité déclenchant cette balise précise sont étroitement liés aux vulnérabilités futures divulguées dans les produits Fortinet. » Il convient de noter que les pics observés se sont produits en deux vagues : la première a commencé le 3 août et, d’après sa signature TCP, ciblait un profil d’appareil FortiOS ; la seconde a commencé le 5 août et correspondait à une signature TCP pour le profil FortiManager – FGFM. On ignore si cette seconde vague a un rapport avec la vulnérabilité de contournement d’authentification CVE-2024-26009 de gravité élevée corrigée par Fortinet la semaine dernière.
Des chercheurs ont réussi à tromper l’assistant de codage de GitLab, alimenté par l’IA, pour qu’il affiche du contenu dangereux aux utilisateurs et laisse filtrer du code source privé en injectant des prompts cachées dans les commentaires de code, les messages de validation et les descriptions de demandes de fusion.
Des chercheurs ont découvert que Duo, l’assistant de codage de GitLab, peut analyser des invites IA malveillantes cachées dans les commentaires, le code source, les descriptions de demandes de fusion et les messages de validation des dépôts publics. Cette technique leur a permis de tromper le chatbot en suggérant des codes malveillants aux utilisateurs, de partager des liens trompeurs et d’injecter du code HTML indésirables dans les réponses, entraînant ainsi des fuites furtives de code de projets privés. « GitLab a…
Il vous reste 92% de l’article à lireVous devez posséder un compte pour poursuivre la lecture
Vous avez déjà un compte?
Présent dans de nombreux serveurs, le microcontrôleur BMC MegaRAC d’American Megatrends comprend une vulnérabilité critique. Des attaquants peuvent contourner l’authentification sur l’API de gestion Redfish et déployer des malwares ou endommager des serveurs.
Régulièrement des brèches de sécurité sont découvertes dans les BMC (baseboard management controller). Il s’agit microcontrôleur indépendant présent sur les cartes mères des serveurs qui permet une gestion de secours. Les BMC s’apparentent à de petits ordinateurs qui exécutent leur propre firmware, indépendamment de l’ordinateur principal, en l’occurrence le serveur lui-même. En l’espèce, des chercheurs ont trouvé une faille critique dans le BMC MegaRAC…
Il vous reste 94% de l’article à lireVous devez posséder un compte pour poursuivre la lecture
Vous avez déjà un compte?
Face au développement de LLMjacking, Microsoft intente un procès à des membres du gang Storm-2139. Une action pour alerter sur le phénomène couplant vol d’identifiants et piratage des services d’IA.
La meilleure défense est souvent l’attaque. Microsoft l’a bien compris concernant la sécurité de ses services d’IA en intentant un procès contre le détournement de ses modèles pour proposer du contenu violent. La cible de son courroux, un gang connu sous le nom Storm-2139 qui a utilisé des identifiants volés, ainsi que des techniques de jailbreaking de l’IA pour créer ses propres services payants. Connues sous le nom de LLMjacking, ce phénomène émerge et entraîne des coûts financiers importants pour les victimes peu méfiantes.
Identification de quatre membres de Storm-2139
« Storm-2139 est organisé en trois groupes principaux : les créateurs, les fournisseurs et les utilisateurs », ont écrit les avocats de la Digital Crimes Unit de Microsoft dans un blog. « Les créateurs ont mis au point les outils illicites qui ont permis d’abuser des services générés par l’IA. Les fournisseurs ont ensuite modifié et fourni ces outils aux utilisateurs finaux, souvent avec différents niveaux de service et de paiement. Enfin, les utilisateurs se sont servis de ces outils pour générer des contenus synthétiques violents, souvent centrés sur des célébrités et des images sexuelles. »
Microsoft a réussi à identifier quatre des dix personnes soupçonnées d’appartenir au gang Storm-2139, à savoir : Arian Yadegarnia, alias « Fiz », d’Iran ; Alan Krysiak, alias « Drago », du Royaume-Uni ; Ricky Yuen, alias « cg-dot », de Hong Kong ; et Phát Phùng Tấn, alias « Asakuri », du Viêt Nam. Cg-dot serait l’un des deux « créateurs », tandis que les trois autres seraient des « fournisseurs » de l’opération criminelle. Deux membres basés aux États-Unis, dans l’Illinois et en Floride ont également été identifiés, mais pour l’instant, Microsoft a indiqué qu’elle gardait ces identités secrètes en raison des enquêtes criminelles en cours.
Entraide entre les membres du gang
En janvier, après avoir annoncé qu’elle intentait une action en justice contre les cybercriminels qui abusent de ses services d’intelligence artificielle, Microsoft a réussi à saisir un site web opérationnel essentiel de Storm-2139. Cette saisie et les documents juridiques non scellés ont immédiatement suscité beaucoup de commentaires sur les canaux de communication utilisés par le gang, les membres et les utilisateurs spéculant sur les identités qui auraient pu être exposées. Les avocats de Microsoft ont aussi vu leurs informations personnelles et leurs photographies partagées. « En conséquence, les avocats de Microsoft ont reçu divers courriels, dont plusieurs émanant de membres présumés de Storm-2139 qui tentaient de rejeter la faute sur d’autres membres de l’opération », a déclaré l’unité de lutte contre la criminalité numérique de Microsoft.
Un coût potentiel élevé pour les entreprises
Le LLMjacking est une continuation de la pratique cybercriminelle consistant à abuser d’identifiants de comptes cloud volés pour mener diverses opérations illégales, comme le cryptojacking, lequel consiste à abuser de ressources cloud piratées pour miner de la crypto-monnaie. La différence réside dans le fait qu’un grand nombre d’appels d’API aux LLM peut rapidement engendrer des coûts considérables, les chercheurs estimant les coûts potentiels à plus de 100 000 dollars par jour lorsqu’ils interrogent des modèles avancés. En septembre dernier, l’éditeur Sysdig a signalé que le nombre de requêtes frauduleuses envoyées aux API de Bedrock d’Amazon avait été multiplié par dix et que le nombre d’adresses IP impliquées dans ces attaques avait doublé.
Le service Bedrock propose aux entreprises de déployer et d’utiliser facilement des LLM provenant de plusieurs entreprises d’IA, de les enrichir de leurs propres ensembles de données et de créer des agents et des applications autour d’eux. Le service prend en charge une longue liste d’actions API pour gérer les modèles et interagir avec eux de manière programmatique. Microsoft livre un service similaire appelé Azure AI Foundry, et Google a l’équivalent Vertex AI. Selon Sysdig, les attaquants ont d’abord abusé des identifiants AWS pour accéder aux modèles Bedrock déjà déployés par les entreprises victimes, mais l’éditeur a ensuite constaté que les attaquants tentaient d’activer et de déployer de nouveaux modèles dans les comptes compromis. Au début du mois, Sysdig a vu que des attaques de LLMjacking ciblaient le modèle DeepSeek R1 quelques jours après sa publication. L’entreprise de sécurité a également découvert plus d’une douzaine de serveurs proxy qui utilisaient des identifiants volés dans de nombreux services différents, notamment OpenAI, AWS et Azure.
Ivanti met en garde contre l’exploitation dans la nature d’une faille dans son appliance VPN SSL. Les passerelles Policy Secure et Neurons for ZTA sont également concernées.
Afin de remédier à deux vulnérabilités de corruption de la mémoire, dont l’une a déjà été exploitée dans la nature en tant que zero-day pour compromettre des terminaux, Ivanti a publié hier des correctifs pour ses appliances VPN SSL Connect Secure. La vulnérabilité exploitée, portant la référence CVE-2025-0282, est une faille de type débordement de mémoire tampon ou « Stack-based buffer overflow flaw ». Avec un score CVSS de 9,0, elle est considérée comme critique. Elle peut être exploitée sans authentification pour réaliser une exécution de code à distance et concerne les passerelles Connect Secure, Policy Secure et Neurons for ZTA (zero trust access). La seconde brèche, portant la référence CVE-2025-0283, est de même nature (débordement de tampon mémoire). Elle affecte les mêmes produits, mais nécessite une authentification pour être exploitée et ne peut conduire qu’à une escalade des privilèges. Avec un score CVSS de 7.0, elle est considérée de gravité élevée.
Des correctifs pour d’autres solutions attendus le 21 janvier
Dans son avis de sécurité, le fournisseur de solutions de gestion IT indique que la faille CVE-2025-0282 a été exploitée dans « un nombre limité d’appliances Connect Secure de clients », mais le fournisseur n’a pas encore connaissance d’une exploitation sauvage contre les passerelles Policy Secure et Neurons for ZTA. Quant à la faille CVE-2025-0283, elle a été découverte en interne lors de l’examen de la vulnérabilité CVE-2025-0282, et rien n’indique qu’elle a été exploitée. Les failles n’ont pas besoin d’être enchaînées pour qu’une attaque réussisse. Pour l’instant, les correctifs ne sont disponibles que pour Connect Secure, ceux pour Policy Secure et Neurons étant prévus pour le 21 janvier.
C’est un délai plus que suffisant pour que les correctifs fassent l’objet d’un rétro-ingénierie et que des preuves de concept soient développées et adoptées par les attaquants. Cependant, l’éditeur fait remarquer que Policy Secure n’est pas censé être exposé à Internet, ce qui réduit le risque. Le fournisseur conseille à tous les clients de s’assurer que l’appliance est configuré conformément aux recommandations officielles. Par ailleurs, les passerelles ZTA de Neurons ne peuvent pas être exploitées en production quand elles sont connectées à un contrôleur ZTA. Seules les passerelles générées et non connectées risquent d’être exploitées.
Une détection par l’outil ICT
Pour Connect Secure, l’entreprise conseille aux clients de passer à la version 22.7R2.5 et d’effectuer des analyses avec l’outil interne et externe Integrity Checker Tool (ICT), qui devrait détecter les signes de compromission. « Il est recommandé de réinitialiser les appliances dont l’analyse ICT est correcte avant de mettre la version 22.7R2.5 en production, par excès de prudence », a déclaré Ivanti. La vulnérabilité CVE-2025-0283 affecte les versions 22.x et 9.x de Connect Secure, même si la branche 9.x, arrivée en fin de vie le 31 décembre, ne recevra pas de correctif. La faille CVE-2025-0282 ne concerne que la version 22.x.
« L’activité de l’acteur de la menace a été identifiée par l’outil Integrity Checker Tool (ICT) le jour même où elle s’est produite, ce qui a permis à Ivanti de réagir efficacement et de développer rapidement un correctif », a déclaré l’entreprise dans un billet de blog. « Nous continuons à travailler en étroite collaboration avec les clients concernés, les partenaires de sécurité externes et les organismes chargés de l’application de la loi pour répondre à cette menace. Nous conseillons vivement à tous nos clients de surveiller de près leurs ICT internes et externes dans le cadre d’une approche robuste et multiniveau de la cybersécurité afin de garantir l’intégrité et la sécurité de l’ensemble de l’infrastructure du réseau. »
Mandiant et Microsoft en soutien
L’entreprise remercie Mandiant de Google et le Centre de renseignement sur les menaces de Microsoft (Microsoft Threat Intelligence Center, MSTIC) d’avoir collaboré à la réponse. Il est donc possible que des informations supplémentaires sur les attaques ayant exploité la vulnérabilité soient publiées ultérieurement par ces entreprises, comme cela s’est déjà produit par le passé. Ce n’est que la dernière des vulnérabilités affectant des produits Ivanti, exploitées dans la nature par des groupes APT au cours de l’année écoulée.
En février 2024, le gouvernement américain est allé jusqu’à ordonner aux agences de mettre hors ligne les VPN Ivanti. L’entreprise n’a pas publié les indicateurs de compromission observés pour ce dernier exploit, mais elle a précisé que ces informations seraient partagées sur demande avec les clients ayant détecté une compromission avec l’outil ICT.
Les chercheurs d’Eset ont mis en lumière le modus operandi d’un groupe APT pro-russe . Il utilise des failles critiques dans Windows et Firefox pour rediriger les victimes vers des sites web contrôlés par les cybercriminels.
Le mois dernier, un groupe allié à la Russie, a mené des opérations de cybercriminalité et d’espionnage en servant d’un exploit sans clic mêlant des failles dans l’OS Windows et le navigateur Firefox. Il a infecté plusieurs ordinateurs en Europe et en Amérique du Nord. La campagne avait pour objectif de déployer l’implant RomCom qui donne son nom au groupe APT. Ce dernier est également connu sous les appellations Storm-0978, Tropical Scorpius et UNC2596. Il est soupçonné aussi bien d’attaques opportunistes contre divers secteurs d’activité que des opérations ciblées de de collecte de renseignements, en particulier contre des entités gouvernementales ukrainiennes et des pays soutiens de l’Ukraine.
Les chercheurs d’Eset ont publié un rapport sur des campagnes RomCom contre les secteurs gouvernementaux, de la défense et de l’énergie en Ukraine, l’industrie pharmaceutique et les assurances aux Etats-Unis, des activités juridiques en Allemagne et diverses organisations gouvernementales européennes. La dernière campagne d’octobre, qui utilisait l’exploit « zero-day », semblait avoir une distribution mondiale, avec un accent particulier sur l’UE et les États-Unis. « C’est au moins la deuxième fois que RomCom est pris en flagrant délit d’exploitation d’une vulnérabilité zero-day importante dans la nature, après l’abus de la faille CVE-2023-36884 via Microsoft Word en juin 2023 », souligne les experts.
Une faille d’exécution de code à distance exploitée dans Firefox
Les dernières attaques ont été lancées via des redirections de sites Web malveillants contre les utilisateurs de Firefox ou de Tor Browser (basé sur Firefox) sur Windows. Même si l’on ne sait pas exactement comment les utilisateurs ont été dirigés vers les URL contrôlées par les attaquants, les domaines servant à l’exploit comprenaient le préfixe redir ou le suffixe red attaché à un domaine légitime vers lequel l’utilisateur était finalement redirigé. C’est le cas par exemple de correctiv.org, un site d’information allemand à but non lucratif, ou de devolutions.net, un fournisseur de solutions d’accès à distance et de gestion des mots de passe, ou encore du site connectwise.com, à la fois MSP et fournisseur de logiciels de gestion informatique.
Quand la page de redirection est visitée, un script JavaScript malveillant est exécuté et exploite une vulnérabilité de mémoire de type « use-after-free » dans la fonction d’animation des timelines de Firefox. La faille, désormais répertoriée sous la référence CVE-2024-9680, a été corrigée le 9 octobre, soit un jour après son signalement à Mozilla par les chercheurs d’Eset. Considérée comme critique avec un score CVSS de 9,8, la vulnérabilité entraîne l’exécution de code à l’intérieur du processus de contenu de Firefox, plus précisément une bibliothèque DLL malveillante dans ce cas. « Mozilla a corrigé la vulnérabilité dans Firefox 131.0.2, ESR 128.3.1 et ESR 115.16.1 le 9 octobre 2024 », indiquent les chercheurs d’Eset. « Essentiellement, les pointeurs vers les objets d’animation gérés par la timeline sont désormais implémentés via des pointeurs de comptage de référence (RefPtr), comme suggéré par le diff, ce qui empêche les animations d’être libérées, puisque AnimationTimeline::Tick détiendra toujours une référence vers elles. »
Une faille d’élévation de privilèges dans le planificateur de tâches de Windows
Le processus de contenu de Firefox est placé dans un bac à sable, avec un niveau de privilège non fiable, ce qui signifie que les attaquants ne pourraient pas exécuter de code sur le système d’exploitation sous-jacent avec la seule vulnérabilité de Firefox. Pour échapper au processus de sandbox, l’attaque RomCom a exploité une autre vulnérabilité précédemment inconnue dans le planificateur de tâches de Windows, corrigée le 12 novembre et portant désormais la référence CVE-2024-49039. « La bibliothèque utilise essentiellement un point de terminaison RPC non documenté, normalement impossible à appeler à partir d’un niveau de processus non fiable, pour lancer un processus PowerShell caché qui télécharge une deuxième étape à partir d’un serveur C&C », ont déclaré les chercheurs. En particulier, le point de terminaison RPC est utilisé pour créer une tâche planifiée nommée firefox.exe, configurée pour lancer conhost.exe en mode headless afin de masquer la fenêtre du processus enfant. Il en résulte une escalade des privilèges jusqu’à l’intégrité moyenne, ce qui permet de s’échapper du bac à sable.
Dans une seconde étape, la charge utile téléchargée par le script PowerShell est enregistrée dans le dossier %PUBLIC% sous le nom de public.exe et est exécutée deux fois, avec un délai de 10 secondes. Le rapport d’Eset comprend une liste d’indicateurs de compromission, comme des hachages de fichiers, des adresses IP et des noms de domaine frauduleux, associés à cette campagne et à l’exploit zero click. « Ce niveau de sophistication montre la volonté et les moyens de l’acteur de la menace d’obtenir ou de développer des capacités furtives », ont expliqué les chercheurs. « Eset a partagé ses résultats avec Mozilla, en suivant notre processus coordonné de divulgation des vulnérabilités peu de temps après la découverte. Mozilla a publié un billet de blog détaillant les mesures prises pour réagir à la divulgation et ils ont pu livrer un correctif dans les 25 heures, ce qui est très impressionnant par rapport aux normes de l’industrie. »