- Erreur 403
- Posts
- Erreur 403 | #17
Erreur 403 | #17
Panorama cybermenaces 2024, vulnérabilités majeures Apache Camel et Tomcat, attaques sur GitHub Action, Google rachète Wiz pour 32M$, hausse des attaques SSRF, mises à jour urgentes sur GitLab et Juniper recommandées.
Bastien Cacace
March 20, 2025
Sommaire
Infos
L’ANSSI présente un état des lieux annuel des cybermenaces, couvrant les événements marquants de 2024. Trois principales menaces : cybercriminalité, acteurs liés à la Chine et à la Russie. L’année a été marquée par les Jeux Olympiques et Paralympiques de Paris 2024, qui ont attiré des cyberattaques ciblées, mais sans réels grands impacts.
Le FBI, la CISA et le MS-ISAC alertent sur le ransomware Medusa, une variante RaaS identifiée depuis 2021. Visant divers secteurs critiques (santé, éducation, technologie, etc.), Medusa utilise la double extorsion : chiffrement et menace de divulgation de données volées. L'accès initial est souvent obtenu via phishing ou via des vulnérabilités non corrigées. La malware a fait plus de 300 victimes à ce jour. L’advisory est disponible ici.
Depuis le 27 février, Harvest éditeur de logiciels à destination des gestionnaires de patrimoine, fait face à une cyberattaque. Après une communication chaotique et une paralysie chez les clients, la société a remis en route progressivement certains services et écarte l'idée d'une fuite de données.
Une vulnérabilité critique, surnommée SAMLStorm, affecte les bibliothèques xml-crypto et plusieurs implémentations SAML en Node.js. Cette vulnérabilité (CVE-2025-29774 & CVE-2025-29775 / CVSS 9.3) pourrait permettre des prises de contrôle de comptes administrateurs sans interaction utilisateur.
GreyNoise a détecté une vague coordonnée d'exploitations SSRF le 9 mars 2025, impliquant environ 400 IPs ciblant de CVEs multiples. Les vulnérabilités identifiées concernent des solutions variées, telles que Zimbra Collaboration Suite, GitLab CE/EE, VMware Workspace ONE UEM, ColumbiaSoft DocumentLocator, et Ivanti Connect Secure.
Des chercheurs de Microsoft ont révélé une faille majeure dans les systèmes d'IA, appelée Context Compliance Attack (CCA). Cette attaque permet de contourner les mécanismes de sécurité des modèles d'intelligence artificielle. En manipulant subtilement l’historique des conversations, l’attaque CCA fait produire aux modèles des réponses normalement restreintes.
Une campagne de phishing cible près de 12 000 dépôts GitHub. Les attaquants usurpent des "alertes de sécurité" pour inciter les développeurs à autoriser une application OAuth malveillante, "gitsecurityapp", leur offrant un accès complet aux comptes et dépôts.
Une attaque sur la populaire GitHub Action “tj-actions/changed-files”, utilisée dans plus de 23 000 dépôts, a entraîné une fuite de secrets CI/CD sensibles (clés AWS, PATs, tokens npm, etc.). Assignée CVE-2025-30066 (CVSS 8.6), l'attaque impliquait un code Python malveillant inséré dans des versions modifiées. Bien qu'aucune exfiltration confirmée n’ait été trouvée, les utilisateurs doivent impérativement mettre à jour vers la version 46.0.1 et vérifier les logs récents. Une analyse plus approfondie est disponible ici.
Le secteur des télécommunications européen est sous une menace croissante de cyberespionnage, selon un rapport de SAMSIK (Autorité de Protection Civile danoise). Le niveau de menace a été relevé à "Élevé", pointant notamment des activités d'États comme la Chine, la Russie et l'Iran.
Depuis mi-2024, le groupe d’attaquants chinois UNC3886 exploite la faille CVE-2025-21590 sur Junos OS pour déployer des portes dérobées sur des routeurs Juniper non à jour, souvent en fin de vie.
Une faille dans le ransomware Akira a été exploitée par le blogueur Tinyhack, permettant de contourner son chiffrement grâce à une méthode de brute-force GPU. Avec 16 cartes graphiques RTX 4090, les fichiers chiffrés peuvent être récupérés en 10 heures environ.
Le groupe nord-coréen Lazarus continue ses activités malveillantes en infiltrant le registre npm avec six nouveaux paquets contenant le malware BeaverTail. Ces paquets, téléchargés plus de 330 fois, visent à voler des données sensibles, y compris des identifiants et des portefeuilles cryptographiques. GitHub a supprimé les paquets npm concernés.
Vulnérabilités
Dix vulnérabilités critiques dont celles du Patch Tuesday de Microsoft de la semaine dernières, activement exploitées. Le bulletin met également en avant les vulnérabilités critiques affectant Ivanti EPM datant de janvier dernier qui sont exploitées.
Le 9 mars 2025, une vulnérabilité critique (CVE-2025-27636) a été identifiée dans Apache Camel, un framework Java largement utilisé, permettant une exécution de code à distance. Exploitable facilement, cette faille résulte d’un filtrage incorrect des en-têtes de requêtes et a conduit à une autre vulnérabilité connexe (CVE-2025-29891) détectée ensuite.
GitLab a publié des correctifs pour ses éditions CE et EE, corrigeant neuf vulnérabilités, dont deux failles critiques (CVE-2025-25291 et CVE-2025-25292 / CVSS 8.8) dans la bibliothèque ruby-saml. Ces dernières permettent à un attaquant authentifié de compromettre des comptes utilisateurs via le SAML SSO.
Une vulnérabilité de type RCE (CVE-2025-24813) affecte Apache Tomcat et est activement exploitée. Avec une simple requête PUT, des attaquants peuvent déposer un fichier Java malveillant, déclenché ensuite via un cookie JSESSIONID par une requête GET. Un PoC a été publié 30 après sa divulgation. Autre source.
Articles
Les fiches réflexes de l’InterCERT
Ces fiches réflexe sont issues de la coopération et du partage d’expérience de plusieurs CERTs. Elles ont pour objectif d’être un outil efficace lors des premières étapes de gestion de l’incident en cours, en proposant des actions concrètes pour débuter le processus de remédiation.
Chiffrement ou effacement en cours : Qualification / Endiguement
Compromission d’un compte de messagerie : Qualification / Endiguement
Compromission système : Qualification / Endiguement
Défacement de site web : Qualification / Endiguement
Déni de service réseau : Qualification / Endiguement
Dans son dernier article, le chercheur présente une méthode innovante utilisant des erreurs pour l'exfiltration de données via des injections NoSQL. L'approche exploite les messages d'erreur générés par le serveur en combinant des payloads tels que throw new Error(JSON.stringify(this)) pour révéler les documents et champs cachés.
L’article revient sur les trois récentes vulnérabilités VMware ESXi (CVE-2025-22224, CVE-2025-22225, CVE-2025-22226) dans VMware ESXi permettent un échappement de l’hyperviseur, donnant aux attaquants un accès total au serveur ESX, y compris aux configurations et stockages. Ces failles, déjà exploitées activement, exposent les environnements de virtualisation à des attaques critiques, particulièrement pour les hébergeurs et clouds privés.
Une nouvelle méthode exploitant la fonctionnalité de "bootstrap" de VS Code permet à des acteurs malveillants d’installer discrètement des extensions malveillantes sans déclencher les avertissements habituels.
Shadow Repeater est une extension pour Burp Suite Professional qui améliore les tests manuels de sécurité. Alimenté par l'IA, cet outil identifie des variantes dans vos requêtes et détecte des vulnérabilités qui peuvent être manquées, comme les chemins d'accès dangereux ou des exploits XSS moins répandus.
Une récente analyse met en lumière une vulnérabilité dans Azure similaire à celle déjà observée sur AWS : les attaques par "confusion d'images". Ces attaques se produisent lorsque des attaquants créent des images cloud malveillantes qui imitent des images légitimes et apparaissent dans les recherches d'utilisateurs, en exploitant des critères de recherche insuffisamment précis, tels que des noms partiels. Les conséquences incluent des risques, comme l'exécution de code à distance ou l'exfiltration de données.
AMSI (Anti-Malware Scan Interface) de Windows protège contre les scripts malveillants via l'analyse de mémoire. Toutefois, des méthodes de contournement existent, comme l'obfuscation de mots-clés, l'encodage ou le patching d’AMSI.dll en mémoire visant les fonctions clés comme AmsiScanBuffer(). La prévention passe par : activer le Script Block Logging, limiter les commandes autorisées avec Just Enough Administration, ou désactiver PowerShell version 2.
AnyDesk, un outil légitime de gestion à distance, est largement exploité par les acteurs malveillants pour persister et se déplacer latéralement dans les systèmes. Grâce à sa capacité à fonctionner en « mode portable » sans installation et à sa compatibilité avec le tunneling TCP, AnyDesk facilite les actions à distance tout en contournant certaines solutions de sécurité. Ses journaux, incluant les traces de connexion, transferts de fichiers et événements réseau, offrent des indices intéressants pour détecter et enquêter sur les attaques.
Cette présentation met en lumière les capacités forensiques des outils d'Apple Intelligence, tels que Genmojis et Image Playground. Bien que l'analyse ne révèle rien de révolutionnaire, elle identifie des artefacts numériques potentiellement utiles pour les investigations.
Les noms des groupes d’attaquants, tels que Lazarus Group ou Fancy Bear, présentent une grande diversité en raison des conventions de nommage adoptées par différents acteurs du renseignement en cybersécurité (CrowdStrike, Mandiant, Microsoft, etc.). Chaque organisation utilise ses propres critères, souvent basés sur des thèmes comme les animaux, les événements climatiques ou des codes uniques. Cela complique le suivi des menaces pour les professionnels. Par exemple, le Lazarus Group, attribué à la Corée du Nord, est également connu sous des dizaines d'autres noms (Labyrinth Chollima, Diamond Sleet, G0032, etc.).
Outils
detection.studio est un outil pour convertir les règles de détection Sigma en langages spécifiques aux SIEM (comme Splunk SPL, Elasticsearch ES|QL, Grafana Loki, etc.), entièrement dans le navigateur.
FBI Watchdog est un outil OSINT qui surveille les changements DNS de domaines en temps réel, détectant spécifiquement les saisies par les forces de l'ordre (ns1.fbi.seized.gov et ns2.fbi.seized.gov). Il alerte les utilisateurs via Telegram et Discord et fait des captures d'écran des domaines saisis.
Liste de moteurs de recherche spécialisés OSINT (réseaux sociaux, langage spécifique, partage de fichiers, etc.)
Un BOF (Beacon Object File) CobaltStrike conçue pour extraire des chaînes de la mémoire des processus distants. Cet outil permet aux opérateurs d'extraire des chaînes ASCII et UTF-16 des processus ciblés, ce qui le rend efficace pour récupérer des tokens JWT, des identifiants et d'autres données sensibles directement depuis la mémoire.
Kubernetes History Inspector (KHI) est un outil riche de visualisation des journaux pour les clusters Kubernetes. KHI transforme d'énormes quantités de journaux en une vue chronologique interactive et complète.
Falcoctl est un outil CLI essentiel pour interagir avec l'écosystème Falco. Compatible avec diverses architectures et plateformes (Linux, MacOS), il simplifie l'installation, la recherche, la configuration et la gestion des artefacts (plugins, fichiers de règles).
Les grandes nouveautés de cette nouvelle version sont la prise en charge de BitLocker, la possibilité de fonctionner parallèlement à Cyber Triage, et des mises à jour des bibliothèques de bas niveau.
Le projet triage.zip propose une solution clé en main pour les intervenants en réponse à incident cherchant à effectuer rapidement une analyse sur des systèmes Windows compromis. Il repose sur l’utilisation de Velociraptor et s’inscrit dans une logique d’automatisation grâce à un pipeline d’intégration continue.
Le projet NullGate propose une technique pour exploiter les fonctions NTAPI avec des syscalls indirects et des obfuscations avancées.
Podcasts / Vidéos
🎬 Tesla Monitor Everything - une vidéo qui explique ce que les véhicules Tesla collectent comme données
🎬 I Want You to Hack AWS - un talk sur le pentest d’environnement AWS
🎧️ NoLimitSecu - Panorama Réglementaire (NIST2, DORA, etc.). Lien
Conférences / Salons
🗓️ CoRIIN - 1er avril 2025, Lille Grand Palais.
🗓️ Forum Incyber Europe (ex FIC) - Du 1 au 3 avril 2025, Lille Grand Palais
🗓️ Back Hat Asia - Du 1 au 4 avril à Singapour
Finances / Marché
Google va racheter Wiz pour plus de 29 milliards d’euros (32 milliards de dollars). C’est de très loin la plus importante acquisition jamais réalisée par Google et sa maison mère Alphabet, qui se renforcent dans la sécurité informatique. Google dispose d'un SIEM (Chronicle), d'un service cloud de premier ordre (GCP), de VirusTotal, et d'une entreprise de conseil/services de classe mondiale (Mandiant). Autre source.
📈 Cybereason, une plateforme de détection et de réponse aux incidents (EDR) basée aux États-Unis, a levé 120,0 millions de dollars lors d'une levée de fonds en capital-risque.
🤝 Varonis, leader de la sécurité des données, annonce l'acquisition de Cyral, une entreprise spécialisée dans la surveillance des activités des bases de données (DAM) via des technologies agentless et cloud-native.
🇫🇷 Mantra, une plateforme française de sensibilisation à la sécurité et de formation des employés, a été acquise par Cyber Guru pour un montant non divulgué.
Misc
Cet article met en avant l'incroyable capacité des modèles de langage (LLM) à décompiler, déobfusquer et transpiler du code efficacement. À l'aide de techniques spécifiques, l’auteur démontre qu'il est possible de reconstituer des structures de logiciels complexes, même protégés, en quelques heures seulement.
Le site GamONL rassemble des tas de jeux rétro jouables en ligne. Il y a une grande variété de jeux disponibles : PlayStation (Crash Bandicoot, Final Fantasy VII), N64 (Mario 64, Zelda Ocarina of Time), SEGA (Sonic, Streets of Rage), Nintendo (Super Mario Bros, Metroid), Atari, Arcade, etc.
Ce modèle open-source et multimodal semble performant pour concurrencer directement gpt-4o-mini, Haiku ou gemma 3.
Sarah Wynn-Williams, ancienne directrice de la politique publique mondiale de Facebook (Meta), publie Careless People, exposant une culture d’entreprise toxique, des allégations de harcèlement sexuel et des collaborations controversées avec la Chine. Meta a obtenu une décision d’urgence pour bloquer temporairement sa promotion, invoquant une violation d’un contrat de non-dénigrement signé par l’auteure.
Un site anonyme a publié une carte contenant les informations personnelles de propriétaires de Tesla. Dans un contexte de fortes tensions contre Elon Musk et son entreprise, la plateforme encourage même la revente des véhicules pour être retiré de la liste.
À partir du 1er septembre 2025, la Chine exigerait que tout contenu généré par intelligence artificielle (texte, image, audio, vidéo, scènes virtuelles) soit explicitement étiqueté, y compris dans ses métadonnées.
Merci de votre lecture. N'hésitez pas à transférer à un(e) ami(e) et/ou à partager sur les réseaux sociaux pour soutenir ce travail.
Bastien