Bienvenue dans votre podcast quotidien de cybersécurité.
La CISA ajoute la CVE-2025-59718 à son catalogue KEV le 16 décembre. La faille affecte FortiOS, FortiSwitchMaster, FortiProxy et FortiWeb via une vérification incorrecte de signature cryptographique dans l’authentification SAML FortiCloud SSO. Un attaquant non authentifié peut contourner l’authentification via un message SAML forgé. L’exploitation active est confirmée. La CVE-2025-59719 couvre le même problème sous-jacent. Les agences fédérales doivent appliquer les correctifs avant le 23 décembre. Aucun lien avec une campagne ransomware n’est confirmé à ce stade.
Le CERT-FR publie l’avis CERTFR-2025-AVI-1117 concernant GLPI. Deux vulnérabilités identifiées, CVE-2025-59935 et CVE-2025-64520, affectent les versions GLPI 9.1.0 à antérieures à 10.0.21. Les risques incluent injection XSS et contournement de politique de sécurité. Les correctifs sont disponibles via les advisories GitHub GHSA-62p9-prpq-j62q et GHSA-j8vv-9f8m-r7jx publiés le 16 décembre.
Cisco signale la CVE-2025-20393, zero-day critique dans AsyncOS affectant Secure Email Gateway et Secure Email and Web Manager avec Spam Quarantine exposé sur Internet dans des configurations non standard. Exploitation active depuis fin novembre attribuée au groupe chinois UAT-9686 déployant backdoors AquaShell, tunnels AquaTunnel et Chisel, et outil AquaPurge d’effacement de logs. Liens identifiés avec UNC5174 et APT41. Aucun patch disponible. Cisco recommande restriction d’accès, segmentation réseau, et reconstruction des appliances compromises comme seule option d’éradication.
SonicWall corrige la CVE-2025-40602, escalade de privilèges locale dans Appliance Management Console SMA1000. Exploitée en chaîne avec CVE-2025-23006, faille de désérialisation critique score CVSS 9.8 déjà corrigée en janvier. La combinaison permet une exécution de code root non authentifiée à distance. Découverte par Google Threat Intelligence Group. Version fixe : build 12.4.3-02856 et supérieures. Plus de 950 appliances SMA1000 restent exposées selon Shadowserver.
Enfin, Recorded Future documente une campagne de phishing soutenue menée par APT28 ciblant les utilisateurs UKR.net entre juin 2024 et avril 2025. Pages de login UKR.net hébergées sur Mocky distribuées via PDF dans des emails de phishing. Liens raccourcis via tiny.cc ou tinyurl.com avec certaines redirections via sous-domaines Blogger. Capture credentials et codes 2FA. Les attaquants ont migré vers les services proxy ngrok et Serveo suite aux takedowns d’infrastructure début 2024. Opération GRU ciblant la collecte de renseignement ukrainien dans le contexte du conflit en cours.
On ne réfléchit pas, on patch !
Sources :
CISA KEV : https://www.cisa.gov/news-events/alerts/2025/12/16/cisa-adds-one-known-exploited-vulnerability-catalog
CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1117/ Cisco AsyncOS : https://www.bleepingcomputer.com/news/security/cisco-warns-of-unpatched-asyncos-zero-day-exploited-in-attacks/
SonicWall : https://www.bleepingcomputer.com/news/security/sonicwall-warns-of-new-sma1000-zero-day-exploited-in-attacks/
APT28 : https://thehackernews.com/2025/12/apt28-targets-ukrainian-ukr-net-users.html
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com