Histoire en vedette

Près de 50 000 pare-feu Cisco vulnérables à des failles activement exploitées

Résumé

Près de 50 000 instances Cisco ASA/FTD vulnérables à deux bogues activement exploités par des attaquants « avancés » restent exposées à l’internet.

Les vulnérabilités en question sont CVE-2025-20333 (9.9) et CVE-2025-20362 (6.5), qui affectent les dispositifs Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD) de Cisco.

Les attaques réussies sont très probablement lancées par les auteurs de la campagne ArcaneDoor, qui avait déjà ciblé les mêmes produits Cisco en 2024.

Les attaquants déploient des logiciels malveillants appelés RayInitiator et Line Viper, RayInitiator étant un bootkit conçu pour garantir un accès permanent aux appareils.

Analyse de notre équipe SOC : Cet incident nous rappelle qu’il est nécessaire de maintenir des cycles de correctifs réguliers pour les périphériques du réseau. Les équipes doivent vérifier leur inventaire Cisco ASA et FTD par rapport aux versions concernées et s’assurer que les correctifs sont appliqués conformément à leur processus standard de gestion des vulnérabilités. Pour les appareils qui approchent de la fin de vie ou qui l’ont dépassée, c’est une bonne occasion de revoir les calendriers de rafraîchissement du matériel et de donner la priorité à la planification du remplacement lorsque l’assistance du fournisseur n’est plus disponible.

Autres nouvelles

Des pirates exploitent les routeurs Milesight pour envoyer des SMS d’hameçonnage à des utilisateurs européens

Résumé

Des acteurs inconnus utilisent des routeurs cellulaires industriels Milesight pour envoyer des messages SMS dans le cadre d’une campagne de smishing ciblant les utilisateurs des pays européens depuis au moins février 2022. Les campagnes visent principalement la Suède, l’Italie et la Belgique en utilisant des URL typosquattées qui usurpent l’identité de plateformes gouvernementales telles que CSAM et eBox, ainsi que de fournisseurs de services bancaires, postaux et de télécommunication.

Sur les 18 000 routeurs accessibles sur l’internet public, 572 sont potentiellement vulnérables parce qu’ils exposent des API de boîte de réception/de sortie.

Les attaquants exploitent CVE-2023-43261, une faille de divulgation d’informations désormais corrigée, et certains routeurs exposent des fonctions liées aux SMS sans exiger d’authentification.

Les URL de phishing contiennent du JavaScript qui vérifie la présence d’appareils mobiles avant de diffuser un contenu malveillant invitant les utilisateurs à mettre à jour leurs informations bancaires.

Analyse de notre équipe SOC : Cette campagne met en évidence l’importance de la formation de sensibilisation à la sécurité pour les utilisateurs finaux, en particulier en ce qui concerne les attaques de phishing par SMS. Les organisations belges devraient renforcer les messages destinés à leurs employés afin qu’ils vérifient les communications SMS inattendues, en particulier celles qui prétendent provenir d’agences gouvernementales telles que l’eBox ou d’institutions financières.

Des pirates liés à la Chine exploitent une nouvelle faille VMware depuis octobre 2024

Résumé

Une faille de sécurité récemment corrigée affectant Broadcom VMware Tools et VMware Aria Operations a été exploitée dans la nature en tant que zero-day depuis la mi-octobre 2024 par un acteur de la menace lié à la Chine et appelé UNC5174.

Il s’agit de la vulnérabilité CVE-2025-41244 (score CVSS : 7.8), un bogue local d’élévation de privilèges affectant les plateformes VMware Cloud Foundation, VMware vSphere Foundation, VMware Aria Operations, VMware Tools et VMware Telco Cloud.

Un acteur local malveillant disposant de privilèges non administratifs et ayant accès à une machine virtuelle sur laquelle VMware Tools est installé peut exploiter cette vulnérabilité pour élever ses privilèges jusqu’à la position de super-utilisateur sur la même machine virtuelle.

En cas de succès, l’exploitation permet à des utilisateurs non privilégiés d’exécuter du code dans des contextes privilégiés.

Analyse de notre équipe SOC : Cette exploitation de type « zero-day » souligne la nécessité de déployer rapidement des correctifs dans l’ensemble de l’infrastructure de virtualisation. Les organisations qui utilisent les produits VMware concernés doivent appliquer en priorité les correctifs disponibles.

Attention aux escroqueries par hameçonnage concernant votre facture d’énergie

Résumé

Maintenant qu’il fait plus froid et que nous remettons le chauffage en marche, les escrocs saisissent leur chance : ils tentent d’attirer votre attention avec de prétendues réductions sur votre facture d’énergie, des granulés de bois bon marché, etc.

Un exemple récent contient de nombreuses fautes d’orthographe et a été signalé près de 2 000 fois cette semaine via suspicious@safeonweb.be.

Safeonweb.be vous conseille de ne pas cliquer sur les liens contenus dans les messages suspects, de ne pas ouvrir les pièces jointes et de ne pas télécharger les applications qui vous sont demandées.

Si vous avez cliqué sur un lien, ne remplissez pas les champs et mettez fin à toute interaction, et ne donnez jamais de codes personnels. Si vous avez saisi un mot de passe que vous utilisez également ailleurs, changez-le immédiatement.

Analyse de notre équipe SOC : Nous aimerions également insister sur les conseils décrits dans l’article. Ne cliquez jamais sur un lien et accédez vous-même au site officiel.

Les messages suspects peuvent être transférés à l’une des trois adresses électroniques de Safeonweb.

Notre SOC est également disponible pour vous aider en cas de doutes ou de suspicions concernant des messages textuels ou électroniques.