Histoire en vedette

Des APTs liés à la Chine exploitent la CVE-2025-31324 de SAP pour violer 581 systèmes critiques dans le monde entier

Les groupes APT UNC5221, UNC5174 et CL-STA-0048, associés à la Chine, ont exploité CVE-2025-31324 – un RCE de téléchargement de fichiers non authentifié dans SAP NetWeaver – pour infiltrer des infrastructures critiques dans le monde entier. Au total, 581 instances NetWeaver auraient été piratées avec des shells web, et 800 domaines sont suspectés d’être ciblés à l’avenir. Au cours de l’enquête, un deuxième jour zéro (CVE-2025-42999) a été découvert et corrigé via les notes SAP 3594142 et 3604119. Il est fortement recommandé d’appliquer des correctifs de toute urgence.

Analyse du SOC : Cette campagne souligne le besoin critique de patcher rapidement les systèmes d’entreprise tels que SAP NetWeaver. Avec l’exploitation active par de multiples APT, l’application immédiate des notes de sécurité de SAP d’avril 2025 – ainsi que la segmentation et la surveillance vigilante – est impérative. La coordination des informations sur les menaces et la collaboration restent essentielles pour atténuer les risques actuels.

Autres histoires

Vulnérabilités EPMM d’Ivanti exploitées dans la nature (CVE-2025-4427, CVE-2025-4428)

Les acteurs de la menace ont exploité un contournement d’authentification (CVE-2025-4427) et un RCE (CVE-2025-4428) dans les produits Ivanti EPMM sur site. Ces zero-days n’ont affecté qu’un petit sous-ensemble de clients, mais le CERT-EU a confirmé une exploitation active. Les versions corrigées (11.12.0.5, 12.3.0.2, 12.4.0.2, 12.5.0.1) sont disponibles.

Analyse SOC : Ivanti EPMM reste vulnérable aux zero-days à fort impact. L’application des versions corrigées doit être une priorité. Pour les environnements incapables d’appliquer les correctifs immédiatement, reportez-vous aux conseils officiels d’Ivanti en matière d’atténuation et mettez en œuvre des solutions de contournement en guise de palliatif.

Traquer les bogues : La base de données européenne sur les vulnérabilités est en ligne

L’ENISA a lancé la base de données européenne sur les vulnérabilités (EUVD), qui offre un portail unifié d’informations sur les vulnérabilités des logiciels et du matériel. Elle regroupe les données des fournisseurs, des CSIRT et du programme CVE et fournit des tableaux de bord sur les vulnérabilités critiques et exploitées. Cette décision fait suite aux inquiétudes concernant la stabilité du financement du programme CVE.

Analyse SOC : L’EUVD renforce la résilience du suivi des vulnérabilités au niveau mondial en ajoutant de la redondance au système CVE. Les équipes de sécurité devraient évaluer comment l’intégration de l’EUVD peut compléter leurs flux de travail existants sur les vulnérabilités afin d’assurer une surveillance et une réponse plus robustes.

Attention : Courriels d’hameçonnage au nom de l’Agentschap Wegen & Verkeer

De faux courriels usurpant l’identité de l’Agence flamande des routes et de la circulation mettent en garde contre une prétendue facture de taxe routière et contiennent un lien permettant de consulter le document. En cliquant sur le lien, vous risquez d’être victime d’une fraude. En cas de doute, les utilisateurs sont invités à se rendre directement sur le site officiel https://www.burgerprofiel.be/.

Analyse SOC : Évitez toujours de cliquer sur les liens contenus dans les courriels suspects, même s’ils prétendent contenir des communications officielles. Naviguez manuellement sur les sites web. Transférez tout message suspect à Safeonweb :
verdacht@safeonweb.be, suspect@safeonweb.be, ou suspicious@safeonweb.be. Notre équipe SOC est prête à vous aider à effectuer des vérifications.