Histoire en vedette

Des pirates ont exploité les failles de Citrix et de Cisco ISE dans des attaques de type « zero-day ».

Résumé

Il a été signalé qu’un acteur de menace avancée a exploité les vulnérabilités critiques « Citrix Bleed 2 » (CVE-2025-5777) dans NetScaler ADC et Gateway, et CVE-2025-20337 affectant Cisco Identity Services Engine (ISE) en tant que zero-days pour déployer des logiciels malveillants personnalisés.

Une enquête plus approfondie menée par Amazon Threat Intelligence a révélé et partagé avec Cisco une charge utile anormale ciblant un point de terminaison précédemment non documenté dans Cisco ISE qui utilisait une logique de désérialisation vulnérable.

L’interpréteur de commandes Web s’est enregistré en tant qu’auditeur HTTP pour intercepter toutes les demandes et a utilisé la réflexion Java pour s’injecter dans les threads du serveur Tomcat. Il utilisait également le chiffrement DES avec un codage base64 non standard pour la furtivité, nécessitait la connaissance d’en-têtes HTTP spécifiques pour y accéder et ne laissait que des traces minimales sur le plan médico-légal.

Analyse de notre équipe SOCCesattaques montrent que les acteurs avancés ciblent de plus en plus les appareils périphériques avec des logiciels malveillants furtifs. Les entreprises doivent donc vérifier de toute urgence les correctifs, restreindre l’accès aux appareils réseau et surveiller les activités HTTP ou de désérialisation anormales.

Autres nouvelles

Un outil d’hameçonnage utilise des redirections intelligentes pour contourner la détection

Résumé

Un nouvel outil de phishing ciblant les utilisateurs de Microsoft 365 utilise des charges utiles « Quantum Route Redirect » fournies par des hyperliens de phishing qui « peuvent automatiquement différencier les outils de sécurité ou les personnes grâce à un système de redirection intelligent ».

Les chercheurs ont observé que le système de redirection permet aux attaquants de contourner plusieurs couches de sécurité.

Analyse de notre équipe SOCIlest essentiel que les entreprises surveillent les comportements de redirection anormaux, car les attaquants utilisent désormais des chaînes de redirection dynamiques pour contourner les passerelles de messagerie sécurisées. Bien que la sensibilisation des utilisateurs reste essentielle, ces liens peuvent sembler légitimes à première vue.

La CISA demande aux autorités fédérales d’appliquer des correctifs aux failles de Cisco activement exploitées

Résumé

La CISA a lancé un avertissement aux agences fédérales américaines afin qu’elles mettent en œuvre des correctifs complets pour deux vulnérabilités dans les dispositifs Cisco Adaptive Security Appliances (ASA) et Firepower. Ces vulnérabilités font actuellement l’objet d’une exploitation active et sont répertoriées sous les noms de CVE-2025-20362 et CVE-2025-20333.

Ces failles permettent à des acteurs de la menace à distance d’accéder à des points d’extrémité URL restreints sans authentification et d’exécuter du code sur des dispositifs de pare-feu Cisco vulnérables.

Cisco avait déjà publié des correctifs pour ces failles en septembre, mais certaines agences ne les ont pas encore mis en œuvre correctement, laissant les appareils vulnérables exposés aux attaques en cours.

Analyse de notre équipe SOCCesvulnérabilités, qui sont activement exploitées, démontrent que les périphériques sont des cibles de choix. Par conséquent, les entreprises doivent vérifier de toute urgence les correctifs et surveiller les accès ou le trafic inhabituels sur les appliances ASA/Firepower.

La campagne Safeonweb contre la fraude à l’investissement connaît un grand succès

Résumé

Le Centre pour la cybersécurité en Belgique (CCB) a indiqué que sa campagne nationale de sensibilisation contre la fraude à l’investissement en ligne, menée via Safeonweb, remporte un vif succès.

La campagne a permis de toucher près de 70 % des Belges de plus de 18 ans (soit plus de 6,3 millions de personnes) par le biais de la télévision et des canaux en ligne.

Malgré le succès de la campagne, le CCB note que « la fraude à l’investissement reste une menace très réelle. Les escroqueries se diversifient, utilisent de nouvelles technologies et ciblent des publics plus larges ».

Analyse de notre équipe SOCMalgréune sensibilisation accrue, les escroqueries à l’investissement continuent de représenter un point d’entrée important pour les attaques d’ingénierie sociale. Les organisations doivent donc renforcer la formation au phishing et surveiller le comportement des utilisateurs compromis.