Flaw RCE critique dans Apache Tomcat : une menace active à ne pas ignorer - Actus du 17/03/2025
Découvrez comment les dernières mises à jour Windows désinstallent le copilote, l'exploit critique RCE dans Apache Tomcat, et les failles de caméra Edimax alimentant le botnet Mirai. Soyez informé des menaces actuelles et protégez vos systèmes dès aujourd'hui !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Microsoft: les mises à jour de Windows de mars désinstallent à tort le copilote
Microsoft a annoncé que les mises à jour cumulatives de Windows de mars 2025 ont, par erreur, désinstallé l'assistant numérique Copilot alimenté par l'IA sur certains systèmes Windows 10 et 11. Ce problème a été signalé dans des documents de support mis à jour après la publication des mises à jour de sécurité du Patch Tuesday. Les mises à jour concernées sont KB5053598 pour Windows 24H2 et KB5053606 pour Windows 10 22H2, publiées le 11 mars. Microsoft a reconnu que l'application Copilot était désinstallée et retirée de la barre des tâches, mais a précisé que cela ne concernait pas l'application Microsoft 365 Copilot. La raison de cette désinstallation n'a pas encore été expliquée, et le problème n'a pas été ajouté au tableau de santé des versions de Windows. En attendant une solution, Microsoft recommande aux utilisateurs affectés de réinstaller l'application depuis le Microsoft Store et de la réépingler manuellement. Ce n'est pas la première fois que Microsoft rencontre des problèmes avec Copilot, ayant déjà dû retirer une application similaire en juin 2024. Parallèlement, la société a annoncé le déploiement d'une nouvelle application Copilot pour les Windows Insiders.
Sources :
Flaw RCE critique dans Apache Tomcat activement exploité dans les attaques
Une vulnérabilité critique d'exécution de code à distance (RCE) dans Apache Tomcat, identifiée comme CVE-2025-24813, est actuellement exploitée par des attaquants, leur permettant de prendre le contrôle des serveurs via une simple requête PUT. Des chercheurs en sécurité de Wallarm ont confirmé que des exploits de preuve de concept ont été publiés sur GitHub seulement 30 heures après la divulgation de la faille. L'attaque repose sur l'envoi d'une requête PUT contenant un payload Java sérialisé encodé en base64, qui est ensuite désérialisé et exécuté par Tomcat, sans nécessiter d'authentification. Cette vulnérabilité affecte plusieurs versions d'Apache Tomcat, et Apache a recommandé aux utilisateurs de mettre à jour vers des versions corrigées. Les conditions d'exploitation incluent l'activation des écritures pour le servlet par défaut et le support des requêtes PUT partielles. Wallarm met en garde contre le fait que cette vulnérabilité pourrait en engendrer d'autres, car les attaquants pourraient bientôt modifier leurs tactiques pour télécharger des fichiers JSP malveillants et installer des portes dérobées. Les utilisateurs sont encouragés à adopter des configurations plus sécurisées pour atténuer le risque.
Sources :
Une défaut de caméra Edimax non corrigé exploite pour les attaques de botnet Mirai depuis l'année dernière
Une vulnérabilité non corrigée affectant la caméra réseau Edimax IC-7100, identifiée comme CVE-2025-1316 (score CVSS v4 : 9.3), est exploitée par des acteurs malveillants pour diffuser des variantes de malware du botnet Mirai depuis mai 2024. Cette faille critique permet une injection de commandes du système d'exploitation, permettant l'exécution de code à distance via une requête spécialement conçue. Selon Akamai, la première tentative d'exploitation remonte à mai 2024, bien qu'un exploit de preuve de concept soit disponible depuis juin 2023. Les attaques ciblent le point de terminaison /camera-cgi/admin/param.cgi, utilisant des identifiants par défaut (admin:1234) pour accéder aux dispositifs. Au moins deux variantes du botnet Mirai exploitent cette vulnérabilité, l'une d'elles intégrant des fonctionnalités anti-debugging. L'objectif est de rassembler les appareils infectés en un réseau capable de mener des attaques par déni de service distribué (DDoS). Edimax a indiqué que cette vulnérabilité concerne des appareils anciens, sans support actif, et qu'aucun correctif n'est prévu. Les utilisateurs sont conseillés de mettre à niveau leurs appareils ou de sécuriser leur accès. Akamai souligne que cibler des dispositifs mal sécurisés reste une méthode efficace pour constituer un botnet.
Sources :
Les cybercriminels exploitent CSS pour échapper aux filtres de spam et suivre les actions des utilisateurs de messagerie
Des acteurs malveillants exploitent les feuilles de style en cascade (CSS) pour contourner les filtres anti-spam et suivre les actions des utilisateurs, selon des recherches de Cisco Talos. Ces activités peuvent compromettre la sécurité et la vie privée des victimes. Omid Mirzaei, chercheur chez Talos, souligne que les fonctionnalités CSS permettent aux attaquants de suivre les préférences des utilisateurs, même si certaines fonctionnalités dynamiques comme JavaScript sont limitées dans les clients de messagerie. Les analyses révèlent une augmentation des menaces par email utilisant des techniques de masquage de texte pour contourner les filtres de sécurité. Les attaquants utilisent des propriétés CSS telles que text-indent et opacity pour dissimuler du contenu non pertinent dans les emails, avec pour objectif parfois de rediriger les destinataires vers des pages de phishing. De plus, CSS permet de surveiller le comportement des utilisateurs via des emails indésirables en intégrant des propriétés comme la règle @media, ouvrant la voie à des attaques de fingerprinting. Pour atténuer ces risques, il est conseillé de mettre en place des mécanismes de filtrage avancés pour détecter le masquage de texte et d'utiliser des proxies de confidentialité pour les emails.
Sources :
⚡ Recaps hebdomadaire thn: hacks de routeurs, attaques PYPI, nouveau décrypteur de ransomware, et plus
Des groupes de menaces avancées exploitent du matériel obsolète et abusent d'outils légitimes pour commettre des fraudes financières, tout en contournant les défenses de sécurité. Cependant, les forces de l'ordre intensifient leurs efforts contre les réseaux cybercriminels, avec des figures clés du ransomware faisant face à des extraditions. Une campagne en cours depuis décembre 2024 touche plusieurs régions, dont l'Amérique du Nord et l'Europe. Bien que la Chine ait nié toute implication dans les attaques Volt Typhoon, les agences américaines affirment que ces acteurs cherchent à s'implanter sur des réseaux informatiques pour des cyberattaques potentielles contre les infrastructures critiques des États-Unis. Des recherches ont révélé des "backdoors" dans des dispositifs comme l'ESP32, permettant des attaques d'imitation. Le NCSC souligne que certains cyberattaques doivent être signalées, notamment celles menaçant des infrastructures critiques. Des préoccupations de sécurité émergent également concernant les inexactitudes dans l'émulation des instructions CPU, qui pourraient masquer des vulnérabilités. Pour contrer ces menaces, des solutions d'accès sécurisées et des stratégies de prévention proactive sont recommandées, incluant l'utilisation de Microsoft Sysmon pour une détection précoce des actions malveillantes.
Sources :
Piratage de billets de la tournée Eras de Taylor Swift : 600 000 € détournés
Un réseau de cybercriminalité a été démantelé à New York, impliquant le vol de billets de concert de Taylor Swift, avec un profit illégal de plus de 600 000 dollars. Tyrone Rose, 20 ans, et Shamara Simmons, 31 ans, sont accusés d'avoir exploité une faille dans le système de StubHub, où ils travaillaient pour un sous-traitant en Jamaïque. Entre juin 2022 et juillet 2023, ils ont intercepté des liens de téléchargement de billets destinés à des acheteurs légitimes, redirigeant ces liens vers leurs adresses e-mail. Les billets, principalement pour la tournée Eras de Taylor Swift, ainsi que pour d'autres concerts et événements sportifs, ont été revendus sur StubHub, générant environ 635 000 dollars de bénéfices. Près de 993 billets issus de 350 commandes ont été compromis. Les employés impliqués ont été licenciés après la découverte de la fraude. Rose et Simmons font face à des accusations de vol qualifié et de piratage informatique, avec des peines potentielles de trois à quinze ans de prison. L'enquête se poursuit pour déterminer d'éventuelles complicités au sein de StubHub ou de SGS. Ce cas souligne la vulnérabilité des plateformes de billetterie face à la cybercriminalité.
Sources :
SANS Institute met en garde contre les nouvelles attaques de ransomwares natifs du nuage
Le dernier rapport de Palo Alto Networks, le Cloud Threat Report de Unit 42, révèle que 66 % des buckets de stockage cloud contiennent des données sensibles, exposées aux attaques par ransomware. Le SANS Institute souligne que ces attaques exploitent les contrôles de sécurité et les paramètres par défaut des fournisseurs de cloud. Brandon Evans, consultant en sécurité, met en garde contre l'utilisation abusive des fonctionnalités de sécurité légitimes des clouds, citant des exemples d'attaques sur Amazon S3. Pour contrer ces menaces, SANS recommande aux organisations de bien comprendre les limites des contrôles de sécurité cloud, de bloquer les méthodes de chiffrement non prises en charge, et d'activer les sauvegardes, la version des objets et le verrouillage des objets. Ces mesures, bien que non activées par défaut, peuvent améliorer la récupération des données après une attaque. De plus, il est crucial d'équilibrer sécurité et coûts via des politiques de cycle de vie des données, car les attaquants peuvent également en tirer parti. Pour approfondir le sujet, les intéressés peuvent consulter le webinaire de Brandon, "The Cloud Won't Save You from Ransomware", ou suivre son cours sur les contrôles de sécurité cloud.
Sources :
DEFNET 2025 : Les cybercombattants français à l’épreuve du combat de haute intensité
Du 17 au 28 mars 2025, les armées françaises participeront à l'exercice interarmées DEFNET, centré sur le combat cyber de haute intensité, sous l'égide du Commandement de la cyberdéfense (COMCYBER). Cet exercice, qui mobilise les cybercombattants de toutes les branches des forces armées, vise à tester leurs capacités de défense face à des scénarios réalistes de guerre hybride. Les participants devront faire face à des attaques informatiques simulées en temps réel, englobant la lutte informatique défensive (LID) pour protéger les systèmes et la lutte informatique d’influence (L2I) pour contrer la désinformation. DEFNET 2025 se déroule principalement à Rennes, où se situe le COMCYBER, et inclut un média day le 25 mars pour permettre aux journalistes d'observer les réactions des cybercombattants. Cet exercice est crucial dans le contexte géopolitique actuel, où les menaces cyber augmentent, et il vise à renforcer la coopération entre les différentes composantes de la défense, à adapter les stratégies de protection et à évaluer la résilience des infrastructures militaires. En somme, DEFNET 2025 est un élément clé de la stratégie de la France pour améliorer sa posture de cyberdéfense face à des menaces croissantes.
Sources :
Le compromis d'action GitHub met en danger les secrets CI / CD dans plus de 23 000 référentiels
Des chercheurs en cybersécurité ont alerté sur une compromission de l'action GitHub tj-actions/changed-files, utilisée dans plus de 23 000 dépôts pour suivre les fichiers modifiés. Cet incident, identifié par le CVE CVE-2025-30066 (score CVSS : 8.6), a eu lieu avant le 14 mars 2025. Les attaquants ont modifié le code de l'action et mis à jour rétroactivement plusieurs balises de version pour référencer un commit malveillant, permettant l'impression de secrets CI/CD dans les journaux de construction. Cela pourrait exposer des informations sensibles, telles que des clés d'accès AWS et des jetons d'accès personnels GitHub, si les journaux sont accessibles publiquement. Bien qu'aucune preuve n'indique que les secrets aient été siphonnés vers une infrastructure contrôlée par les attaquants, le code malveillant exécutait un script Python hébergé sur un GitHub gist, désormais supprimé. Les mainteneurs ont révoqué le jeton d'accès personnel compromis et mis à jour les mesures de sécurité. Les utilisateurs sont conseillés de mettre à jour vers la version 46.0.1 et de vérifier les workflows exécutés entre le 14 et le 15 mars. Cet incident souligne la vulnérabilité des logiciels open-source face aux risques de chaîne d'approvisionnement.
Sources :
Investigation d'entreprise avec Belkasoft X: un outil de criminalistique numérique révolutionnant l'analyse des données
Dans un environnement commercial en constante évolution, l'investigation d'entreprise est essentielle pour maintenir l'intégrité et la sécurité. Face à la montée de la cybercriminalité et des menaces internes, les organisations ont besoin d'outils performants pour analyser efficacement les preuves numériques. Belkasoft X se présente comme une solution innovante, permettant aux enquêteurs de découvrir des vérités cachées au sein de vastes ensembles de données. Cet article examine comment Belkasoft X transforme les enquêtes d'entreprise grâce à ses capacités d'extraction, d'analyse et de reporting de données inégalées. Le logiciel prend en charge plus de 1 000 formats de fichiers, garantissant qu'aucune preuve ne soit négligée. Il s'intègre facilement aux flux de travail existants et détecte automatiquement les fichiers supprimés et le contenu chiffré. En utilisant des algorithmes d'apprentissage automatique, il aide à prioriser les artefacts importants. Belkasoft X est particulièrement utile dans des cas tels que le vol de propriété intellectuelle et les enquêtes sur la fraude. En surmontant des défis comme les fichiers chiffrés et les données corrompues, il s'adapte à des équipes de toutes tailles. En intégrant l'IA générative et l'analyse des portefeuilles cryptographiques, Belkasoft X révolutionne la découverte et l'analyse des preuves.
Sources :
European Cyber Report 2025: 137% de plus d'attaques DDOS que l'an dernier - ce que les entreprises doivent savoir
Le rapport européen sur la cybersécurité de Link11, publié le 17 mars 2025, révèle une augmentation alarmante des attaques DDoS, qui ont plus que doublé par rapport à l'année précédente, atteignant un pic de 1,4 Tbps. Ces attaques sont désormais plus courtes, ciblées et techniquement sophistiquées, avec deux tiers d'entre elles culminant en seulement 10 à 60 secondes. Les entreprises qui ne mettent pas à jour leurs stratégies de sécurité risquent des pertes financières importantes et des dommages à leur réputation. Le Baromètre des Risques Allianz 2025 souligne que la transformation numérique, bien qu'elle offre des opportunités, élargit également la surface d'attaque pour les cybermenaces. Un exemple récent d'attaque multi-vecteurs a mis à l'épreuve la résilience des organisations, combinant des techniques de couches 3/4 et 7, ce qui a submergé les défenses conventionnelles. Face à cette menace croissante, les entreprises se tournent vers des systèmes de sécurité basés sur l'IA pour une détection en temps réel et une protection adaptative. La nécessité d'une stratégie de sécurité holistique, intégrant des solutions avancées de mitigation DDoS et une surveillance continue, est plus pressante que jamais.
Sources :
Les faux problèmes "d'alerte de sécurité" sur GitHub utilisent l'application OAuth pour détourner les comptes
Une campagne de phishing massive a ciblé près de 12 000 dépôts GitHub avec de fausses alertes de sécurité, incitant les développeurs à autoriser une application OAuth malveillante. Ces alertes, prétendant détecter une activité inhabituelle sur les comptes des utilisateurs, contenaient un message standard indiquant une tentative de connexion suspecte depuis Reykjavik, Islande. Le chercheur en cybersécurité Luc4m a été le premier à signaler cette alerte trompeuse, qui conseillait aux utilisateurs de changer leur mot de passe et d'activer l'authentification à deux facteurs. Cependant, tous les liens redirigeaient vers une page d'autorisation pour l'application "gitsecurityapp", demandant des permissions risquées, telles que l'accès complet aux dépôts et aux profils utilisateurs. Si un utilisateur autorisait cette application, un jeton d'accès serait généré, permettant aux attaquants de prendre le contrôle total de son compte. La campagne a débuté le matin du 16 mars 2025 et est toujours en cours. Les utilisateurs affectés doivent immédiatement révoquer l'accès à cette application malveillante via les paramètres de GitHub et vérifier les actions GitHub inattendues. GitHub a été contacté pour des commentaires sur cette situation.
