Nouvelles vulnérabilités ICS et informatiques suivies par Cyble cette semaine

Nouvelles vulnérabilités ICS et informatiques suivies par Cyble cette semaine

Written by on in Cybersecurité

Semaine de la vulnérabilité : Cyble suit les nouvelles menaces ICS, les jours zéro et l'exploitation active

CRIL rapporte les vulnérabilités informatiques de cette semaine, mettant en évidence les failles Zero Day, les exploits actifs et les menaces tendances dans les réseaux informatiques et industriels.

Les rapports de la semaine dernière de Cyble Research & Intelligence Labs (CRIL) aux clients ont mis en évidence de nouvelles failles du 3 au 9 décembre 2025, notamment des vulnérabilités informatiques récemment révélées, des vulnérabilités ICS, des tentatives d'exploitation actives et des discussions sur le dark web sur les CVE militarisés. S'appuyant sur les alertes de CISA, le réseau mondial de capteurs du CRIL et la plateforme d'intelligence des vulnérabilités de Cyble, les résultats décrivent des cycles de publication rapides de PoC, une exploitation automatisée persistante et des attaques ciblées contre les infrastructures critiques.

L'infrastructure de chasse aux menaces du CRIL déployée dans plusieurs régions continue d'enregistrer les activités malveillantes en temps réel, notamment les tentatives d'exploitation, les intrusions par force brute, les injections de logiciels malveillants et les attaques à motivation financière. Au cours de la période considérée, il y a eu une augmentation constante des campagnes menées par des botnets et de l'exploitation opportuniste d'appareils industriels mal configurés et exposés à Internet.

Plus généralement, le reporting hebdomadaire du CRIL révèle une forte augmentation des vulnérabilités nouvellement révélées. Le module Vulnerability Intelligence (VI) a identifié 1 378 vulnérabilités cette semaine, dont plus de 131 avec des PoC accessibles au public et trois nouveaux zéro jours.

Principales vulnérabilités informatiques de la semaine

L'analyse hebdomadaire des renseignements sur les vulnérabilités du CRIL a révélé plusieurs problèmes à fort impact affectant les technologies d'entreprise, les écosystèmes logiciels et les applications connectées à Internet. Les principaux fournisseurs signalant des vulnérabilités importantes comprenaient les distributions Linux, Google, Microsoft, Siemens et Nextcloud.

Un sous-ensemble de vulnérabilités critiques a attiré l’attention de la communauté et de l’industrie :

  • CVE-2025-67494 : Une faille critique de falsification de requête côté serveur (SSRF) dans ZITADEL, permettant une rotation non autorisée du réseau et une exposition des données.
  • CVE-2025-66516 : Une grave vulnérabilité d'entité externe XML (XXE) dans Apache Tika affecte des modules tels que tika-core, tika-pdf-module et tika-parsers.

Ces vulnérabilités informatiques présentent un risque direct pour les organisations en raison de leur potentiel à permettre un accès non autorisé, le vol de données et l'exécution de code à distance. Parmi toutes les divulgations, CRIL a identifié 68 vulnérabilités critiques sous CVSS v3.1 et 23 jugées critiques sous CVSS v4.0, ce qui en fait une autre semaine de forte activité dans les tendances de divulgation de vulnérabilités.

Nouvelles vulnérabilités ICS et informatiques suivies par Cyble cette semaine

CISA : Catalogue des vulnérabilités exploitées connues (KEV)

Entre le 3 et le 9 décembre 2025, CISA a ajouté six nouvelles vulnérabilités exploitées à son catalogue CVE.

Les ajouts notables incluent :

  • CVE-2025-6218 : Une faille de traversée de répertoire dans RARLAB WinRAR permet l'exécution de code à distance (RCE).
  • CVE-2025-55182 : Un RCE de pré-authentification critique dans React Server Components (RSC) qui exploite la désérialisation non sécurisée dans le protocole « Flight ».

L'exploitation du CVE-2025-55182 a commencé vers le 8 décembre, en employant des charges utiles qui s'écartaient de la PoC publiée publiquement par les chercheurs le 4 décembre. Les techniques variantes suggèrent une adaptation rapide de la part des attaquants après leur divulgation.

Vulnérabilités notables discutées dans les communautés Open Source

CRIL a identifié plusieurs vulnérabilités tendances qui ont attiré l'attention dans les forums de recherche et de sécurité open source.

Les principales discussions comprenaient :

  • CVE-2025-62221 : Une vulnérabilité d’élévation de privilèges d’utilisation après libération dans le pilote Windows Cloud File Minifilter. Un attaquant local pourrait obtenir des privilèges au niveau du SYSTÈME et l'échec pourrait être enchaîné avec des exploits de phishing ou de navigateur pour compromettre complètement l'hôte.
  • CVE-2025-10573 : Une vulnérabilité critique Stored XSS dans Ivanti Endpoint Manager permet à des attaquants distants non authentifiés d'intégrer du JavaScript malveillant qui s'exécute lorsqu'un administrateur consulte le tableau de bord.

Des vulnérabilités en discussion sur le Dark Web

La surveillance du dark web du CRIL a identifié plusieurs vulnérabilités discutées, échangées ou activement utilisées par les acteurs de la menace :

  • CVE-2025-6440 : Une vulnérabilité critique de téléchargement de fichiers arbitraires dans le plugin WooCommerce Designer Pro pour WordPress (également distribué avec le thème Pricom Printing Company & Design Services). Permet le téléchargement de fichiers non authentifiés et l'exécution de code à distance via des shells Web PHP malveillants.
  • CVE-2025-55182 : Également connu sous le nom de « React2Shell » ou « React4Shell », activement utilisé comme arme dans les forums clandestins. La faille affecte le protocole Server Components Flight de React 19 et les frameworks comme Next.js.
  • CVE-2025-66516 : Une grave vulnérabilité XXE dans Apache Tika. L'administrateur de la chaîne Telegram « Proxy Bar » a diffusé du matériel d'exploitation démontrant comment des fichiers PDF malveillants contenant des formulaires XFA intégrés pouvaient aboutir à une lecture arbitraire de fichiers, à un SSRF, à un déni de service et, dans certains cas, à l'exécution de code à distance.

Le calendrier des renseignements sur les vulnérabilités du CRIL note :

CVE Produit Version CVE Capture de données numériques preuve de concept
CVE-2025-6440 Concepteur WooCommerce Pro 24 octobre 2025 3 décembre 2025 Ouais
CVE-2025-55182 composants du serveur de réaction 3 décembre 2025 5 décembre 2025 Ouais
CVE-2025-66516 Modules Apache Tika 4 décembre 2025 8 décembre 2025 Ouais

Principales vulnérabilités ICS suivies cette semaine

Le CRIL a mis en évidence plusieurs vulnérabilités ICS affectant les fournisseurs industriels dans les installations commerciales, énergétiques et manufacturières.

Les problèmes clés comprenaient :

  • Sunbird – DCIM dcTrack et Power IQ (≤ 9.2.0) : Contournement de l'authentification et vulnérabilités des informations d'identification chiffrées (CVSS 6.5 et 6.7), mettant en danger les accès non autorisés et les informations d'identification.
  • Johnson Controls OpenBlue Workplace (2025.1.2 et versions antérieures) : Une vulnérabilité de navigation forcée CVSS 9.3 permet un accès non autorisé à des opérations sensibles dans des environnements d'infrastructure critiques.

Dans le paysage ICS, la majorité des vulnérabilités étaient de gravité moyenne, tandis que les installations commerciales, la fabrication critique et les secteurs de l'énergie représentaient 43 % du total des incidents. Les questions multisectorielles, notamment l'informatique, le gouvernement, la santé et les transports, représentaient 29 % supplémentaires.

Recommandations et mesures d'atténuation

Le rapport du CRIL rappelle les étapes essentielles d’atténuation :

  • Appliquez rapidement tous les correctifs des fournisseurs, en particulier pour les vulnérabilités répertoriées dans le catalogue KEV.
  • Mettez en œuvre un programme structuré de gestion des correctifs qui couvre les tests, le déploiement et la vérification.
  • Segmentez les réseaux pour isoler les systèmes critiques et réduire les mouvements latéraux.
  • Mettez en œuvre une surveillance et une journalisation complètes avec la corrélation SIEM.
  • Suivez les alertes des fournisseurs, des CERT et des autorités gouvernementales.
  • Effectuer des exercices VAPT de routine et des audits de sécurité.
  • Maintenir la visibilité des actifs internes et externes.
  • Appliquez des politiques de mot de passe strictes, remplacez toutes les informations d’identification par défaut et adoptez la MFA dans tous les environnements.

Conclusion

Le large éventail de vulnérabilités identifiées cette semaine met en évidence le paysage croissant des menaces auxquelles sont confrontés les environnements industriels et opérationnels. Les équipes de sécurité doivent agir rapidement et se concentrer sur la gestion des vulnérabilités basée sur les risques pour protéger les systèmes critiques.

Des pratiques clés telles que la segmentation du réseau, la restriction des actifs exposés, l'application des principes Zero Trust, le maintien de sauvegardes résilientes, le renforcement des configurations et la surveillance continue restent essentielles pour réduire la surface d'attaque et améliorer la préparation à la réponse aux incidents.

Les solutions de gestion de la surface d'attaque Cyble peuvent soutenir ces efforts en détectant les expositions dans les environnements réseau et cloud, en priorisant les mesures correctives et en fournissant des indicateurs précoces de cyberattaques potentielles. Pour voir comment Cyble peut renforcer votre posture de sécurité industrielle, demandez une démo dès aujourd'hui.

Source link