⚡ Weekly Recap: Firewall Exploits, AI Data Theft, Android Hacks, APT Attacks, Insider Leaks & More

Menace Numérique Hebdomadaire : Vulnérabilités d’Équipements Réseau et Exploitation de Logiciels Courants

Les récentes cybermenaces démontrent une évolution des tactiques des attaquants, qui ciblent désormais les outils quotidiens comme les pare-feu et les extensions de navigateur. L’exploitation de failles dans des produits de sécurité réseau de marques telles que Fortinet, SonicWall, Cisco et WatchGuard a été signalée. Des acteurs de menace avancés, notamment liés à la Chine, exploitent ces vulnérabilités pour déployer des logiciels malveillants.

Parmi les nouvelles préoccupations, une extension Chrome populaire a été découverte en train de collecter discrètement les conversations des utilisateurs avec des intelligences artificielles. Parallèlement, des groupes de menace comme Ink Dragon et LongNosedGoblin ciblent les entités gouvernementales avec des attaques sophistiquées utilisant des outils comme ShadowPad et le déploiement de malwares via les stratégies de groupe. Le paysage des menaces mobiles est également touché, avec la botnet Kimwolf ciblant les téléviseurs Android et Kimsuky distribuant un nouveau malware Android, DocSwap, via des codes QR.

Points Clés :

• Exploitation des Équipements Réseau : Les pare-feu et appliances périmétriques sont des cibles privilégiées, offrant aux attaquants une visibilité profonde sur les réseaux.
• Vol de Données IA : Des extensions de navigateur collectent les interactions des utilisateurs avec les chatbots IA.
• Campagnes APT : Des groupes étatiques ciblent les gouvernements avec des malwares sophistiqués et des techniques d’évasion avancées.
• Menaces Mobiles : Les téléviseurs Android et les appareils mobiles sont visés par des botnets et des malwares de collecte de données.
• Recrutement d’Initiés : Les cybercriminels proposent des rémunérations importantes pour recruter des employés disposant d’un accès interne.
• Vieux Logiciels Embarqués : Les navigateurs obsolètes dans les appareils connectés représentent un risque de sécurité significatif.
• Accélération par les LLM : L’intelligence artificielle semble accélérer le cycle de vie des rançongiciels, améliorant la rapidité, le volume et la portée multilingue des attaques.

Vulnérabilités Identifiées (avec CVE si disponibles) :

• Fortinet, SonicWall, Cisco, WatchGuard : Diverses vulnérabilités exploitées, y compris CVE-2025-20393 (Cisco AsyncOS), CVE-2025-40602 (SonicWall SMA 100 Series).
• Extensions Chrome/Edge (Urban VPN Proxy, etc.) : Collecte de données sur les conversations IA (pas de CVE spécifique mentionné pour cette fonctionnalité, mais elle est considérée comme une violation de la vie privée).
• UEFI : CVE-2025-11901, CVE-2025-14302, CVE-2025-14303, CVE-2025-14304 (contournement de la protection DMA au démarrage).
• HPE OneView Software : CVE-2025-37164.
• ASUS Live Update : CVE-2025-59374.
• Plesk : CVE-2025-66430 (escalade de privilèges).
• NVIDIA Merlin Transformers4Rec et NVTabular : CVE-2025-33213, CVE-2025-33214.
• Apache StreamPark : CVE-2025-54947.
• pgAdmin : CVE-2025-13780.
• JumpCloud Agent : CVE-2025-34352 (escalade de privilèges).
• ConnectWise ScreenConnect : CVE-2025-14265.
• Siemens Gridscale X Prepay : CVE-2025-40806, CVE-2025-40807.
• NVIDIA Isaac Lab : CVE-2025-32210.
• Motors WordPress theme : CVE-2025-64374 (téléchargement arbitraire de fichiers).
• Microsoft Windows Admin Center : CVE-2025-64669.
• Apache Commons Text : CVE-2025-46295.
• systeminformation : CVE-2025-68154.
• FreeBSD : CVE-2025-14558.
• Roundcube Webmail : Vulnérabilités de type cross-site scripting et divulgation d’informations (pas de CVE spécifiques mentionnés).
• Anno 1404 : Multiples vulnérabilités permettant l’exécution de code arbitraire en mode multijoueur.

Recommandations :

• Mises à Jour Immédiates : Appliquer rapidement les correctifs pour les équipements réseau et les logiciels concernés, en particulier ceux ayant des CVE critiques.
• Vigilance sur les Logiciels Courants : Vérifier la sécurité des extensions de navigateur, des applications mobiles et des logiciels embarqués.
• Stratégies de Défense : Mettre en place des mesures de sécurité robustes, y compris la segmentation réseau et le principe du moindre privilège.
• Surveillance et Détection : Surveiller activement le trafic réseau et les journaux d’événements pour détecter les activités suspectes.
• Sensibilisation des Utilisateurs : Former le personnel aux risques de phishing, de smishing et aux dangers des codes QR malveillants.
• Gestion des Composants Obsolètes : Évaluer et remplacer les appareils ou logiciels utilisant des versions obsolètes qui ne peuvent pas être mises à jour.
• Surveillance du Dark Web : Surveiller les forums du dark web pour détecter toute mention d’organisation ou de données volées afin d’identifier les risques d’attaques d’initiés.
• Adoption de Protocoles de Sécurité : Envisager l’implémentation de Zero Trust et l’utilisation de l’IA pour détecter les menaces sophistiquées.

Source