Alertes De Sécurité

Le Centre canadien pour la cybersécurité (Alerte AL25-020, 22 décembre 2025) publie une alerte sur une vulnérabilité critique affectant WatchGuard Fireware OS, en lien avec le bulletin du fournisseur du 18 décembre 2025 et son propre bulletin AV25-850 du 19 décembre 2025. 🚨 Description et impact La vulnérabilité CVE-2025-14733 est une écriture hors limite (CWE-787) dans le processus iked (Internet Key Exchange Daemon) utilisé par les connexions VPN IKEv2. Elle pourrait permettre à un attaquant éloigné et non authentifié d’exécuter du code arbitraire sur des dispositifs WatchGuard Firebox vulnérables. Sont concernés les VPN utilisateur mobile IKEv2 et les VPN de bureau local (BOVPN) IKEv2 lorsque un homologue passerelle dynamique est activé ou l’a déjà été. ⚠️ Exploitation ...

Selon une publication du OFCS suisse du 23 décembre 2025, des escrocs exploitent la période de Noël 🎄 pour se présenter comme des aides auprès de victimes de fraudes à l’investissement en ligne. Arnaques à la récupération : quand le miracle de Noël se transforme en cauchemar 23.12.2025 – Noël est traditionnellement une période d’espoir et de recueillement. C’est précisément sur ces émotions que misent les escrocs, en prétendant venir en aide à des victimes de fraudes à l’investissement en ligne. Leur promesse : l’argent perdu aurait refait surface. La réalité est tout autre. ...

Selon BleepingComputer, plusieurs utilisateurs de l’extension Chrome Trust Wallet signalent que leurs portefeuilles de cryptomonnaies ont été vidés après l’installation d’une mise à jour compromise publiée le 24 décembre, déclenchant une réponse urgente de l’éditeur et des avertissements aux personnes affectées. Les faits rapportés indiquent que l’attaque touche l’extension Chrome Trust Wallet, dont une version compromise a été diffusée via une mise à jour. Suite à son installation, des victimes ont constaté le drainage de fonds de leurs portefeuilles. ...

Selon BleepingComputer, MongoDB a émis une alerte pressant les administrateurs IT d’appliquer sans délai les correctifs pour une vulnérabilité classée à haute gravité. ⚠️ L’éditeur met en garde contre une vulnérabilité de lecture de mémoire de gravité élevée, qui pourrait être exploitée à distance par des attaquants non authentifiés. Alerte sécurité : vulnérabilité critique MongoDB (CVE-2025-14847) Détails de la vulnérabilité Identifiant : CVE-2025-14847 Vecteur d’attaque : Non authentifié, faible complexité, aucune interaction utilisateur requise Cause : Mauvaise gestion d’une incohérence de paramètres de longueur dans l’implémentation zlib côté serveur Impact : Exécution de code arbitraire Fuite de mémoire (heap non initialisé) Prise de contrôle potentielle du serveur MongoDB Selon MongoDB : ...

Selon BleepingComputer, un domaine typosquatté usurpant l’outil Microsoft Activation Scripts (MAS) a servi à propager des scripts PowerShell malveillants qui installent le chargeur Cosmali sur des systèmes Windows. Faits essentiels: Type d’attaque: typosquatting et usurpation d’outil légitime (MAS) 🪪 Vecteur/chaîne d’infection: scripts PowerShell malveillants exécutés depuis le faux site 🧩 Cible/impact: systèmes Windows infectés par Cosmali Loader (malware/loader) 🐛 Une campagne de typosquatting ciblant les utilisateurs de Microsoft Activation Scripts (MAS) a été utilisée pour diffuser un malware nommé Cosmali Loader via des scripts PowerShell malveillants. ...

Selon BleepingComputer, une campagne automatisée cible plusieurs plateformes VPN, avec des attaques basées sur les identifiants observées contre Palo Alto Networks GlobalProtect et Cisco SSL VPN. Une campagne automatisée de credential stuffing à grande échelle cible actuellement plusieurs solutions VPN d’entreprise, notamment Palo Alto Networks GlobalProtect et Cisco SSL VPN. Les attaques reposent sur des tentatives d’authentification massives utilisant des identifiants réutilisés ou faibles, sans exploitation de vulnérabilité logicielle connue. ...

Selon une actualité multi-source, le gang de ransomware Clop (Cl0p) vise des serveurs Gladinet CentreStack exposés sur Internet dans le cadre d’une nouvelle campagne d’extorsion par vol de données. 🚨 Faits principaux Acteur : Clop (Cl0p) Type d’attaque : extorsion par vol de données (data theft extortion) Cible : serveurs Gladinet CentreStack exposés sur Internet Impact visé : exfiltration de fichiers et pression d’extorsion 1) Contexte Le groupe de ransomware Clop (Cl0p) lance une nouvelle campagne d’extorsion ciblant les serveurs Gladinet CentreStack exposés sur Internet. CentreStack est une solution de partage de fichiers permettant aux entreprises d’accéder à des serveurs internes via navigateur, applications mobiles ou lecteurs réseau, sans VPN. Selon Gladinet, la solution est utilisée par des milliers d’entreprises dans plus de 49 pays. 2) Nature de l’attaque Les attaquants : scannent Internet à la recherche de serveurs CentreStack accessibles publiquement compromettent les systèmes déposent des notes de rançon L’objectif principal semble être le vol de données suivi d’extorsion, et non le chiffrement classique. 3) Vulnérabilité exploitée : inconnue À ce stade : aucun CVE n’a été identifié il est inconnu s’il s’agit : d’un zero-day ou d’une faille déjà corrigée mais non patchée Gladinet a publié plusieurs correctifs depuis avril, certains pour des failles zero-day déjà exploitées dans le passé. 4) Surface d’attaque et exposition Selon Curated Intelligence : au moins 200 adresses IP uniques exposent une interface web identifiable comme “CentreStack – Login” Ces systèmes constituent des cibles potentielles immédiates pour Clop. « Incident Responders […] ont rencontré une nouvelle campagne d’extorsion CLOP ciblant des serveurs CentreStack exposés sur Internet. » — Curated Intelligence ...

TechCrunch relaie que Cisco a confirmé l’exploitation active d’une vulnérabilité zero‑day (CVE‑2025‑20393) visant certains de ses produits email, par un groupe de hackers soutenus par l’État chinois, avec une campagne en cours depuis fin novembre 2025 selon Talos. 🚨 Nature de l’attaque et vulnérabilité: des acteurs étatiques chinois exploitent une zero‑day (CVE‑2025‑20393) affectant les Cisco Secure Email Gateway et Secure Email and Web Manager. La campagne est ciblée, et en cours « au moins depuis fin novembre 2025 ». ...

Selon un article signé Zeljka Zorz relayant les analyses de Cisco Talos, une campagne active depuis fin novembre 2025 vise des appliances e‑mail Cisco au moyen d’une faille zero‑day non corrigée. Les attaquants exploitent CVE‑2025‑20393 (mauvaise validation des entrées) permettant une exécution de commandes en root sans authentification sur les OS des appliances affectées. Les cibles sont les Cisco Secure Email Gateway (physiques/virtuelles) et Cisco Secure Email and Web Manager (physiques/virtuelles) lorsque la fonction Spam Quarantine est exposée à Internet. Cisco a découvert l’activité le 10 décembre via un cas TAC et note que les configurations non standard sont celles observées comme compromises. 🚨 ...

Selon l’extrait fourni, des acteurs malveillants exploitent des failles critiques dans plusieurs produits Fortinet afin d’obtenir un accès non autorisé aux comptes administrateur et de dérober des fichiers de configuration système. 🚨 Des hackers mènent une exploitation active de vulnérabilités critiques touchant plusieurs produits Fortinet. L’objectif principal est l’accès non autorisé à des comptes administrateur et le vol de fichiers de configuration. 1) Fait principal Des hackers exploitent activement deux vulnérabilités critiques affectant plusieurs produits Fortinet. Objectif : obtenir un accès administrateur et exfiltrer les fichiers de configuration système. Les attaques sont observées depuis le 12 décembre, soit quelques jours après l’alerte officielle de Fortinet (9 décembre). 2) Vulnérabilités exploitées 🔴 CVE-2025-59718 Type : contournement d’authentification FortiCloud SSO Produits affectés : FortiOS FortiProxy FortiSwitchManager Cause : mauvaise vérification cryptographique des signatures SAML Impact : connexion possible sans authentification valide via une assertion SAML malveillante 🔴 CVE-2025-59719 Type : contournement d’authentification FortiCloud SSO Produit affecté : FortiWeb Cause : faille similaire dans la validation des signatures SAML Impact : accès administrateur non authentifié via SSO forgé 📌 Les deux failles ne sont exploitables que si FortiCloud SSO est activé ⚠️ Cette option n’est pas activée par défaut, mais elle l’est automatiquement lors de l’enregistrement via FortiCare, sauf désactivation explicite. ...