SecurityWeek publie un récapitulatif des avis Patch Tuesday d’août 2025 pour l’ICS/OT, avec des correctifs et mitigations émis par Siemens, Schneider Electric, Honeywell, Aveva, ABB et Phoenix Contact, ainsi que des avis de la CISA. Plusieurs failles sont critiques ou à haute sévérité, exposant à l’exécution de code, à l’accès non autorisé, à la fuite de données et aux DoS. • Siemens a publié 22 nouveaux avis, dont un pour la faille critique CVE-2025-40746 dans Simatic RTLS Locating Manager, exploitable par un attaquant authentifié pour une exécution de code avec privilèges Système ⚠️. Des failles à haute sévérité touchent aussi Comos (exécution de code), Siemens Engineering Platforms (exécution de code), Simcenter (crash ou exécution de code), Sinumerik (accès distant non autorisé), Ruggedcom (contournement d’authentification avec accès physique), Simatic (exécution de code), Siprotect (DoS) et Opcenter Quality (accès non autorisé). Des vulnérabilités issues de composants tiers sont également traitées (OpenSSL, Linux kernel, Wibu Systems, Nginx, Nozomi Networks, SQLite). Des correctifs existent pour beaucoup de failles, tandis que seules des mitigations ou contournements sont disponibles pour d’autres. Des problèmes de sévérité moyenne/faible sont résolus dans Simotion Scout, Siprotec 5, Simatic RTLS Locating Manager, Ruggedcom ROX II et Sicam Q. ...

Source: Lares (blog) — Dans une étude de cas de test d’intrusion en Identity & Access Management, des chercheurs montrent comment une architecture de connexion faible et l’absence de MFA ont permis un accès non autorisé à des systèmes internes et à des données sensibles. Les testeurs ont exploité un portail MDM externe qui validait les identifiants directement contre l’Active Directory interne, sans multi‑facteur. Après une authentification réussie via Microsoft Online Services, l’utilisateur était redirigé vers des systèmes CRM internes. ...

Selon PolySwarm, des chercheurs ont analysé ‘Plague’, un backdoor Linux sophistiqué qui s’intègre au flux d’authentification en se faisant passer pour un module PAM légitime, afin de fournir un accès SSH persistant et un contournement de l’authentification. L’échantillon se présente comme libselinux.so.8 et persiste discrètement avec très peu de traces forensiques tout en survivant aux mises à jour système. Le malware exploite des mots de passe statiques pour une entrée clandestine (ex. ‘Mvi4Odm6tld7’ et ‘changeme’), et met en place des capacités de furtivité comme la désactivation de variables SSH et la redirection de l’historique shell (HISTFILE) vers /dev/null. 🐧🔐 ...

Selon BleepingComputer, un chercheur en sécurité a mis en ligne un proof-of-concept (PoC) partiel pour une vulnérabilité affectant le pare-feu applicatif web FortiWeb de Fortinet, permettant à un attaquant distant de contourner l’authentification. Nature de la faille: bypass d’authentification. Impact: accès non autorisé à distance potentiel sur des instances FortiWeb. Degré de publication: PoC partiel (preuve de concept), démontrant la faisabilité de l’exploitation. Le produit concerné est le WAF FortiWeb. L’information se concentre sur l’existence du PoC et l’impact possible du contournement d’authentification, sans autres détails publics dans l’extrait. ...

SecurityWeek rapporte que Rockwell Automation a publié plusieurs avis de sécurité détaillant des vulnérabilités de sévérité critique et élevée affectant divers produits industriels, et que la CISA a relayé ces informations. 🛠️ Correctifs critiques FactoryTalk Linx Network Browser — CVE-2025-7972 : faille permettant de désactiver la validation de jeton FTSP, pouvant être utilisée pour créer, mettre à jour et supprimer des pilotes FTLinx. Micro800 (PLCs) — correction de trois vulnérabilités plus anciennes liées à Azure RTOS (open source RTOS) pouvant mener à de la prise de contrôle à distance (RCE) et à de l’élévation de privilèges, ainsi qu’un correctif pour une vulnérabilité de déni de service (DoS) distincte. ControlLogix — correctif pour une RCE identifiée sous CVE-2025-7353. ⚠️ Vulnérabilités de sévérité élevée ...

Source: fluxsec.red — Publication décrivant le plan du projet « Sanctum », un EDR open source en Rust, avec contexte, objectifs et choix techniques autour d’un driver Windows. 🛡️ Sanctum est un EDR expérimental open source visant à détecter des techniques de malware modernes, au‑delà des capacités d’un antivirus (AV). Le projet ambitionne de couvrir à la fois les rôles d’AV et d’EDR, et se présente comme une preuve de concept destinée à documenter l’apprentissage et la progression de l’auteur. ...

Selon Flashpoint (billet de blog), Scattered Spider est un collectif de cybercriminels principalement composé de jeunes adultes US/UK qui s’impose par des campagnes sophistiquées d’ingénierie sociale et des opérations de ransomware en double extorsion. Le groupe cible notamment les secteurs des services financiers, de la restauration et du retail, avec des attaques menées par vagues, misant davantage sur les faiblesses humaines que purement techniques. Leur chaîne d’attaque commence par de la social engineering (MITRE ATT&CK T1566) — vishing 📞, smishing, et attaques d’épuisement MFA — pour obtenir un accès initial, suivi de collecte d’identifiants à l’aide d’info-stealers comme Raccoon et Vidar. Ils abusent d’outils RMM légitimes (TeamViewer, AnyDesk, ScreenConnect) pour la persistance et les mouvements latéraux, et déploient des malwares personnalisés tels que Spectre RAT 🕷️, tout en s’appuyant sur des VPN/proxys cloud pour masquer leur infrastructure. ...

Selon Mend (référence: mend.io), une nouvelle voie d’attaque dite slopsquatting exploite la tendance des assistants de codage IA à proposer des dépendances inexistantes, que des attaquants enregistrent ensuite en packages malveillants, créant un risque majeur pour la supply chain logicielle. Un package halluciné a déjà cumulé plus de 30 000 téléchargements. L’étude, menée sur 16 LLMs et 500 000+ prompts, mesure des taux d’hallucination de packages allant de 3,59% (GPT-4 Turbo) à 33%+ (CodeLlama). Les modèles open-source affichent 21,7% en moyenne contre 5,2% pour les modèles commerciaux. Au total, 205 000+ noms de packages hallucinés ont été observés, dont 43% répétés de manière récurrente. ...

Selon blog.trailofbits.com, à l’issue de la DARPA AI Cyber Challenge (AIxCC), Trail of Bits annonce l’ouverture du code de Buttercup, son cyber reasoning system (CRS) arrivé deuxième de la compétition. 🎉 Buttercup est un système entièrement automatisé et assisté par l’IA pour la découverte et la correction de vulnérabilités dans des logiciels open source. Trail of Bits publie une version autonome fonctionnant sur un ordinateur portable « typique », ajustée à un budget IA réaliste pour des projets individuels, ainsi que les versions ayant participé aux demi-finales et à la finale d’AIxCC. Le code est disponible sur GitHub. ...

Source: Socket.dev (blog) — Contexte: tendances du secteur autour de la transparence open source et de l’évaluation fournisseurs. Le site « Is It Really FOSS? », créé par Dan Brown, aide à déterminer si des projets sont réellement libres et open source comme ils le revendiquent. Il vise à éclairer une landscape open source devenue complexe, où certaines entreprises entretiennent une image FOSS tout en restreignant les libertés des utilisateurs. ...