Global

Selon BleepingComputer, Oracle a discrètement corrigé une vulnérabilité affectant Oracle E‑Business Suite identifiée comme CVE‑2025‑61884, déjà activement exploitée pour compromettre des serveurs, tandis qu’un exploit PoC a été rendu public par le groupe d’extorsion ShinyHunters. La faille concerne Oracle E‑Business Suite et porte l’identifiant CVE‑2025‑61884. Oracle a effectué un correctif silencieux sans communication appuyée. Oracle a publié un correctif hors-cycle pour CVE-2025-61884, une vulnérabilité d’information disclosure / SSRF dans Oracle E-Business Suite (EBS) exploitée à distance sans authentification, dont un proof-of-concept (PoC) a été diffusé publiquement par le groupe ShinyHunters (Scattered Lapsus$ Hunters). Plusieurs chercheurs et clients confirment que le correctif adresse désormais la composante SSRF utilisée par le PoC. Oracle décrit la faille comme « exploitable à distance sans authentification » et potentiellement capable d’accéder à des ressources sensibles. ...

Selon PolySwarm, cette analyse détaille l’évolution de LockBit 5.0, un rançongiciel plus sophistiqué et multi‑plateforme qui vise des environnements Windows, Linux et VMware ESXi avec des techniques avancées d’obfuscation et d’anti‑analyse. LockBit 5.0 présente une architecture cross‑plateforme permettant des attaques unifiées à l’échelle de l’entreprise. La variante ESXi est jugée particulièrement préoccupante car elle peut compromettre des infrastructures de virtualisation entières. Le code partage des similarités avec LockBit 4.0, confirmant une évolution itérative, et le malware intègre des « garde‑fous géopolitiques ». 🧬 ...

Source: Rapid7 Labs — Rapid7 présente l’observation d’un nouveau groupe de menace, « Crimson Collective », actif contre des environnements AWS avec un objectif d’exfiltration de données suivie d’extorsion. Le groupe revendique notamment une attaque contre Red Hat, affirmant avoir dérobé des dépôts GitLab privés. 🚨 Nature de l’attaque: le groupe exploite des clés d’accès long-terme AWS divulguées, s’authentifie (via l’UA TruffleHog), puis tente d’établir une persistance en créant des utilisateurs IAM et des clés d’accès. Lorsque possible, il attache la politique AdministratorAccess pour obtenir un contrôle total. Dans les comptes moins privilégiés, il teste l’étendue des permissions via SimulatePrincipalPolicy. ...

Source: watchTowr Labs — Publication de recherche détaillant CVE-2025-3600, une vulnérabilité d’unsafe reflection dans Progress Telerik UI for ASP.NET AJAX, et ses vecteurs d’exploitation potentiels dans des environnements .NET variés. • Vulnérabilité et portée. La faille CVE-2025-3600 affecte les versions de Telerik UI for ASP.NET AJAX de 2011.2.712 à 2025.1.218. Elle permet l’instanciation arbitraire de types .NET via une seule requête HTTP, exposant des applications d’entreprise, des plateformes SaaS et des solutions custom. Les auteurs estiment ~185 000+ instances potentiellement vulnérables identifiées lors d’une reconnaissance initiale. ...

Selon Horizon3.ai, plusieurs vulnérabilités critiques affectant les composants WebVPN de Cisco ASA et FTD sont exploitées activement par l’acteur UAT4356, dit ArcaneDoor, ce qui a conduit la CISA à publier l’Emergency Directive 25-03. Les versions concernées sont Cisco ASA 9.16–9.23 et Cisco FTD 7.0–7.7. 🚨 Vulnérabilités et impact CVE-2025-20362 (bypass d’authentification) permet, via des requêtes HTTP(S) forgées, d’atteindre des endpoints WebVPN restreints. Chaînée avec CVE-2025-20333, cette faille conduit à une exécution de code à distance (RCE) en root, sans authentification, via des requêtes HTTPS malveillantes. CVE-2025-20363 constitue une RCE distincte affectant ASA/FTD sans authentification et certains composants Cisco IOS avec authentification. 🎯 Menace et attribution ...

Selon l’article, le chief scientist de Microsoft, Eric Horvitz, a conduit un expériment visant à évaluer si des algorithmes d’IA générative peuvent identifier des failles dans les systèmes de biosécurité. L’étude démontre que des algorithmes génératifs sont capables de mettre au jour des vulnérabilités inconnues au sein de dispositifs de contrôle de biosécurité conçus pour empêcher la synthèse d’agents toxiques ou pathogènes. 🧬🤖 Le cœur du constat: ces modèles peuvent aider à révéler des points faibles dans les mécanismes de filtrage et de vérification utilisés avant la synthèse de séquences potentiellement dangereuses, remettant en question l’efficacité et la robustesse des contrôles existants. ⚠️ ...

Selon Unit 42 (Palo Alto Networks), un kit de phishing automatisé nommé « IUAM ClickFix Generator » démocratise la technique de social engineering ClickFix en permettant à des acteurs peu qualifiés de créer des pages imitant des vérifications de navigateur afin d’amener les victimes à copier-coller des commandes malveillantes. Les chercheurs ont observé des campagnes actives diffusant les infostealers DeerStealer et Odyssey sur Windows et macOS, révélant un écosystème croissant de phishing-as-a-service et malware-as-a-service. 🎣 ...

Selon Salesforce (status.salesforce.com), l’éditeur a publié un avis de sécurité au sujet de tentatives d’extorsion par des acteurs malveillants, tout en affirmant n’avoir identifié aucune compromission de sa plateforme ni lien avec une vulnérabilité connue. Salesforce indique avoir enquêté sur ces tentatives en partenariat avec des experts externes et les autorités. Les éléments recueillis suggèrent que ces extorsions se rattachent à des incidents passés ou non étayés. L’entreprise précise être en contact avec les clients concernés pour leur apporter un soutien dédié et qu’il n’existe, à ce stade, aucune indication de compromission de la plateforme Salesforce. ...

Selon GuidePoint Security, dans le cadre du Cybersecurity Awareness Month, un risque émergent touche les environnements d’entreprise : les « Shadow AI Agents » — des systèmes IA autonomes créant des identités non humaines (NHI) avec des accès larges via API, comptes de service et tokens, souvent sans supervision. L’article détaille comment de simples chatbots évoluent en agents autonomes et pourquoi ils posent des risques de sécurité (comportements imprévisibles, sur‑privilèges, exposition via tokens et comptes de service). Il explique aussi comment des attaquants peuvent les exploiter et créer des angles morts d’observabilité. ...

Source : Trellix – Dans son « Bug Report » de septembre 2025, Trellix recense cinq vulnérabilités critiques touchant des composants largement déployés (Chrome V8, Windows NTLM/MSMQ, Sangoma FreePBX, Django), avec deux failles activement exploitées. ⚠️ • Vulnérabilités clés CVE-2025-10585 (Chrome V8) : type confusion permettant une exécution de code à distance (RCE) via du contenu web malveillant. CVE-2025-57819 (FreePBX) : injection SQL dans la validation de modular.php (module endpoint) menant à contournement d’authentification et exécution de commandes root via l’endpoint /admin/ajax.php. CVE-2025-54918 (Windows NTLM) : élévation de privilèges d’un compte peu privilégié vers SYSTEM. CVE-2025-50177 (Windows MSMQ) : use-after-free avec condition de course exploitée à distance (vecteur réseau) mais à haute complexité. CVE-2025-57833 (Django) : mauvaise sanitisation des alias de colonnes dans FilteredRelation/QuerySet, conduisant à injection SQL pouvant atteindre une RCE sur PostgreSQL via COPY…TO PROGRAM. • Exploitation observée et disponibilité d’exploits ...