L’actualité publiée par Forescout met en lumière une augmentation significative des attaques sur les appareils d’infrastructure réseau interne, avec une hausse des exploits passant de 3% en 2022 à 14% en 2024.
Des vulnérabilités critiques ont été découvertes dans les appareils Citrix NetScaler (CVE-2025-6543, CVE-2025-5777) et Cisco ISE (CVE-2025-20281, CVE-2025-20282, CVE-2025-20337), démontrant un changement de tactique des attaquants, qui passent d’une exploitation uniquement axée sur le périmètre à une exploitation des appareils internes au réseau.
Les groupes parrainés par des États et les opérateurs de ransomware sont particulièrement intéressés par ces appareils en raison de leur position privilégiée dans le réseau, de leur exposition fréquente à Internet et de la télémétrie de sécurité limitée qu’ils offrent.
L’analyse technique révèle des modèles d’exploitation spécifiques visant les appareils Citrix NetScaler via les points d’entrée /p/u/doAuthentication.do et /nf/auth/startwebview.do, avec plus de 57 000 appareils Citrix et 37 000 appareils F5 BIG-IP exposés découverts via Shodan. Les vulnérabilités de Cisco ISE permettent une exécution de code à distance non authentifiée, avec des scores CVSSv3 de 10.0.
Les exploits proof-of-concept pour CVE-2025-20337 sont vendus environ 1 000 USD, indiquant des stratégies d’exploitation ciblées. Le rapport inclut 23 adresses IP associées à des tentatives d’exploitation actives, soulignant la nécessité d’un inventaire complet des actifs, de la corrélation des menaces et de capacités de réponse automatisées. Cet article est une analyse de menace visant à informer sur les tendances actuelles et les vulnérabilités critiques.
🧠 TTPs et IOCs détectés
TTPs
Exploitation des vulnérabilités (T1190), Exécution de code à distance (T1203), Accès aux appareils d’infrastructure réseau interne, Utilisation de points d’entrée spécifiques pour l’exploitation, Utilisation de proof-of-concept pour l’exploitation, Intérêt pour les appareils avec télémétrie de sécurité limitée
IOCs
23 adresses IP associées à des tentatives d’exploitation actives, plus de 57 000 appareils Citrix et 37 000 appareils F5 BIG-IP exposés découverts via Shodan
🔗 Source originale : https://www.forescout.com/blog/when-zero-trust-is-urgent-exploits-move-from-the-perimeter-to-the-internal-network/