CISA

Source : CISA — Le 11 décembre 2025, la CISA a publié une mise à jour des Cross-Sector Cybersecurity Performance Goals (CPG 2.0) destinée aux propriétaires et opérateurs d’infrastructures critiques, avec des actions mesurables pour établir un socle de cybersécurité. CPG 2.0 intègre des enseignements tirés des retours d’expérience, s’aligne sur les révisions les plus récentes du NIST Cybersecurity Framework et cible les menaces les plus courantes et impactantes qui pèsent aujourd’hui sur les infrastructures critiques. ...

Source: cybersecuritynews.com — CISA a mis à jour son catalogue Known Exploited Vulnerabilities (KEV) pour inclure CVE-2021-26829, une faille XSS affectant OpenPLC ScadaBR, confirmant une exploitation active dans la nature. La vulnérabilité, située dans le composant system_settings.shtm de ScadaBR, permet à un attaquant distant d’injecter du script/HTML arbitraire via l’interface des paramètres système. Le code malveillant s’exécute lorsque un administrateur ou un utilisateur authentifié ouvre la page compromise. Elle est classée CWE-79 (XSS). ...

Selon un avertissement de la CISA (cisa.gov) daté du 24 novembre 2025, plusieurs acteurs menaçants utilisent des logiciels espions commerciaux pour cibler les utilisateurs d’applications de messagerie mobile, avec des techniques avancées de ciblage et d’ingénierie sociale. 🔔 Les acteurs cherchent à obtenir un accès non autorisé aux apps de messagerie afin de faciliter le déploiement de charges malveillantes supplémentaires pouvant compromettre davantage l’appareil mobile. Objectif principal: prise de contrôle de comptes de messagerie et déploiement de payloads additionnels sur les terminaux. 📱🕵️ ...

Selon une alerte de la CISA, les agences gouvernementales américaines sont appelées à appliquer d’urgence les correctifs pour une vulnérabilité affectant Oracle Identity Manager, référencée CVE-2025-61757, qui a été exploitée dans des attaques et pourrait constituer un zero‑day. ⚠️ La CISA signale une exploitation active de la vulnérabilité CVE-2025-61757 ciblant Oracle Identity Manager. L’agence insiste pour que les entités concernées procèdent au patch sans délai. Les éléments communiqués mettent en avant le caractère potentiellement “zero‑day” de l’exploitation, c’est‑à‑dire que la faille aurait pu être utilisée avant la disponibilité d’un correctif. ...

Source : BleepingComputer — Cisco avertit que deux vulnérabilités déjà exploitées en zero-day contre ses pare-feux ASA/FTD (CVE-2025-20362 et CVE-2025-20333) sont désormais utilisées pour provoquer des redémarrages en boucle, entraînant des dénis de service. La CISA a émis une directive d’urgence pour les agences fédérales américaines. • Vulnérabilités et impact: les failles CVE-2025-20362 (accès non authentifié à des endpoints URL restreints) et CVE-2025-20333 (RCE après authentification) peuvent, en chaîne, donner un contrôle total des systèmes non patchés. Un nouvel artéfact d’attaque observé le 5 novembre 2025 force des redémarrages inattendus des appareils, causant un DoS. ...

Selon BleepingComputer, la CISA (agence américaine de cybersécurité) avertit que des acteurs menaçants exploitent une vulnérabilité d’exécution de commandes à distance critique affectant CentOS Web Panel (CWP). ⚠️ Points clés mis en avant par l’article: Type de vulnérabilité: exécution de commandes à distance (RCE) critique Produit affecté: CentOS Web Panel (CWP) Statut: exploitation active par des acteurs malveillants L’article signale une alerte de la CISA mettant l’accent sur l’exploitation en cours de cette faille, sans autres détails techniques fournis dans l’extrait. ...

Selon Cyber Security News, CISA a publié le 20 octobre 2025 une alerte urgente sur CVE-2025-33073, une vulnérabilité d’« improper access control » dans le client SMB de Windows, inscrite au catalogue KEV et activement exploitée, pouvant mener à une élévation de privilèges via authentification forcée. 🚨 La faille, liée à CWE-284 (Improper Access Control), cible le protocole SMB de Windows. Des acteurs malveillants peuvent amener une machine victime à initier une connexion SMB vers un serveur attaquant, ce qui force l’authentification et peut accorder un accès non autorisé, facilitant le contrôle complet de l’appareil et la mouvance latérale au sein des réseaux. Le contexte est tendu avec une hausse des incidents SMB en 2025, y compris sur des environnements Azure non corrigés. ...

Selon CISA (référence officielle citée), une Emergency Directive 26-01 est émise sous l’administration Trump pour toutes les agences du Federal Civilian Executive Branch, exigeant des correctifs sur les équipements F5 avant le 22 octobre 2025. Il s’agit de la troisième directive d’urgence de cette administration et elle concerne des produits critiques déployés sur les réseaux fédéraux. L’alerte fait suite à l’exploitation par un acteur étatique des produits F5, avec un accès persistant de longue durée à l’environnement de développement BIG‑IP et aux plates-formes de gestion des connaissances d’ingénierie, et une exfiltration de fichiers confirmée. ...

Selon The Record, une vulnérabilité évaluée au score maximal 10/10 🚨 suscite une forte inquiétude parmi les experts en cybersécurité. DLa CISA a ordonné à toutes les agences civiles fédérales américaines de corriger d’urgence la faille critique CVE-2025-10035 touchant l’outil de transfert de fichiers Fortra GoAnywhere MFT. Cette vulnérabilité, qui concerne la gestion des licences, permet à un attaquant de soumettre une licence forgée puis d’exécuter des commandes arbitraires sur le serveur, ce qui se traduit par un risque d’accès à distance non autorisé et de compromission totale du système. La faille a reçu un score CVSS de 10/10, indiquant sa gravité maximale, et elle est activement exploitée depuis au moins le 10 septembre 2025. ...

CISA (U.S. Cybersecurity and Infrastructure Security Agency) publie le 18 septembre 2025 un Malware Analysis Report TLP:CLEAR (AR25‑261A) sur des « listeners » malveillants déployés sur des serveurs Ivanti Endpoint Manager Mobile (EPMM) compromis via les vulnérabilités CVE‑2025‑4427 et CVE‑2025‑4428, corrigées par Ivanti le 13 mai 2025 et ajoutées au KEV le 19 mai 2025. — Contexte et portée Produits affectés : Ivanti EPMM versions 11.12.0.4 et antérieures, 12.3.0.1 et antérieures, 12.4.0.1 et antérieures, 12.5.0.0 et antérieures. Mode opératoire initial : exploitation en chaîne des failles via l’endpoint /mifs/rs/api/v2/ et le paramètre ?format= pour exécuter des commandes à distance, collecter des infos système, télécharger des fichiers, lister /, cartographier le réseau, créer un heapdump et extraire des identifiants LDAP. — Fonctionnement du malware 🐛 ...