Zero-Day

Selon Rapid7, un rapport de menace détaille l’exploitation active de la vulnérabilité critique CVE‑2025‑53770 affectant Microsoft SharePoint, utilisée comme vecteur d’accès initial par des acteurs malveillants. Le risque est jugé élevé pour le secteur public, où SharePoint est largement déployé et manipule des données sensibles, dans un contexte de délais de remédiation serrés imposés par la CISA. 🚨 Impact et portée: des campagnes automatisées ciblent des serveurs SharePoint exposés sur Internet, suivies d’une exploitation « hands‑on‑keyboard ». Après compromission, les attaquants déploient des web shells, se déplacent latéralement et collectent des identifiants afin d’établir une persistance, ouvrant la voie à d’éventuels rançongiciels ou à l’exfiltration de données. De nombreuses organisations publiques locales et étatiques demeurent exposées. ...

Selon Cyble, une poussée de preuves de concept (PoC) et de failles zero-day — dont CVE-2025-9642 et CVE-2025-20363 — accroît l’urgence d’appliquer des correctifs de sécurité. 🚨 Les chercheurs en vulnérabilités de Cyble ont recensé 648 failles la semaine dernière, dont près de 26 % disposent déjà de preuves de concept (Proof-of-Concept, PoC) publiques, augmentant ainsi le risque d’attaques concrètes. Parmi elles, 27 sont qualifiées de critiques selon la norme CVSS v3.1, tandis que cinq le sont selon la plus récente CVSS v4.0. ...

Source et contexte: CERT-EU publie un état des lieux des menaces pour septembre 2025, fondé sur l’analyse de 285 rapports open source et illustré par des opérations d’APT, des vulnérabilités zero-day critiques et des campagnes supply chain. • Contexte et faits saillants: L’analyse met en avant des évolutions géopolitiques et réglementaires, dont l’évasion de sanctions de l’UE par l’entité liée à la Russie « Stark Industries », l’adoption de la première loi IA en Italie et la reclassification par la Tchéquie de la menace chinoise au niveau « Élevé ». Des activités d’espionnage notables incluent l’Iran (UNC1549) contre les secteurs défense/télécoms européens, la coopération Turla + Gamaredon contre l’Ukraine, et l’arrestation de mineurs néerlandais impliqués dans un espionnage lié à la Russie. ...

Selon BleepingComputer, Broadcom a corrigé une vulnérabilité d’élévation de privilèges de gravité élevée affectant VMware Aria Operations et VMware Tools, qui faisait l’objet d’exploits zero‑day depuis octobre 2024. Broadcom a corrigé une vulnérabilité d’élévation de privilèges locale critique (CVE-2025-41244) dans VMware Aria Operations et VMware Tools, exploitée comme zero-day depuis octobre 2024 par le groupe chinois UNC5174. Cette faille permet à un utilisateur local non privilégié d’exécuter du code avec des privilèges root en plaçant un binaire malveillant dans des chemins accessibles en écriture (notamment /tmp/httpd), exploité ensuite par les mécanismes de découverte de services VMware via des expressions régulières trop larges. ...

Selon BitSight, une vulnérabilité critique référencée CVE-2025-20333 affecte les pare-feux Cisco ASA et FTD, est activement exploitée et a déclenché une directive d’urgence (ED 25-03) de la CISA exigeant une remédiation immédiate. 🚨 La faille est une zero-day avec un score CVSS de 9.9, permettant une exécution de code à distance (RCE) authentifiée. Elle pourrait autoriser la manipulation de ROMMON (le bootloader Cisco) pour maintenir une persistance sur les équipements compromis. ...

Source: Medium — Le chercheur Mehrun publie une analyse détaillée d’une zero-day signalée à TP-Link le 11 mai 2024 et toujours non corrigée au moment de la publication, affectant l’implémentation CWMP/TR-069 de plusieurs routeurs, dont les Archer AX10 et AX1500. ⚠️ Vulnérabilité et cause racine: L’étude décrit un dépassement de pile (stack-based buffer overflow) dans une fonction du composant CWMP qui traite les messages SOAP SetParameterValues. Une taille dérivée des données d’entrée est utilisée directement dans une copie mémoire sans contrôle strict des limites vers un tampon de pile, ouvrant la voie à une exécution de code à distance (RCE). ...

Selon Check Point Research, ce bulletin de threat intelligence (1er septembre 2025) signale une escalade des menaces avec des zero-days activement exploités et des fuites massives de données touchant des millions d’individus. Il met l’accent sur l’urgence de corriger les vulnérabilités divulguées et de renforcer les capacités de réponse à incident. Faits saillants: exploitation de zero-days dans WhatsApp et Citrix NetScaler lors d’attaques ciblées, campagnes ransomware menées par le groupe Qilin, et une opération de phishing sophistiquée baptisée ZipLine visant des infrastructures critiques. La campagne ZipLine exploite l’infrastructure Google Classroom pour contourner la supervision en entreprise et a diffusé plus de 115 000 emails à 13 500 organisations dans le monde. ...

Selon DoublePulsar (29/08/2025), s’appuyant sur un rapport du NCSC des Pays‑Bas, la vulnérabilité CVE‑2025‑6543 affectant Citrix NetScaler a été activement exploitée en zero‑day depuis début mai 2025, bien avant le correctif publié fin juin. Bien que décrite par Citrix comme un simple problème de déni de service, elle permet en réalité l’exécution de code à distance (RCE) et a conduit à des compromissions étendues, notamment d’organismes gouvernementaux et de services juridiques. Citrix aurait fourni sur demande un script de vérification, sous conditions particulières, sans expliquer pleinement la situation, et le script serait incomplet. ...

Selon BleepingComputer, le Sangoma FreePBX Security Team alerte sur une vulnérabilité zero‑day actuellement exploitée activement contre des instances FreePBX. ⚠️ L’alerte précise que les systèmes concernés sont ceux dont l’Administrator Control Panel (ACP) est exposé à Internet. Les environnements où l’ACP n’est pas publiquement accessible ne sont pas explicitement mentionnés comme impactés dans cet extrait. L’information met l’accent sur la nature zero‑day de la faille (pas de correctif public au moment de l’alerte) et sur l’activité d’exploitation en cours, ce qui en accroît la criticité pour les déploiements concernés. 🚨 ...

Selon theregister.com, Microsoft a modifié son programme Microsoft Active Protections Program (MAPP) après les attaques zero‑day visant SharePoint en juillet. Un porte‑parole (David Cuddy) a indiqué à Bloomberg que les entreprises situées dans des pays où les vulnérabilités doivent être signalées aux gouvernements, dont la Chine, ne recevront plus de code de preuve de concept (PoC) avant publication des correctifs, mais uniquement une description écrite générale synchronisée avec les patches. Microsoft n’a pas répondu aux questions de The Register et a refusé de commenter son enquête interne. ...