Zero-Day

Source: helpnetsecurity.com (20 août 2025). Apple a colmaté CVE-2025-43300, une vulnérabilité zero-day d’écriture hors limites (out-of-bounds write) dans le framework Image I/O, déclenchable lors du traitement d’une image malveillante et menant à une corruption mémoire exploitable. Apple indique que la faille a été activement exploitée dans des attaques ciblées. 🔧 Correctif: Apple affirme avoir corrigé le problème par une amélioration des contrôles de limites (improved bounds checking). 🖥️ Produits/versions corrigés: ...

Source : Picus Security — L’analyse détaille les tactiques, techniques et procédures (TTPs) d’UNC3886, un groupe APT lié à la Chine visant des infrastructures critiques en Asie, Europe et Amérique du Nord, et montre comment la Picus Security Validation Platform simule ces attaques pour révéler les lacunes de détection. • Accès initial 🛠️ : exploitation de zero-days dans des systèmes d’entreprise, notamment Fortinet et VMware. • Persistance 🧬 : déploiement de rootkits sophistiqués, dont TinyShell et REPTILE, pour une présence de longue durée. • Évasion 🕵️ : utilisation d’outils renommés et de manipulation d’horodatage pour masquer l’activité. • Accès aux identifiants 🔐 : collecte de clés privées SSH. • Commandement et contrôle 📡 : C2 chiffré sur des ports non standard. • Exfiltration 📤 : exfiltration chiffrée des données. ...

Source et contexte — WeLiveSecurity (ESET Research) publie une analyse d’exploitation active d’une vulnérabilité zero‑day de WinRAR, identifiée comme CVE‑2025‑8088, découverte le 18 juillet 2025 et corrigée le 30 juillet 2025 (WinRAR 7.13). La faille permet, via des flux de données alternatifs (ADSes), une traversée de chemin conduisant au déploiement silencieux de fichiers malveillants lors de l’extraction. Les composants affectés incluent WinRAR, ses utilitaires en ligne de commande Windows, UnRAR.dll et le code source UnRAR portable. ...

Le Cyber Fusion Center de Kudelski Security a signalé une exploitation active d’une vulnérabilité zero-day dans les appareils SonicWall Gen 7 SSL-VPN par des affiliés du ransomware Akira. Cette vulnérabilité permet de contourner l’authentification et la MFA sur des appareils entièrement patchés, offrant ainsi un accès direct au réseau. Des intrusions confirmées ont eu lieu en Amérique du Nord et en Europe, entraînant le vol de données d’identification, la désactivation d’outils de sécurité, et le déploiement de ransomware. ...

Des firmes spécialisées en réponse aux incidents de cybersécurité ont émis des avertissements concernant une vulnérabilité zero-day dans certains dispositifs SonicWall. Cette faille est actuellement exploitée pour mener des attaques par ransomware. Les dispositifs SonicWall concernés sont utilisés pour la sécurité des réseaux, et la faille permettrait à des attaquants de prendre le contrôle de ces appareils. Les firmes de cybersécurité soulignent l’urgence de la situation et recommandent une vigilance accrue. ...

Le rapport de mi-année publié par Forescout met en lumière les tendances de la cybersécurité pour la première moitié de 2025, avec une attention particulière sur l’augmentation des attaques ciblant les technologies opérationnelles (OT), les exploitations de failles zero-day, et les campagnes de ransomware. Les principales conclusions montrent une croissance de 46% des exploitations zero-day et une augmentation de 36% des attaques par ransomware, totalisant 3 649 incidents. Les menaces hacktivistes iraniennes évoluent, ciblant de plus en plus les infrastructures critiques. Le rapport identifie 137 acteurs de menace actifs, avec la Chine, la Russie et l’Iran en tête, tandis que les États-Unis restent la cible principale avec 53% des attaques. Le secteur de la santé a subi 341 violations affectant près de 30 millions de personnes. ...

Cet article de Trend Micro met en lumière les activités du groupe APT UNC3886, qui cible les infrastructures critiques dans les secteurs des télécommunications, gouvernement, technologie et défense, avec un focus récent sur Singapour. UNC3886 utilise des vulnérabilités zero-day dans les systèmes VMware vCenter/ESXi, Fortinet FortiOS et Juniper pour mener des attaques sophistiquées. Ils déploient un ensemble d’outils personnalisés pour maintenir un accès persistant et contourner les défenses avancées. Les outils utilisés incluent le backdoor TinyShell basé sur Python pour un accès à distance via HTTP/HTTPS, le rootkit Reptile pour le masquage de processus/fichiers et les capacités de port knocking, et le rootkit Medusa pour les portes dérobées PAM et la journalisation des authentifications. ...

Selon un article de The Register, une vulnérabilité zero-day a été exploitée dans Microsoft SharePoint, malgré les correctifs de sécurité publiés par Microsoft. Cette exploitation a été rendue possible par une fuite d’informations concernant les vulnérabilités, permettant à des acteurs malveillants, y compris des espions chinois et des opérateurs de ransomware, de contourner les correctifs. L’incident a débuté lors de la compétition Pwn2Own à Berlin, où un chercheur vietnamien a démontré une exploitation réussie de SharePoint, remportant 100 000 $. Microsoft a reçu un rapport détaillé de l’exploit, mais les vulnérabilités ont été divulguées avant que les correctifs ne soient pleinement efficaces. ...

L’article publié par SentinelOne met en lumière une exploitation active de la vulnérabilité CVE-2025-53770, surnommée ‘ToolShell’, qui affecte les serveurs SharePoint sur site. Cette vulnérabilité est actuellement utilisée par des acteurs malveillants pour cibler des organisations de haute valeur dans les secteurs de la technologie, de la fabrication et des infrastructures critiques. L’exploitation de ‘ToolShell’ combine les vulnérabilités CVE-2025-49704 et CVE-2025-49706 pour obtenir une exécution de code à distance (RCE) non authentifiée via des requêtes POST spécialement conçues. Trois clusters d’attaques distincts ont été identifiés : ...

L’article publié par Qualys Research met en lumière une alerte critique concernant des vulnérabilités zero-day dans Microsoft SharePoint Server. Microsoft a émis des correctifs d’urgence pour deux vulnérabilités activement exploitées : CVE-2025-53770, une vulnérabilité critique d’exécution de code à distance (RCE) avec un score CVSS de 9.8, et CVE-2025-53771, une vulnérabilité de falsification de gravité moyenne avec un score CVSS de 6.3. Ces failles affectent les versions SharePoint Server Subscription Edition, 2019 et 2016. ...