0rphn3  -  APT Update / l'Aperçu de la Presse Tech

 -  13 avril - 

Bonjour,

Aujourd'hui, on prend connaissance de quelques unes des failles de sécurité de la semaine.
Et n'oubliez pas de faire vos mises à jour !

L'agenda

Jusqu'au 28 mai, Microsoft offre une formation certifiante gratuite en ligne sur l'intelligence artificielle, dans le cadre de son AI Skills Fest.

Jusqu'au 21 septembre au Jeu de Paume, 1 place de la Concorde, Jardin des Tuileries, Paris 1er se tiendra l'exposition Le Monde selon l'IA, autour de "la question de l’expérience du monde « selon l’IA » ou « au prisme de l’IA »". Des conférences ponctuelles accompagneront l'événement.
Sur réservation, plein tarif à 12€

Pannes et bugs

T-Mobile

Révélé initialement par Media404, ce bug chez T-mobile, un opérateur mobile est assez insolite pour être mentionné : les parents utilisateurs de SyncUP (un service de géolocalisation) ont eu la surprise, non seulement de perdre contact avec leurs enfants, mais de recevoir les informations d'inconnus à la place. En termes de protection des données, c'est un exemple à ne pas suivre...

Microsoft

Alors que la mise à jour Windows 10 KB5055518 apporte une solution au bug qui causait des impressions de texte aléatoire, c'est maintenant la mise à jour KB5055523 pour Windows 11 et Windows Server 2025 qui dans certains cas d'usage empêche de se connecter via Windows Hello. En attendant un patch, en cas de blocage, il est conseillé de refaire la configuration du service.

Les abonnés à MS365 Famille connaissent eux aussi des difficultés d'accès au service, soit au moment d'accéder à leur compte, soit en essayant d'ouvrir leurs applications. Selon Microsoft, il s'agit d'un problème de licence.

Failles de sécurité

Chipset

Rude semaine chez les leaders du marché : le microcode de certains processeurs EPYC et Ryzen de chez AMD permet de falsifier la signature de vérification du microcode, et de charger des mises à jour illégitimes. Il en résulte une compromission de l'intégrité des instructions à exécuter, une exposition de données à l'accès restreint, et une possibilité de détourner le SMM (le mode de gestion du système).
Des patches ont été publiés pour mitiger ces risques.

Le précédent patch pour NVIDIA Container Toolkit (un toolkit pour les conteneurs sous environnement Linux, et qui permet notamment une accélération du GPU) s'est avéré insuffisant, ce qui met en lumière la difficulté de sécuriser les systèmes conteneurisés. La faille réside dans une possible exploitation du TOCTOU (Time-Of-Check Time-Of-Use) menant à une exécution de code arbitraire, une élévation de privilèges, un déni de service et/ou une fuite données.
CVE-2024-0132

Réseaux

On commence par la connexion assurée entre continents par câbles sous-marins. Ceux-ci restent vulnérables à une attaque par sous-marin coupe-câble. Dans le contexte international tendu de ces dernières années, l'Europe a déjà mis en place des dispositifs de protection de l'infrastructure (MIE / CEF) dont une partie des fonds seront mobilisés en faveur des câbles sous-marins. Cependant, les opérateurs appellent à une mobilisation plus vaste, coordonnant plus efficacement à la fois l'UE, le Royaume-Uni et l'OTAN.

Du côté des équipements réseau, les commutateurs FortiSwitch de chez Fortinet, dans les versions 6.4.0 à 7.6.0 , présentent une faille qui permet à un attaquant de changer le mot de passe admin à distance, sans authentification ni interaction avec un utilisateur. Un patch est disponible, à appliquer dès que possible.
CVE-2024-48887

Chez SonicWall, ce sont les VPN NetExtender pour Windows qui présentent de multiples failles de sécurité :
La CVE-2025-23008 couvre une mauvaise gestion des droits qui permet à un utilisateur peu privilégié de modifier les configurations.
La CVE-2025-23009 est une élévation de privilèges en local, qui permet un effacement arbitraire de fichiers.
La CVE-2025-23010 consiste en une résolution de liens défectueuse, qui permet à un attaquant de manipuler les chemins d'accès.
SonicWall recommande de passer au plus vite à la version 10.3.2 ou ultérieure.

Du côté des pare-feux de Palo Alto, PAN-OS présente une vulnérabilité dans son système d'authentification, qui peut mener à un déni de service. Un patch est disponible.
D'autre part, une autre faille a trouvée dans les PAN-OS VM-Series, qui permet à un attaquant ayant gagné des droits d'admin de progresser jusqu'aux privilèges root pour lancer des commandes arbitraires.
CVE-2025-0128
CVE-2025-0127

Du côté des objets connectés

Le système de connexion et de contrôle des écosystèmes IOT TP-Link Tapo H200
stocke les identifiants wifi en clair. Un attaquant avec un accès physique à l'appareil peut en prendre connaissance.
CVE-2025-3442

Failles des outils de développement

La plateforme CI/CD Jenkins, qui permet d'automatiser le développement, est affectée par deux vulnérabilités liées à la génération automatique des clés SSH durant la création d'image pour Debian ou Docker : tous les conteneurs construits à partir de la même image partagent les mêmes clés, ce qui facilite l'accès non autorisé au réseau pour un attaquant. Il est recommandé de passer à la version 6.11.2, qui efface les clés SSH pré-générées durant la création d'image, et en génère de nouvelles pour chaque conteneur.
CVE-2025-32754
CVE-2025-32755

Systèmes d'exploitation

Deux des systèmes d'exploitation de Cisco, IOS Software et IOS XE, restent vulnérables en dépit d'un patch publié il y a sept ans mais toujours pas appliqué dans de trop nombreux cas (NDLR : faites vos mises à jour dès leur sortie !). Il s'agit d'une faille de design dans le protocole Smart Install, qui ne requiert pas d'authentification par défaut, et dont le service associé passe par le port TCP 4786, qui est fréquemment exposé à internet. Une mauvaise configuration peut donc avoir pour conséquences une exécution de code arbitraire ou un déni de service par création d'une boucle infinie.
CVE-2018-0171

Le CISA (l'équivalent états-unien de l'ANSSI) a ajouté deux failles du kernel Linux à sa liste des vulnérabilités connues exploitées (KVE). La CVE-2024-53197 et la CVE-2024-53150 se situaient sur le pilote USB-Audio. Elles ont été corrigées avec la dernière mise à jour.
Par ailleurs, une faille a été découverte dans la distribution Ubuntu version 22.04 LTS et antérieures. Elle a pour origine le contenu XML de Yelp, le système d'aide à l'utilisateur de GNOME, et permet l'exfiltration de données sensibles, comme les clés privées SSH.
CVE-2025-3155

Google a patché 62 vulnérabilités sur Android, dont les deux failles zero-day évoquées plus haut sur le kernel Linux (pour rappel, Android est construit sur le noyau Linux). Il semblerait que certaines de ces failles aient constitué le point d'entrée pour la tentative d'installation d'un spyware sur le téléphone d'un activiste par la police serbe.

Microsoft Patch Tuesday

Le Patch Tuesday a été particulièrement fourni, avec 134 vulnérabilités corrigées sur différents produits Microsoft, dont une zero-day déjà exploitée sur le pilote CLFS (Common Log File System) de Windows, exploitable par un attaquant local pour une élévation de privilèges en tant que System.
CVE-2025-29824

Les IA génératives

De plus en plus utilisés comme une aide au développement, les LLM générateurs de code posent certains problèmes liés aux hallucinations, comme leur tendance à inventer des noms de packages qui n'existent pas. En principe, un nom de package qui n'existe pas devrait simplement générer un message d'erreur… Sauf si un acteur malveillant en profite pour uploader un malware au nom de l'hallucination générée par l'IA. Auquel cas le code généré sera compromis d'une manière assez délicate à repérer pour le développeur.

L'IA agentique produit elle aussi une nouvelle vulnérabilité : l'excès agentique (excessive agency), qui se décline en fonctionnalités excessives (quand l'agent a accès à des fonctions, APIs ou plugins bien au-delà de son périmètre), permissions excessives (quand l'agent a des permissions superflues) et autonomie excessive (quand l'agent agit de façon imprévisible, ou au-delà de ses limitations opérationnelles et éthiques).

Une vulnérabilité critique a été trouvée dans le framework Python BentoML, qui sert à construire des services en ligne dotés d'une IA. Il s'agit d'une faille qui laisse des attaquants prendre le contrôle des serveurs qui hébergent ce service, et exécuter du code arbitraire.
CVE-2025-27520
Le même type de vulnérabilité frappe aussi l'AI builder Langflow.
CVE-2025-3248
Dans les deux cas, la vulnérabilité est patchée, et il est urgent d'effectuer la mise à jour vers la version la plus récente du framework.

Voilà, c'est tout pour cette semaine. RDV la semaine prochaine pour faire un petit tour des cybermenaces.
Merci de m'avoir lue et à bientôt j'espère :)

par aht