🔎 Cyberveille

Ce genre d’organisations à but non lucratif n’ont souvent pas assez de ressources à consacrer à leur sécurité informatique.

En janvier 2024, une centaine de hackeurs bénévoles avaient identifié et transmis « plus de cent vulnérabilités critiques aux ONG partenaires ». Ce vendredi 24 octobre, l’association Hack4Values, créée en 2021, remet le couvert avec la deuxième édition de son bug bounty solidaire.

TL;DR : Microsoft a publié un correctif hors-cycle pour une RCE critique dans WSUS (CVE-2025-59287). Une preuve d’exploitation (PoC) est publique — patch immédiat recommandé. Si vous ne pouvez pas patcher tout de suite : désactivez le rôle WSUS ou bloquez les ports 8530/8531 (mais les clients ne recevront plus de MAJ). Gravité élevée (CVSS ≈ 9.8).

Ce qu’il se passe

Microsoft a sorti une mise à jour urgente corrigeant une exécution de code à distance dans Windows Server Update Services (WSUS). La faille permet à un attaquant distant non authentifié d’exécuter du code sur le serveur (avec des privilèges élevés). Une démonstration d’exploitation / PoC circule déjà publiquement, ce qui augmente nettement l’urgence du correctif.

Traduction de la note Microsoft :

« Si vous n’avez pas encore installé la mise à jour de sécurité Windows d’octobre 2025, nous vous recommandons d’appliquer cette mise à jour OOB à la place. Après l’installation, vous devrez redémarrer votre système. »

Pourquoi c’est alarmant

• Exploitable à distance sans authentification.

• WSUS tourne souvent avec des droits élevés (SYSTEM) → prise de contrôle complète possible.

• Les serveurs WSUS peuvent se synchroniser entre eux → risque de propagation automatique (d’où le terme wormable).

• PoC public disponible → réel risque d’exploitation massive si non patché.

Liens utiles

PoC / write-up technique : https://hawktrace.com/blog/CVE-2025-59287

Fiche vulnérabilité : https://vulnerability.circl.lu/vuln/CVE-2025-59287

Microsoft Security Response Center : https://support.microsoft.com/en-us/topic/october-23-2025-kb5070879-os-build-25398-1916-out-of-band-e192ac2e-3519-44c6-8706-d7e40c556c8c

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287

Dans les news [EN]: https://www.bleepingcomputer.com/news/security/microsoft-releases-windows-server-emergency-updates-for-critical-wsus-rce-flaw/

Des fact-checkers états-uniens et journalistes français ont identifié un réseau de plus de 300 sites d'information, dont 143 « au moins » en français, financés par le service de renseignement militaire russe. Nous les avons ajoutés à la liste des (soi-disant) sites d'information épinglés par l'extension (gratuite) que Next a développée pour alerter ses utilisateurs au sujet des contenus générés par IA. Elle dénombre désormais plus de 8 000 sites GenAI.

Qilin n'est pas un groupe de pirates informatiques, mais une "franchise" qui permet d'utiliser ses services contre rémunération. Apparue en 2022, elle reste nimbée de mystère.

Des lycées du nord de la France aux mairies des Pyrénées-Orientales, un nom revient avec inquiétude : Qilin. Ce mot désigne un animal mythologique asiatique, mais c'est aussi le nom choisi par les concepteurs d'un logiciel malveillant qui paralyse 80% des lycées publics des Hauts-de-France(Nouvelle fenêtre) depuis le 10 octobre.

La vulnérabilité SessionReaper (CVE-2025-54236) présente dans Adobe Commerce (anciennement Magento) est désormais exploitée activement par des pirates. Quels sont les risques ? Comment se protéger ? Faisons le point.

Ce jeudi 16 octobre, Le Monde et Die Zeit ont publié une enquête sur un mystérieux groupe 78 qui aurait deux objectifs principaux : « d’une part, mener des actions en Russie pour rendre la vie des membres de Black Basta impossible et les forcer à quitter le territoire afin de les mettre à portée des mandats d’arrêt les visant ; d’autre part, manipuler les autorités russes pour qu’elles mettent fin à la protection dont bénéficie le gang ».

Selon nos confrères, ces révélations « éclairent d’un jour nouveau deux événements survenus peu de temps après. À la mi-décembre, une même source anonyme contacte deux journalistes spécialisés dans la Cybercriminalité ». J’étais l’un d’eux.

La comparaison d'un scan Nmap avec un autre peut être très utile dans le contexte d'un suivi régulier de la cartographie du système d'information. Effectuer des scans réguliers, avec les mêmes options et vers les mêmes réseaux cibles, permet de s'assurer que rien n'a changé, ou au contraire référencer les changements observés et s'assurer qu'ils sont attendus et justifiés.

Une faille dangereuse (CVE-2025-9133) a été identifiée dans les dispositifs de la série Zyxel ATP/USG : même avec l’authentification à deux facteurs activée, un attaquant disposant de creds (ayant franchi seulement la 1ʳᵉ étape du 2FA) peut potentiellement contourner les contrôles d’accès et accéder à la configuration complète du système.

En envoyant une commande commençant par un élément autorisé (ex : show version), puis en enchaînant ;show running-config, la validation ne détecte pas la seconde commande et la base entière est exposée. Rainpwn

Impact : divulgation de mots de passe, clés, configurations réseau — c’est un accès potentiel complet à l’appareil. Rainpwn

Recommandations : appliquer rapidement les correctifs proposés par Zyxel, bloquer les chaînes de commandes (; ou pipeline), renforcer l’autorisation per-commande. Rainpwn

Si vous gérez ou utilisez une Zyxel ATP/USG : vérifiez que vous êtes à jour, restreignez l’accès à l’interface d’administration, et surveillez toute activité suspecte.

⬇️ 2025-08-15 : ZYXEL a été informé de la vulnérabilité 2025-08-15 : ZYXEL a accusé réception de mon rapport de vulnérabilité. 2025-08-19 : ZYXEL a attribué l’identifiant CVE-2025-9133 aux problèmes signalés et m’a informé de son intention de publier un avis de sécurité le 30 septembre 2025. 2025-09-08 : ZYXEL a demandé de reporter la divulgation publique au 21 octobre 2025, car le correctif du firmware devait être publié le 20 octobre 2025. Cela devait permettre aux utilisateurs d’appliquer la mise à jour et de sécuriser leurs systèmes avant la divulgation de la faille. 2025-10-21 : ZYXEL a publié son avis de sécurité, conformément au calendrier de divulgation coordonnée.

⬇️ CVE-2025-9133: Configuration Exposure via Authorization Bypass 👇

https://rainpwn.blog/blog/cve-2025-9133/

🩹⬇️

"The missing authorization vulnerability in certain ZLD firewall versions could allow a semi-authenticated attacker—who has completed only the first stage of the two-factor authentication (2FA) process—to view and download the system configuration from an affected device." ⬇️ "Zyxel security advisory for post-authentication command injection and missing authorization vulnerabilities in ZLD firewalls"

👇

https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-post-authentication-command-injection-and-missing-authorization-vulnerabilities-in-zld-firewalls-10-21-2025

🌐⬇️

https://cve.circl.lu/vuln/CVE-2025-9133

https://nvd.nist.gov/vuln/detail/CVE-2025-9133

21.10.2025 - L’OFCS reçoit régulièrement des signalements d’e-mails de phishing visant à duper les clients TWINT. L’objectif des fraudeurs est de voler des données de cartes de crédit ou de prendre le contrôle de comptes TWINT. Certaines tentatives ne nécessitent même pas de pages de phishing sophistiquées. Un cas récent, à première vue anodin, mais astucieusement conçu, en est un parfait exemple. À l’aide d’un message personnel et d’une demande d’argent envoyée au petit matin, les escrocs incitent leurs cibles à agir de manière irréfléchie.

Posted On 21 Oct 2025By : Damien Bancal - zataz
À cinq mois du vote municipal, les communes françaises doivent sécuriser leurs systèmes d’information avant les attaques numériques déjà observées dans plusieurs villes.