Les professionnels de la sécurité et les administrateurs système sont en état d’alerte maximale, car Microsoft, Fortinet et Ivanti ont chacun publié des avis de sécurité critiques concernant des vulnérabilités zero-day activement exploitées qui affectent leurs produits respectifs. Ces vulnérabilités posent un risque important pour les organisations, pouvant entraîner un accès non autorisé, des violations de données et une compromission du système. Il est fortement conseillé d’appliquer immédiatement des correctifs et de mettre en œuvre les solutions de contournement recommandées pour atténuer les menaces potentielles.
Correctifs Microsoft pour les vulnérabilités activement exploitées et divulguées publiquement
La récente publication de Microsoft Patch Tuesday comprenait des correctifs pour un nombre préoccupant de vulnérabilités, dont cinq sont déjà activement exploitées dans la nature, ainsi que deux vulnérabilités zero-day divulguées publiquement. Les failles activement exploitées représentent une menace sérieuse, car des acteurs malveillants les exploitent activement pour compromettre les systèmes.
Vulnérabilités activement exploitées en détail
Les vulnérabilités suivantes ont été identifiées comme étant activement exploitées :
- Microsoft DWM Core Library (CVE-2025-30400) : Cette vulnérabilité dans la Desktop Window Manager (DWM) Core Library pourrait permettre à un attaquant d’élever ses privilèges au niveau SYSTEM. Cela signifie qu’un attaquant pourrait obtenir le contrôle total du système affecté.
- Windows Common Log File System (CVE-2025-32701 et CVE-2025-32706) : Deux vulnérabilités distinctes au sein du Windows Common Log File System (CLFS) pourraient également permettre à un attaquant d’obtenir des privilèges de niveau SYSTEM. Le CLFS est un service de journalisation à usage général utilisé par divers composants de Windows.
- Windows Ancillary Function Driver (CVE-2025-32709) : Une vulnérabilité dans le Windows Ancillary Function Driver pourrait de même entraîner une élévation des privilèges au niveau SYSTEM.
- Microsoft Scripting Engine (CVE-2025-30397) : Une vulnérabilité de corruption de mémoire existe dans le Microsoft Scripting Engine qui pourrait permettre à un attaquant d’exécuter du code arbitraire. Cela pourrait permettre à un attaquant d’exécuter des logiciels malveillants sur le système affecté.
Vulnérabilités divulguées publiquement
Outre les vulnérabilités activement exploitées, Microsoft a également traité deux vulnérabilités zero-day divulguées publiquement :
- Microsoft Defender (CVE-2025-26685) : Une vulnérabilité d’usurpation d’identité existe dans Microsoft Defender qui pourrait permettre à un attaquant d’usurper un autre compte sur un réseau adjacent.
- Visual Studio (CVE-2025-32702) : Une vulnérabilité d’exécution de code à distance dans Visual Studio pourrait permettre à un attaquant non authentifié d’exécuter du code localement.
Vulnérabilités critiques nécessitant une priorisation
Au-delà des failles activement exploitées et divulguées publiquement, Microsoft a également publié des correctifs pour six vulnérabilités critiques qui, bien que n’étant pas actuellement connues pour être exploitées, doivent être priorisées pour l’application de correctifs. Ces vulnérabilités affectent divers produits Microsoft, notamment :
- Microsoft Office (CVE-2025-30377 et CVE-2025-30386) : Deux vulnérabilités critiques ont été identifiées dans Microsoft Office, permettant potentiellement l’exécution de code à distance.
- Microsoft Power Apps (CVE-2025-47733) : Une vulnérabilité critique a été découverte dans Microsoft Power Apps qui pourrait entraîner un accès non autorisé ou l’exécution de code.
- Remote Desktop Gateway Service (CVE-2025-29967) : Une vulnérabilité critique existe dans le Remote Desktop Gateway Service qui pourrait permettre à un attaquant de compromettre le système.
- Windows Remote Desktop (CVE-2025-29966) : Une vulnérabilité critique a été trouvée dans Windows Remote Desktop, pouvant potentiellement conduire à l’exécution de code à distance.
Fortinet corrige une vulnérabilité critique dans plusieurs produits
Fortinet a publié un avis de sécurité concernant une vulnérabilité critique affectant plusieurs de ses produits, notamment FortiVoice, FortiMail, FortiNDR, FortiRecorder et FortiCamera.
Cette vulnérabilité, un dépassement de mémoire tampon basé sur la pile, a reçu un score de gravité CVSS v4 de 9,6 (CVSS v3.1 : 9,8), ce qui indique sa gravité élevée. La vulnérabilité peut être exploitée à distance par un attaquant non authentifié en envoyant des requêtes HTTP contenant un cookie de hachage spécialement conçu. Une exploitation réussie pourrait entraîner l’exécution de code arbitraire, permettant à un attaquant de prendre le contrôle total de l’appareil affecté.
Exploitation observée dans FortiVoice
Fortinet a confirmé avoir observé une exploitation active de cette vulnérabilité dans les appareils FortiVoice. Les attaquants ont analysé les réseaux d’appareils, effacé les journaux de plantage du système et activé le débogage fcgi pour capturer les informations d’identification saisies lors des tentatives de connexion au système ou via SSH.
Produits et versions affectés
La vulnérabilité, suivie sous le nom CVE-2025-32756, affecte les versions de produit suivantes. Il est fortement recommandé d’effectuer des mises à niveau immédiates vers les versions corrigées spécifiées :
- FortiVoice :
- 7.2.0 : Mettre à niveau vers 7.2.1 ou supérieur
- 7.0.0 à 7.0.6 : Mettre à niveau vers 7.0.7 ou supérieur
- 6.4.0 à 6.4.10 : Mettre à niveau vers 6.4.11 ou supérieur
- FortiRecorder :
- 7.2.0 à 7.2.3 : Mettre à niveau vers 7.2.4 ou supérieur
- 7.0.0 à 7.0.5 : Mettre à niveau vers 7.0.6 ou supérieur
- 6.4.0 à 6.4.5 : Mettre à niveau vers 6.4.6 ou supérieur
- FortiMail :
- 7.6.0 à 7.6.2 : Mettre à niveau vers 7.6.3 ou supérieur
- 7.4.0 à 7.4.4 : Mettre à niveau vers 7.4.5 ou supérieur
- 7.2.0 à 7.2.7 : Mettre à niveau vers 7.2.8 ou supérieur
- 7.0.0 à 7.0.8 : Mettre à niveau vers 7.0.9 ou supérieur
- FortiNDR :
- 7.6.0 : Mettre à niveau vers 7.6.1 ou supérieur
- 7.4.0 à 7.4.7 : Mettre à niveau vers 7.4.8 ou supérieur
- 7.2.0 à 7.2.4 : Mettre à niveau vers 7.2.5 ou supérieur
- 7.1 : Migrer vers une version corrigée
- 7.0.0 à 7.0.6 : Mettre à niveau vers 7.0.7 ou supérieur
- 1.1 à 1.5 : Migrer vers une version corrigée
- FortiCamera :
- 2.1.0 à 2.1.3 : Mettre à niveau vers 2.1.4 ou supérieur
- 2.0 : Migrer vers une version corrigée
- 1.1 : Migrer vers une version corrigée
Indicateurs de compromission et mesures d’atténuation
Fortinet a fourni des indicateurs de compromission (IOC) dans son alerte de sécurité pour aider les organisations à détecter les tentatives d’exploitation potentielles. Si l’application immédiate de correctifs n’est pas possible, Fortinet recommande de désactiver temporairement l’interface d’administration HTTP/HTTPS comme mesure d’atténuation.
Ivanti corrige des vulnérabilités d’exécution de code à distance dans Endpoint Manager Mobile
Ivanti a publié un avis de sécurité concernant deux vulnérabilités affectant sa solution Endpoint Manager Mobile (EPMM). Ces vulnérabilités, lorsqu’elles sont chaînées ensemble, peuvent conduire à l’exécution de code à distance non authentifiée. Ivanti a déclaré que les vulnérabilités sont associées au code open source utilisé dans EPMM, plutôt qu’au code principal d’Ivanti.
Détails de la vulnérabilité
- CVE-2025-4427 (gravité moyenne) : Il s’agit d’une faille de contournement d’authentification avec un score de gravité CVSS v3.1 de 5,3. Un attaquant pourrait exploiter cela pour contourner les mécanismes d’authentification et obtenir un accès non autorisé au système.
- Vulnérabilité d’exécution de code à distance (gravité élevée) : Cette vulnérabilité a un score de gravité CVSS v3.1 de 7,2, ce qui indique un impact potentiel élevé. En exploitant cette faille, un attaquant pourrait exécuter du code arbitraire sur le système affecté à distance.
Produits et versions affectés
Les versions suivantes d’Ivanti Endpoint Mobile Manager sont affectées par ces vulnérabilités. Mettez à niveau vers les dernières versions dès que possible :
- Ivanti Endpoint Mobile Manager
- 11.12.0.4 et versions antérieures : Mettre à niveau vers 11.12.0.5 et versions ultérieures
- 12.3.0.1 et versions antérieures : Mettre à niveau vers 12.3.0.2 et versions ultérieures
- 12.4.0.1 et versions antérieures : Mettre à niveau vers 12.4.0.2 et versions ultérieures
- 12.5.0.0 et versions antérieures : Mettre à niveau vers 12.5.0.1 et versions ultérieures
Stratégies d’atténuation
Ivanti conseille vivement aux utilisateurs de mettre à niveau vers la dernière version d’EPMM dès que possible. Cependant, les risques peuvent être considérablement réduits en filtrant l’accès à l’API à l’aide des ACL de portail intégrées ou d’un pare-feu d’application Web (WAF) externe. Ces mesures peuvent aider à prévenir l’accès non autorisé et l’exploitation des vulnérabilités.
En conclusion, les récents avis de sécurité de Microsoft, Fortinet et Ivanti soulignent le besoin permanent de vigilance et de mesures de sécurité proactives. Les organisations doivent donner la priorité à l’application de correctifs et à la mise en œuvre des solutions de contournement recommandées pour se protéger contre ces vulnérabilités activement exploitées et les potentielles futures attaques. La surveillance régulière des avis de sécurité et la gestion rapide des risques identifiés sont des éléments essentiels d’une posture de sécurité robuste. Les conséquences potentielles du non-traitement de ces vulnérabilités pourraient être graves, allant des violations de données et des pertes financières aux dommages à la réputation et à la perturbation des activités. La collaboration entre les fournisseurs et la communauté de la sécurité est primordiale pour identifier et atténuer ces menaces, garantissant ainsi un environnement numérique plus sûr et plus sécurisé pour tous.
La complexité croissante des menaces cybernétiques exige une approche de sécurité multicouche. Il ne suffit plus de simplement réagir aux incidents après qu’ils se soient produits. Les organisations doivent adopter une approche proactive, en mettant en œuvre une stratégie de sécurité basée sur le risque qui prend en compte les vulnérabilités spécifiques à leur environnement et les menaces les plus susceptibles de les cibler. Cela inclut la réalisation régulière d’évaluations de la vulnérabilité et de tests d’intrusion, la mise en œuvre de contrôles stricts d’accès et d’authentification, la surveillance continue des systèmes et des journaux d’événements, et la fourniture d’une formation à la sensibilisation à la sécurité pour tous les employés.
En outre, les organisations doivent s’assurer qu’elles disposent d’un plan de réponse aux incidents bien défini, qui décrit les étapes à suivre en cas de violation de la sécurité. Ce plan doit inclure des procédures pour l’identification, le confinement, l’éradication et la récupération des incidents, ainsi que des protocoles de communication avec les parties prenantes internes et externes. La simulation régulière d’exercices de réponse aux incidents peut aider les organisations à identifier les lacunes dans leurs plans et à s’assurer qu’elles sont prêtes à réagir efficacement en cas d’attaque réelle.
La collaboration et le partage d’informations sont également essentiels pour la lutte contre les cybermenaces. Les organisations doivent s’efforcer de partager des informations sur les menaces et les vulnérabilités avec d’autres organisations du même secteur et avec les organismes gouvernementaux chargés de la sécurité. Cela peut aider à améliorer la sensibilisation à la situation et à coordonner les efforts de défense.
Enfin, il est important de noter que la sécurité n’est pas un produit, mais un processus. Les menaces cybernétiques évoluent constamment, et les organisations doivent adapter en permanence leurs mesures de sécurité pour faire face aux nouveaux défis. Cela nécessite un engagement continu envers la recherche et le développement, la formation et la sensibilisation, et la collaboration et le partage d’informations. En adoptant une approche proactive et adaptative de la sécurité, les organisations peuvent réduire considérablement leur risque d’être victimes de cyberattaques et protéger leurs actifs les plus précieux.
Dans le contexte spécifique des vulnérabilités mentionnées dans les avis de sécurité de Microsoft, Fortinet et Ivanti, il est important de souligner l’importance de l’application rapide de correctifs. Les vulnérabilités activement exploitées représentent une menaceimmédiate et doivent être traitées en priorité. Les organisations doivent s’assurer qu’elles disposent d’un processus efficace pour identifier, tester et déployer les correctifs de sécurité dès qu’ils sont disponibles.
En ce qui concerne Microsoft, les correctifs publiés dans le cadre de Patch Tuesday doivent être appliqués dès que possible. Les organisations doivent également envisager d’utiliser des outils de gestion des correctifs automatisés pour s’assurer que les correctifs sont déployés de manière cohérente et efficace sur tous les systèmes.
En ce qui concerne Fortinet, les organisations doivent mettre à niveau leurs produits affectés vers les versions corrigées dès que possible. Si l’application immédiate de correctifs n’est pas possible, la désactivation temporaire de l’interface d’administration HTTP/HTTPS peut aider à atténuer le risque.
En ce qui concerne Ivanti, les organisations doivent mettre à niveau vers la dernière version d’EPMM dès que possible. La filtration de l’accès à l’API à l’aide des ACL de portail intégrées ou d’un WAF externe peut également aider à réduire le risque.
En outre, il est important pour les organisations de surveiller activement leurs systèmes à la recherche d’indicateurs de compromission liés à ces vulnérabilités. Si des signes d’exploitation sont détectés, des mesures de réponse aux incidents doivent être prises immédiatement pour confiner et éradiquer la menace.
L’importance de la sensibilisation à la sécurité ne doit pas être sous-estimée. Les employés sont souvent la première ligne de défense contre les cyberattaques, et il est essentiel qu’ils soient correctement formés pour reconnaître et signaler les activités suspectes. Cette formation doit couvrir des sujets tels que l’hameçonnage, les logiciels malveillants et l’ingénierie sociale.
En conclusion, la lutte contre les cybermenaces est un défi permanent qui nécessite un engagement continu envers la sécurité. Les organisations doivent adopter une approche proactive et adaptative de la sécurité, en mettant en œuvre une stratégie de sécurité multicouche qui prend en compte les vulnérabilités spécifiques à leur environnement et les menaces les plus susceptibles de les cibler. L’application rapide de correctifs, la surveillance active des systèmes, la formation à la sensibilisation à la sécurité et la collaboration et le partage d’informations sont tous des éléments essentiels d’une posture de sécurité robuste. En adoptant ces mesures, les organisations peuvent réduire considérablement leur risque d’être victimes de cyberattaques et protéger leurs actifs les plus précieux.