Objet: Bulletin d'actualité CERTFR-2025-ACT-033

Ce bulletin d'actualité du CERT-FR revient sur les vulnérabilités significatives de la semaine passée pour souligner leurs criticités. Il ne remplace pas l'analyse de l'ensemble des avis et alertes publiés par le CERT-FR dans le cadre d'une analyse de risques pour prioriser l'application des correctifs.

Toutes les vulnérabilités évoquées dans les avis du CERT-FR doivent être prises en compte et faire l'objet d'un plan d'action lorsqu'elles génèrent des risques sur le système d'information.

Veuillez-vous référer aux avis des éditeurs pour obtenir les correctifs.

Vulnérabilités significatives de la semaine 32

Tableau récapitulatif :

Rappel des alertes CERT-FR

Incidents de sécurité dans les pare-feux SonicWall

Le 4 août 2025, SonicWall a publié un communiqué concernant des incidents de sécurité constatés sur les pare-feux de génération 7 lorsque le VPN SSL est activé. L'éditeur déclare ne pas savoir si ces incidents sont liés à une vulnérabilité déjà connue ou s'il s'agit d'une nouvelle vulnérabilité.

Plusieurs entreprises de sécurité, citées par l'éditeur, ont publié des billets de blogue, dont certains sont disponibles en source ouverte. Ceux-ci proposent des indicateurs de compromission qui n'ont pas été qualifiés par le CERT-FR.

Le 6 août 2025, SonicWall a remplacé une partie de son communiqué initial pour indiquer que les incidents de sécurité évoqués étaient vraisemblablement corrélés à la vulnérabilité CVE-2024-40766. Celle-ci a fait l'objet d'un bulletin de sécurité, SNWLID-2024-0015, publié le 8 août 2024.

Selon l'éditeur, nombre de ces incidents de sécurité sont liés à une migration de la génération 6 à 7, mais au cours de laquelle les mots de passe n'ont pas été modifiés, à l'encontre des préconisations de l'avis SNWLID-2024-0015.

Liens :

• https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-011/
• https://cyber.gouv.fr/publications/recommandations-relatives-lauthentification-multifacteur-et-aux-mots-de-passe
• https://www.cert.ssi.gouv.fr/fiche/CERTFR-2025-RFX-002/
• https://www.cert.ssi.gouv.fr/fiche/CERTFR-2025-RFX-001/

Autres vulnérabilités

CVE-2025-53786 : Vulnérabilité dans Microsoft Exchange Server

Le 6 août 2025, Microsoft a publié un avis concernant la vulnérabilité CVE-2025-53786 permettant une élévation de privilège depuis un environnement auto hébergé de Exchange Server vers un environnement nuagique. L'exploitation de la vulnérabilité nécessite des droits d'administration sur l'environnement auto hébergé.

Les versions subscription edition, 2016 et 2019 de Microsoft Exchange sont vulnérables. A noter que le support des versions 2016 et 2019 prendra fin le 14 octobre 2025.

Liens:

• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786
• https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0659/

Attaque par la chaîne d’approvisionnement de plusieurs paquets NPM via une campagne de hameçonnage visant leurs développeurs

Le 18 juillet 2025, l'un des contributeurs de plusieurs paquets NPM a publié un message déclarant qu'un attaquant avait récupéré un jeton de connexion via une attaque par hameçonnage (en pointant vers le site npnjs[.]com au lieu de npmjs.com).

Celui-ci en a profité pour publier des versions piégées des paquets suivants:

• eslint‑config‑prettier versions 8.10.1, 9.1.1, 10.1.6 et 10.1.7
• eslint‑plugin‑prettier versions 4.2.2 et 4.2.3
• synckit@0.11.9 version 0.11.9
• @pkgr/core version 0.2.8
• napi‑postinstall version 0.3.1
• got-fetch versions 5.1.11 et 5.1.12
• is versions 3.3.1 et 5.0.0

Liens:

• https://socket.dev/blog/npm-is-package-hijacked-in-expanding-supply-chain-attack
• https://github.com/enricomarino/is/blob/master/CHANGELOG.md#332--2025-07-19
• https://github.com/prettier/eslint-config-prettier/issues/339
• https://nvd.nist.gov/vuln/detail/CVE-2025-54313

Tableau récapitulatif :