📰 Édito cybersĂ©curitĂ© – Semaine du 24 au 29 juin 2025

“Tout feu, tout fuites” – quand les hackers se chauffent chez Citrix et impriment la panique

Vous pensiez qu’aprĂšs les failles Exchange, les ransomwares dans les hĂŽpitaux et les scripts pourris dans les GitHub publics, la cybersĂ©curitĂ© allait enfin prendre des vacances ? Que nenni. Cette semaine encore, l’actualitĂ© cyber s’est rĂ©vĂ©lĂ©e aussi chargĂ©e qu’un PowerShell exĂ©cutĂ© en base64 dans un fichier Excel.

đŸ”„ Au menu cette semaine :

  • Un bon gros 0-day Citrix pour pimenter votre jeudi,
  • Des imprimantes Brother et consorts qui balancent vos donnĂ©es Ă  chaque impression,
  • Des APT qui s’invitent dans les compagnies aĂ©riennes comme Ă  l’apĂ©ro,
  • Et des IA qui fuguent en laissant traĂźner des jetons d’authentification derriĂšre elles (EchoLeak, on te regarde).

🎯 Focus n°1 — Imprimantes : les agents dormants du bureau rĂ©veillĂ©s

Qui aurait cru que le tueur silencieux de votre SI portait un badge Brother, Epson ou Lexmark ? Cette semaine, plusieurs vulnĂ©rabilitĂ©s dans les firmwares d’imprimantes rĂ©seau ont refait surface. À commencer par les modĂšles Brother, vulnĂ©rables Ă  des attaques de type remote code execution via des ports ouverts, de la mauvaise gestion du SNMP, et une authentification aussi robuste qu’un mot de passe “1234”.

Les failles rĂ©fĂ©rencĂ©es touchent des modĂšles encore massivement dĂ©ployĂ©s en PME, hĂŽpitaux, collectivitĂ©s. Et comme d’habitude, les pĂ©riphĂ©riques rĂ©seau, c’est un peu comme les plantes vertes dans l’open space : on les oublie jusqu’à ce qu’elles crĂšvent. Sauf que lĂ , c’est votre SI qui flĂ©trit.

Le CERT-FR et ZDI (Zero Day Initiative) ont alertĂ© sur plusieurs CVE remontĂ©es depuis mai, dont certaines sans correctif immĂ©diat. On notera :

  • CVE‑2025‑29873 (Brother) : overflow via impression corrompue,
  • CVE‑2025‑30294 (Lexmark) : accĂšs non-authentifiĂ© au panneau web,
  • CVE‑2025‑31123 (HP) : injection via la file IPP sans logs cĂŽtĂ© SIEM (qui surveille les imprimantes ? Toi, RSSI ? Non hein).

Moralité : scanne ton réseau, isole tes imprimantes, et mets un firewall entre elles et les serveurs. Non, vraiment. Elles ne méritent pas ta confiance.

☠ Focus n°2 — Citrix, ou comment brĂ»ler vif un ADC

Jeudi dernier, dans une grande tradition des “Patch Thursdays non planifiĂ©s”, Citrix a balancĂ© un correctif pour une vulnĂ©rabilitĂ© critique, affectant ses NetScaler ADC et Gateway : CVE‑2025‑6543, gentiment notĂ©e 9.2/10 au CVSS. Parce que quitte Ă  crasher, autant le faire avec panache.

La faille permet une exĂ©cution de code Ă  distance sans authentification, directement depuis l’interface exposĂ©e. En clair : un simple GET bien formĂ©, et le NetScaler obĂ©it comme un bon petit reverse proxy zombifiĂ©.

Le plus beau ? Les attaques Ă©taient dĂ©jĂ  en cours au moment du patch. Des scanners massifs ont Ă©tĂ© dĂ©tectĂ©s sur Shodan et Censys dĂšs mercredi soir, et les honeypots ont confirmĂ© une exploitation automatisĂ©e via des botnets.

đŸ‘ïžâ€đŸ—šïž Petit rappel pour les pressĂ©s :

  • Si ton NetScaler est exposĂ© sur Internet, tu patches maintenant.
  • Si t’as pas de segmentation rĂ©seau, tu pleures demain.
  • Si tu utilises encore le compte admin/admin sur l’appliance, tu mĂ©rites ce qui t’arrive.

Citrix recommande de filtrer les accĂšs Ă  l’interface d’administration via ACL, de monitorer les connexions sortantes inattendues et… d’arrĂȘter de faire confiance Ă  des appliances obsolĂštes que personne n’a mises Ă  jour depuis le confinement.

đŸ•·ïž Bonus — APT en goguette et IA qui fume la prod

Et pendant ce temps, le groupe Scattered Spider, qu’on pourrait appeler “le gang des internets pas contents”, continue de jouer avec les compagnies aĂ©riennes. DerniĂšre victime : Hawaiian Airlines. L’attaque serait passĂ©e par une compromission de compte support, escalade de privilĂšges, et un ransomware derriĂšre, bien rangĂ© comme un bagage cabine.

Enfin, cerise sur le malware, EchoLeak expose la Microsoft 365 Copilot API Ă  une exploitation zero-click : l’IA aurait pu ĂȘtre manipulĂ©e pour exfiltrer des donnĂ©es sans action utilisateur. On s’approche doucement de l’IA qui hacke l’IA, pendant que les admins tapent encore net user /add en prod.

🧠 Morale de la semaine :

“Si ton imprimante imprime toute seule, si ton NetScaler se transforme en webshell,
si ton IA se prend pour un pentester… c’est peut-ĂȘtre le moment de couper Internet.”

📌 À suivre :

  • Auditer les pĂ©riphĂ©riques rĂ©seau (oui, mĂȘme le frigo connectĂ© de la salle de pause),
  • Isoler les interfaces d’administration (Citrix, VMware, F5, etc.),
  • VĂ©rifier que vos SIEM loggent vraiment les appels IPP et SNMP,
  • Et pour les plus tĂ©mĂ©raires : tester les impressions postscript malformĂ©es sur les vieilles imprimantes du stock (spoiler : elles explosent).
📰 Édito cybersĂ©curitĂ© – Semaine du 24 au 29 juin 2025
Partager cet article : Twitter LinkedIn WhatsApp

đŸ–‹ïž PubliĂ© sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut