Il y a des jours où le monde cyber semble étrangement calme. Pas de ransomware médiatisé, pas d’attaque d’ampleur mondiale, juste quelques bulletins d’alerte dans un coin. On respire, on se dit que c’est peut-être le signe d’un répit et des vulnérabilités du jour de bisounours.
Spoiler : non.
Ce 17 juillet, plusieurs menaces particulièrement vicieuses ont été repérées dans la nature – et pas des moindres. Elles ne cassent pas tout en grand fracas. Elles préfèrent s’infiltrer, s’enraciner, miner, détourner, tout en silence. À l’honneur aujourd’hui : des rootkits sur SonicWall, une faille activement exploitée dans Microsoft Edge, une série d’attaques DNS via BIND, et un retour d’exploitation RCE sur des serveurs Apache que l’on pensait patchés depuis 2021. Sauf qu’évidemment, certains ne l’ont jamais fait.
Alors non, ce n’est pas calme. C’est l’eau qui dort.
Au programme : des compromissions pré-auth, du code qui s’exécute là où il ne devrait jamais arriver, et des équipements que l’on croyait durcis, mais qui s’effritent comme des cookies.
On passe en revue les vulnérabilités techniques du jour, sans anesthésie.
🧨 1. Le retour du rootkit sur SonicWall
Overstep : le malware qui n’a rien d’un pas de côté
On en parlait déjà hier, voir l’article. C’est devenu une routine désagréable : un équipement de sécurité se fait trouer, et ce sont tous les principes de bon sens qui se prennent un headshot. Cette fois, c’est au tour de SonicWall SMA (Secure Mobile Access) de briller par sa vulnérabilité, et ce n’est pas un petit joueur qui est venu taper dessus.
Le groupe UNC6148, connu pour ses liens avec des campagnes de ransomware et d’extorsion, a déployé un nouveau joujou : Overstep, un malware combinant backdoor et rootkit user-mode, spécialement conçu pour s’installer bien au chaud dans les appliances SonicWall. Objectif : persistance, discrétion, prise de contrôle.
🎯 Pourquoi SonicWall ?
Parce que c’est un accès VPN d’entreprise. Parce que c’est souvent mal monitoré. Et surtout parce qu’une fois que c’est compromis, on a la clé de la maison ET l’alarme débranchée.
🧠 Ce que fait Overstep :
- Implante un rootkit user-mode pour masquer ses processus
- Exfiltre des données en douce
- Sert potentiellement de loader pour ransomware, voire de point pivot vers l’interne
- Survit aux redémarrages, se cache dans des composants système
Le tout dans une appliance que peu d’administrateurs osent surveiller en profondeur, surtout quand le firmware est ancien ou que les logs sont à peine consultés (si tant est qu’ils soient activés).
🧩 Ce qu’on sait :
- La compromission est active depuis fin 2024, détectée seulement maintenant.
- Des indicateurs de compromission (IOC) commencent à émerger (processus anormaux, connexions sortantes suspectes, fichiers obfusqués)
- Les patchs firmware sont disponibles — mais encore faut-il savoir qu’on est concerné.
✅ Ce qu’il faut faire (spoiler : pas “rien”) :
- Appliquer immédiatement les correctifs fournis par SonicWall
- Segmenter les accès VPN et désactiver l’authentification par défaut
- Déployer un audit de persistance sur les appliances exposées
- Mettre en place une détection comportementale : tout ce qui ressemble à un accès root non autorisé doit sonner comme une alarme incendie
🔍 2. Microsoft Edge : une faille discrète… mais pas les attaquants
On aurait pu croire qu’en 2025, un navigateur moderne comme Edge aurait fini par sortir de la spirale des failles critiques. Spoiler bis : non.
Le 17 juillet, Microsoft a discrètement glissé une alerte concernant une vulnérabilité désormais bien identifiée : CVE-2025-6558. Une faille activement exploitée. Sans trop de détails.Bon rien de surprenant de la part de Microsoft et rien de tel pour faire dresser l’oreille à tous les RSSI insomniaques de la planète.
🎯 Ce qu’on sait (et c’est peu) :
- Microsoft évoque une vulnérabilité dans Edge, sans publier les détails techniques. (Toujours rassurant.)
- Elle est activement exploitée dans la nature – donc potentiellement utilisée dans des campagnes de type malvertising, phishing, ou exploit web drive-by.
- Certaines sources laissent entendre une faille dans le moteur JavaScript V8, voire dans le sandboxing (donc… possible escalade de privilège ?).
Bref, tout ce qu’il faut pour que l’utilisateur final clique sur une pub douteuse et offre les clés de son PC à un inconnu en pantoufles quelque part dans le monde.
🧠 Pourquoi c’est grave :
Edge, qu’on le veuille ou non, est massivement utilisé dans les environnements Windows 10 et 11, surtout dans les entreprises qui ne veulent pas se fatiguer à pousser Firefox ou Chromium par GPO.
Et surtout, Edge s’intègre intimement à l’écosystème Microsoft : authentification SSO, cookies partagés, accès Azure, etc. Une faille là-dedans, c’est comme trouver une porte ouverte dans une banque parce que « c’est plus pratique pour le facteur ».
🔐 Que faire ?
- Mettre à jour Edge immédiatement. Pas demain. Pas quand vous aurez fini le café. Maintenant.
- Vérifier que les GPO de sécurité renforcée sont bien appliquées (mode d’isolation renforcée, blocage des scripts tiers, etc.)
- Surveiller les utilisateurs pour des comportements suspects post-navigateur (exécutions anormales, lancement de scripts, ouverture de sessions inhabituelles)
Et si vous avez des postes critiques sans supervision EDR : félicitations, vous jouez en mode hardcore.
🌐 3. ISC BIND : le doyen DNS qui ne veut pas mourir
BIND. Ce nom fleure bon les débuts d’Internet, les zones DNS à la main et les configs dans /etc/named.conf pleines de fautes de frappe. Pourtant, en 2025, BIND est toujours là. Toujours en prod. Toujours vulnérable.
Le CERT-FR a publié l’avis CERTFR-2025-AVI-0596, répertoriant plusieurs failles dans BIND (maintenu par l’ISC), dont certaines permettent :
- une atteinte à la confidentialité des données DNS
- le contournement des politiques de sécurité mises en place
- potentiellement, une dégradation de service ou l’exécution de requêtes malicieuses non filtrées
Et le plus ironique ? Ce genre de vulnérabilité ne fait jamais de bruit. Pas de ransomware flashy. Pas de gros titres. Juste une fuite lente, insidieuse… et très difficile à détecter.
🔥 Pourquoi c’est dangereux :
Un serveur DNS, c’est le GPS du réseau. Si un attaquant peut :
- observer vos requêtes,
- manipuler vos résolutions (spoof DNS),
- ou injecter des réponses frauduleuses…
… il peut vous rediriger n’importe où, voire détourner vos flux internes.
Et comme la plupart des SI laissent le port 53 grand ouvert (parce que “sinon ça coupe tout”), c’est une faille parfaite pour un attaquant discret mais ambitieux.
📉 Les scénarios possibles :
- Vol de métadonnées sur les serveurs consultés (exfiltration passive)
- Pivot DNS interne via empoisonnement ou injection TTL
- Déploiement de payloads via résolutions piégées (ex : exfil via DNS tunneling)
🔧 Ce qu’il faut faire :
- Appliquer immédiatement les mises à jour de sécurité publiées par l’ISC
- Restreindre l’accès DNS en interne (firewall sur 53/UDP + 53/TCP)
- Activer les options de rate-limiting et de journalisation DNS avancée
- Envisager le remplacement de BIND par des alternatives plus modernes si possible (Unbound, PowerDNS…)
Pro tip : si ton serveur DNS est un antique RHEL 6 sous la poussière… change carrément de métier ou migre, dans cet ordre.
🧟♂️ 4. Apache HTTP Server : le retour du path traversal zombie
On pensait cette faille enterrée en 2021, mais elle revient hanter les serveurs non patchés comme un ex toxique : CVE-2021-41773, ou comment accéder à n’importe quel fichier via une simple requête HTTP malicieusement formée.
Et elle n’est pas revenue seule : elle est accompagnée d’un petit copain bien connu dans le monde souterrain — le cryptominer Linuxsys, déployé à la chaîne sur des serveurs vulnérables dans le cadre d’une campagne active repérée en juillet.
🔎 Pour ceux qui n’ont pas suivi l’épisode précédent :
- Un serveur Apache en version 2.4.49 (non patché)
- Une requête du type
GET /../../../../etc/passwd - Et hop, l’attaquant peut accéder à n’importe quel fichier lisible
- Et dans certaines config (avec CGI ou scripts actifs)… on passe à de la Remote Code Execution (RCE)
🎯 Pourquoi c’est toujours là ?
Parce que beaucoup d’admins :
- installent puis oublient
- pensent que “c’est un serveur dev/test, c’est pas grave”
- ne surveillent ni les logs, ni les accès anonymes
Et c’est précisément ce type de négligence que les attaquants adorent. Pas besoin de 0-day hyper sophistiqué quand un bon vieux bug non patché permet d’exécuter une ligne de bash pour lancer un mineur de crypto.
🔥 Scénario en cours :
- Les attaquants scannent massivement Internet à la recherche d’instances Apache vulnérables
- Une fois trouvées, ils balancent une charge utile qui installe Linuxsys, un cryptominer minimaliste mais efficace
- Le serveur web devient un fourneau à Monero 24h/24
- Vous ? Vous découvrez ça trois mois plus tard parce que “le site rame un peu depuis la dernière MAJ”…
🔐 Recommandations immédiates :
- Vérifiez si vous avez encore des Apache < 2.4.51 (en particulier 2.4.49 ou 2.4.50)
- Cherchez dans les logs HTTP des accès contenant
../ou des chemins suspects - Désactivez l’exécution de scripts dans les répertoires upload
- Isolez les serveurs web dans des zones DMZ bien segmentées
- Bonus : activez un WAF (même open source) qui bloque les requêtes typiques de path traversal
💥 Voilà. Une faille de 2021, toujours dans la nature, toujours exploitable, toujours efficace.
On pourrait croire qu’on a progressé. Mais parfois, l’ennemi n’a même pas besoin de se renouveler. Il suffit d’attendre que l’admin oublie.
🧠 Conclusion :
Le calme n’est qu’une illusion quand l’oubli est une faille
Ce 17 juillet avait tout du jour sans histoire. Pourtant, il cache un petit bestiaire bien inquiétant de vulnérabilités, toutes différentes, mais unies par un fil rouge : l’exploitation de l’inaction.
- Un rootkit custom qui s’incruste dans les appliances SonicWall comme un squatteur discret.
- Une faille activement exploitée dans Edge, pour laquelle Microsoft joue au poker menteur avec les détails.
- Des failles silencieuses dans BIND, pour aspirer vos données DNS à petit feu.
- Et bien sûr, un bon vieux path traversal Apache recyclé pour miner en douce sur des serveurs oubliés.
Le vrai problème, ce ne sont pas les failles en elles-mêmes.
C’est leur durée de vie.
Le fait qu’en 2025, on exploite encore des CVE de 2021. Que des appliances de sécurité sont traitées comme des boîtes noires intouchables. Que les navigateurs ne sont pas monitorés, mais font pourtant tourner la moitié des applications métier.
Et c’est précisément là que se cache le danger.
🚨 Ce qu’on doit retenir :
- Patch n’est pas un gros mot. C’est un réflexe vital.
- Segmenter n’est pas une option. C’est un principe fondamental.
- Et surtout : surveiller activement, c’est le seul moyen de détecter le jour où tout bascule.
La cybersécurité n’est pas qu’une course contre les attaquants.
C’est aussi une course contre notre propre passivité.
🎁 À méditer : quand une faille vieille de 4 ans permet encore de miner de la crypto sur un serveur prod, ce n’est pas le hacker le problème. C’est la checklist de l’admin.
