đŸ§© RCE, Rootkits & BIND Ă  l’agonie : le bestiaire des vulnĂ©rabilitĂ©s du jour 

Il y a des jours oĂč le monde cyber semble Ă©trangement calme. Pas de ransomware mĂ©diatisĂ©, pas d’attaque d’ampleur mondiale, juste quelques bulletins d’alerte dans un coin. On respire, on se dit que c’est peut-ĂȘtre le signe d’un rĂ©pit et des vulnĂ©rabilitĂ©s du jour de bisounours.

Spoiler : non.

Ce 17 juillet, plusieurs menaces particuliĂšrement vicieuses ont Ă©tĂ© repĂ©rĂ©es dans la nature – et pas des moindres. Elles ne cassent pas tout en grand fracas. Elles prĂ©fĂšrent s’infiltrer, s’enraciner, miner, dĂ©tourner, tout en silence. À l’honneur aujourd’hui : des rootkits sur SonicWall, une faille activement exploitĂ©e dans Microsoft Edge, une sĂ©rie d’attaques DNS via BIND, et un retour d’exploitation RCE sur des serveurs Apache que l’on pensait patchĂ©s depuis 2021. Sauf qu’évidemment, certains ne l’ont jamais fait.

Alors non, ce n’est pas calme. C’est l’eau qui dort.

Au programme : des compromissions prĂ©-auth, du code qui s’exĂ©cute lĂ  oĂč il ne devrait jamais arriver, et des Ă©quipements que l’on croyait durcis, mais qui s’effritent comme des cookies.
On passe en revue les vulnérabilités techniques du jour, sans anesthésie.

🧹 1. Le retour du rootkit sur SonicWall

Overstep : le malware qui n’a rien d’un pas de cĂŽtĂ©

On en parlait dĂ©jĂ  hier, voir l’article. C’est devenu une routine dĂ©sagrĂ©able : un Ă©quipement de sĂ©curitĂ© se fait trouer, et ce sont tous les principes de bon sens qui se prennent un headshot. Cette fois, c’est au tour de SonicWall SMA (Secure Mobile Access) de briller par sa vulnĂ©rabilitĂ©, et ce n’est pas un petit joueur qui est venu taper dessus.

Le groupe UNC6148, connu pour ses liens avec des campagnes de ransomware et d’extorsion, a dĂ©ployĂ© un nouveau joujou : Overstep, un malware combinant backdoor et rootkit user-mode, spĂ©cialement conçu pour s’installer bien au chaud dans les appliances SonicWall. Objectif : persistancediscrĂ©tionprise de contrĂŽle.

🎯 Pourquoi SonicWall ?

Parce que c’est un accĂšs VPN d’entreprise. Parce que c’est souvent mal monitorĂ©. Et surtout parce qu’une fois que c’est compromis, on a la clĂ© de la maison ET l’alarme dĂ©branchĂ©e.

🧠 Ce que fait Overstep :

  • Implante un rootkit user-mode pour masquer ses processus
  • Exfiltre des donnĂ©es en douce
  • Sert potentiellement de loader pour ransomware, voire de point pivot vers l’interne
  • Survit aux redĂ©marrages, se cache dans des composants systĂšme

Le tout dans une appliance que peu d’administrateurs osent surveiller en profondeur, surtout quand le firmware est ancien ou que les logs sont Ă  peine consultĂ©s (si tant est qu’ils soient activĂ©s).

đŸ§© Ce qu’on sait :

  • La compromission est active depuis fin 2024, dĂ©tectĂ©e seulement maintenant.
  • Des indicateurs de compromission (IOC) commencent Ă  Ă©merger (processus anormaux, connexions sortantes suspectes, fichiers obfusquĂ©s)
  • Les patchs firmware sont disponibles — mais encore faut-il savoir qu’on est concernĂ©.

✅ Ce qu’il faut faire (spoiler : pas “rien”) :

  • Appliquer immĂ©diatement les correctifs fournis par SonicWall
  • Segmenter les accĂšs VPN et dĂ©sactiver l’authentification par dĂ©faut
  • DĂ©ployer un audit de persistance sur les appliances exposĂ©es
  • Mettre en place une dĂ©tection comportementale : tout ce qui ressemble Ă  un accĂšs root non autorisĂ© doit sonner comme une alarme incendie

🔍 2. Microsoft Edge : une faille discrùte
 mais pas les attaquants

On aurait pu croire qu’en 2025, un navigateur moderne comme Edge aurait fini par sortir de la spirale des failles critiques. Spoiler bis : non.

Le 17 juillet, Microsoft a discrĂštement glissĂ© une alerte concernant une vulnĂ©rabilitĂ© dĂ©sormais bien identifiĂ©e : CVE-2025-6558. Une faille activement exploitĂ©e. Sans trop de dĂ©tails.Bon rien de surprenant de la part de Microsoft et rien de tel pour faire dresser l’oreille Ă  tous les RSSI insomniaques de la planĂšte.

🎯 Ce qu’on sait (et c’est peu) :

  • Microsoft Ă©voque une vulnĂ©rabilitĂ© dans Edge, sans publier les dĂ©tails techniques. (Toujours rassurant.)
  • Elle est activement exploitĂ©e dans la nature – donc potentiellement utilisĂ©e dans des campagnes de type malvertising, phishing, ou exploit web drive-by.
  • Certaines sources laissent entendre une faille dans le moteur JavaScript V8, voire dans le sandboxing (donc
 possible escalade de privilĂšge ?).

Bref, tout ce qu’il faut pour que l’utilisateur final clique sur une pub douteuse et offre les clĂ©s de son PC Ă  un inconnu en pantoufles quelque part dans le monde.

🧠 Pourquoi c’est grave :

Edge, qu’on le veuille ou non, est massivement utilisĂ© dans les environnements Windows 10 et 11, surtout dans les entreprises qui ne veulent pas se fatiguer Ă  pousser Firefox ou Chromium par GPO.

Et surtout, Edge s’intĂšgre intimement Ă  l’écosystĂšme Microsoft : authentification SSOcookies partagĂ©saccĂšs Azure, etc. Une faille lĂ -dedans, c’est comme trouver une porte ouverte dans une banque parce que « c’est plus pratique pour le facteur ».

🔐 Que faire ?

  • Mettre Ă  jour Edge immĂ©diatement. Pas demain. Pas quand vous aurez fini le cafĂ©. Maintenant.
  • VĂ©rifier que les GPO de sĂ©curitĂ© renforcĂ©e sont bien appliquĂ©es (mode d’isolation renforcĂ©e, blocage des scripts tiers, etc.)
  • Surveiller les utilisateurs pour des comportements suspects post-navigateur (exĂ©cutions anormales, lancement de scripts, ouverture de sessions inhabituelles)

Et si vous avez des postes critiques sans supervision EDR : félicitations, vous jouez en mode hardcore.

🌐 3. ISC BIND : le doyen DNS qui ne veut pas mourir

BIND. Ce nom fleure bon les dĂ©buts d’Internet, les zones DNS Ă  la main et les configs dans /etc/named.conf pleines de fautes de frappe. Pourtant, en 2025, BIND est toujours lĂ . Toujours en prod. Toujours vulnĂ©rable.

Le CERT-FR a publiĂ© l’avis CERTFR-2025-AVI-0596, rĂ©pertoriant plusieurs failles dans BIND (maintenu par l’ISC), dont certaines permettent :

  • une atteinte Ă  la confidentialitĂ© des donnĂ©es DNS
  • le contournement des politiques de sĂ©curité mises en place
  • potentiellement, une dĂ©gradation de service ou l’exĂ©cution de requĂȘtes malicieuses non filtrĂ©es

Et le plus ironique ? Ce genre de vulnérabilité ne fait jamais de bruit. Pas de ransomware flashy. Pas de gros titres. Juste une fuite lente, insidieuse
 et trÚs difficile à détecter.

đŸ”„ Pourquoi c’est dangereux :

Un serveur DNS, c’est le GPS du rĂ©seau. Si un attaquant peut :

  • observer vos requĂȘtes,
  • manipuler vos rĂ©solutions (spoof DNS),
  • ou injecter des rĂ©ponses frauduleuses



 il peut vous rediriger n’importe oĂč, voire dĂ©tourner vos flux internes.
Et comme la plupart des SI laissent le port 53 grand ouvert (parce que “sinon ça coupe tout”), c’est une faille parfaite pour un attaquant discret mais ambitieux.

📉 Les scĂ©narios possibles :

  • Vol de mĂ©tadonnĂ©es sur les serveurs consultĂ©s (exfiltration passive)
  • Pivot DNS interne via empoisonnement ou injection TTL
  • DĂ©ploiement de payloads via rĂ©solutions piĂ©gĂ©es (ex : exfil via DNS tunneling)

🔧 Ce qu’il faut faire :

  • Appliquer immĂ©diatement les mises Ă  jour de sĂ©curitĂ© publiĂ©es par l’ISC
  • Restreindre l’accĂšs DNS en interne (firewall sur 53/UDP + 53/TCP)
  • Activer les options de rate-limiting et de journalisation DNS avancĂ©e
  • Envisager le remplacement de BIND par des alternatives plus modernes si possible (Unbound, PowerDNS
)

Pro tip : si ton serveur DNS est un antique RHEL 6 sous la poussiĂšre
 change carrĂ©ment de mĂ©tier ou migre, dans cet ordre.

đŸ§Ÿâ€â™‚ïž 4. Apache HTTP Server : le retour du path traversal zombie

On pensait cette faille enterrĂ©e en 2021, mais elle revient hanter les serveurs non patchĂ©s comme un ex toxique : CVE-2021-41773, ou comment accĂ©der Ă  n’importe quel fichier via une simple requĂȘte HTTP malicieusement formĂ©e.
Et elle n’est pas revenue seule : elle est accompagnĂ©e d’un petit copain bien connu dans le monde souterrain — le cryptominer Linuxsys, dĂ©ployĂ© Ă  la chaĂźne sur des serveurs vulnĂ©rables dans le cadre d’une campagne active repĂ©rĂ©e en juillet.

🔎 Pour ceux qui n’ont pas suivi l’épisode prĂ©cĂ©dent :

  • Un serveur Apache en version 2.4.49 (non patchĂ©)
  • Une requĂȘte du type GET /../../../../etc/passwd
  • Et hop, l’attaquant peut accĂ©der Ă  n’importe quel fichier lisible
  • Et dans certaines config (avec CGI ou scripts actifs)
 on passe Ă  de la Remote Code Execution (RCE)

🎯 Pourquoi c’est toujours là ?

Parce que beaucoup d’admins :

  • installent puis oublient
  • pensent que “c’est un serveur dev/test, c’est pas grave”
  • ne surveillent ni les logs, ni les accĂšs anonymes

Et c’est prĂ©cisĂ©ment ce type de nĂ©gligence que les attaquants adorent. Pas besoin de 0-day hyper sophistiquĂ© quand un bon vieux bug non patchĂ© permet d’exĂ©cuter une ligne de bash pour lancer un mineur de crypto.

đŸ”„ ScĂ©nario en cours :

  • Les attaquants scannent massivement Internet Ă  la recherche d’instances Apache vulnĂ©rables
  • Une fois trouvĂ©es, ils balancent une charge utile qui installe Linuxsys, un cryptominer minimaliste mais efficace
  • Le serveur web devient un fourneau Ă  Monero 24h/24
  • Vous ? Vous dĂ©couvrez ça trois mois plus tard parce que “le site rame un peu depuis la derniĂšre MAJ”


🔐 Recommandations immĂ©diates :

  • VĂ©rifiez si vous avez encore des Apache < 2.4.51 (en particulier 2.4.49 ou 2.4.50)
  • Cherchez dans les logs HTTP des accĂšs contenant ../ ou des chemins suspects
  • DĂ©sactivez l’exĂ©cution de scripts dans les rĂ©pertoires upload
  • Isolez les serveurs web dans des zones DMZ bien segmentĂ©es
  • Bonus : activez un WAF (mĂȘme open source) qui bloque les requĂȘtes typiques de path traversal

đŸ’„ VoilĂ . Une faille de 2021, toujours dans la nature, toujours exploitable, toujours efficace.
On pourrait croire qu’on a progressĂ©. Mais parfois, l’ennemi n’a mĂȘme pas besoin de se renouveler. Il suffit d’attendre que l’admin oublie.

🧠 Conclusion :

Le calme n’est qu’une illusion quand l’oubli est une faille

Ce 17 juillet avait tout du jour sans histoire. Pourtant, il cache un petit bestiaire bien inquiĂ©tant de vulnĂ©rabilitĂ©s, toutes diffĂ©rentes, mais unies par un fil rouge : l’exploitation de l’inaction.

  • Un rootkit custom qui s’incruste dans les appliances SonicWall comme un squatteur discret.
  • Une faille activement exploitĂ©e dans Edge, pour laquelle Microsoft joue au poker menteur avec les dĂ©tails.
  • Des failles silencieuses dans BIND, pour aspirer vos donnĂ©es DNS Ă  petit feu.
  • Et bien sĂ»r, un bon vieux path traversal Apache recyclĂ© pour miner en douce sur des serveurs oubliĂ©s.

Le vrai problĂšme, ce ne sont pas les failles en elles-mĂȘmes.
C’est leur durĂ©e de vie.
Le fait qu’en 2025, on exploite encore des CVE de 2021. Que des appliances de sĂ©curitĂ© sont traitĂ©es comme des boĂźtes noires intouchables. Que les navigateurs ne sont pas monitorĂ©s, mais font pourtant tourner la moitiĂ© des applications mĂ©tier.

Et c’est prĂ©cisĂ©ment lĂ  que se cache le danger.

🚹 Ce qu’on doit retenir :

  • Patch n’est pas un gros mot. C’est un rĂ©flexe vital.
  • Segmenter n’est pas une option. C’est un principe fondamental.
  • Et surtout : surveiller activement, c’est le seul moyen de dĂ©tecter le jour oĂč tout bascule.

La cybersĂ©curitĂ© n’est pas qu’une course contre les attaquants.
C’est aussi une course contre notre propre passivitĂ©.

🎁 Ă€ mĂ©diter : quand une faille vieille de 4 ans permet encore de miner de la crypto sur un serveur prod, ce n’est pas le hacker le problĂšme. C’est la checklist de l’admin.

đŸ§© RCE, Rootkits & BIND Ă  l’agonie : le bestiaire des vulnĂ©rabilitĂ©s du jour 
Partager cet article : Twitter LinkedIn WhatsApp

đŸ–‹ïž PubliĂ© sur SecuSlice.com

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut