“2025, ou l’année où un jour sans CVE – Zéro-Day critique, c’est qu’il y a eu panne d’Internet.”
💣 Les vulnérabilités actives ne prennent plus de vacances
Le 16 juillet 2025, c’est Noël pour les pentesters et l’enfer pour les RSSI. Chrome, Windows Server, Fortinet, Atlassian, VMware, SQLite… Tout le monde y passe.
Et la particularité du jour ? Une rafale de vulnérabilités activement exploitées, dont plusieurs zero-days.
SecuSlice fait le point sur les failles à patcher hier, et celles pour lesquelles il est déjà trop tard si vous êtes touchés.
🔥 1. CVE-2025-6558 – Chrome en feu, 5e Zero-Day de l’année
📌 Détails :
- Impact : exécution de code à distance (via ANGLE/GPU)
- Score CVSS : 8.8
- Exploitabilité : active dans la nature
- Versions impactées : avant la dernière mise à jour de Chrome (déployée en urgence)
🧠 Pourquoi c’est grave :
ANGLE gère le rendu graphique. Injecter du code à ce niveau permet :
- D’exécuter du code arbitraire sans interaction
- De contourner les bacs à sable
- Et parfois de pivoter vers l’OS (surtout sur Windows)
Patch dispo. Si tu n’as pas redémarré ton navigateur, t’es peut-être déjà dans les logs d’un serveur moldave.
🔐 2. Windows Server 2025 – La faille dMSA “Golden Access”
📌 Détails :
- Flaw critique dans la gestion des Managed Service Accounts délégués (dMSA)
- Permet : persistance cross-domain, accès total aux ressources AD
- Rapport détaillé par Semperis (et c’est du costaud)
🎯 Traduction humaine :
Un attaquant avec accès limité peut pivoter sur tout le SI AD indéfiniment, et sans générer d’alertes classiques. C’est le Golden Ticket, version moderne et déléguée.
Les dMSA mal configurés sont des bombes à retardement. Ce défaut de design devient le nouveau « Pass-the-Hash ». Pas de patch immédiat à l’horizon, mais des recommandations de contournement.
🧠 3. CVE-2025-6965 – SQLite : une IA détecte la faille avant les pirates
📌 Découverte :
Par Big Sleep, un agent LLM de Google qui sert à auditer du code open source
- Impact : corruption mémoire → exécution de code
- Versions concernées : < 3.50.2
- Gravité : 7.2
- Exploitation active : non confirmée, mais possible à court terme
🔍 Ce qui change :
L’IA a détecté cette faille avant même qu’elle ne fuite sur GitHub.
Bonne nouvelle ? Oui.
Mais ça montre aussi que les attaquants peuvent faire pareil… voire mieux.
💀 4. Fortinet FortiWeb – CVE-2025-25257
📌 Description :
- RCE (Remote Code Execution) à distance
- Déjà exploitée publiquement
- Des webshells sont en circulation
📉 Contexte :
Les FortiWeb vulnérables n’ont pas été patchés malgré l’alerte précédente. On parle ici d’accès direct au shell root via des API mal sécurisées.
Plusieurs honeypots montrent des scans massifs en cours.
Traduction : si vous exposez FortiWeb, vous êtes une cible. Et pas qu’en théorie.
🧱 5. Atlassian, VMware, Chrome (again) – Combo CERT-FR
🔎 CERTFR-2025-AVI-0593 / 0592 / 0591 :
- Vulnérabilités multiples dans :
- Atlassian Confluence & Jira
- VMware ESXi / vSphere / Horizon
- Chrome (encore lui)
→ Risques :
- Exécution de code à distance
- Exfiltration de données
- Déni de service
→ Particularité : plusieurs failles non précisées par les éditeurs, ce qui sent bon la mitigation en urgence.
📊 Le tableau des horreurs (résumé express)
| Produit | CVE | Type | Exploité ? | Gravité |
|---|---|---|---|---|
| Chrome | CVE-2025-6558 | RCE via ANGLE | ✅ Oui | 8.8 |
| Windows Server 2025 | dMSA flaw (no CVE) | Design flaw / LPE | ⚠️ Potentielle | Critique |
| SQLite | CVE-2025-6965 | Memory corruption | ❌ Pas encore | 7.2 |
| FortiWeb | CVE-2025-25257 | RCE | ✅ Confirmé | Élevée |
| Atlassian/VMware | Multiples (CERT-FR) | Divers | ❓ Flou | Variable |
🚨 Recommandations
Pour les admins pressés :
- ✅ Chrome : forcer la mise à jour + redémarrage de tous les postes
- 🔐 Windows Server : audit des comptes dMSA + blocage délégation non utilisée
- 🔥 FortiWeb : patch immédiat + scan de compromission + logs web
- 🧠 SQLite : mise à jour dans les conteneurs/applications embarquées (Electron, etc.)
- 📋 VMware/Atlassian : appliquer les patchs dès publication + segmenter les accès
🎯 Conclusion : Bienvenue dans l’ère de la Zero-Day fatigue
Les vulnérabilités ne se comptent plus, elles s’empilent.
On ne fait plus la chasse aux failles, on fait la gestion de priorités en mode panique.
Et pendant ce temps :
- Les pirates exploitent dans les heures suivant la publication.
- Les RSSI n’ont ni le temps ni les ressources pour tout patcher.
- Et les utilisateurs… continuent de cliquer sur “plus tard”.
