C’est l’été, les orages approchent… et côté cybersécurité, c’est déjà la tempête. Le 26 juin 2025, jeudi noir en cybersécurité, restera dans les annales comme une de ces journées où les RSSI transpirent avant même leur premier café. Et pour cause : entre vulnérabilités critiques, exploitations actives, piratages, procès, cookies siphonnés et firmware démoniaques, c’était Noël en avance pour les attaquants.
Voici une petite rétrospective, sur un ton légèrement piquant — mais on vous jure, c’est avec bienveillance.
🧨 Trio gagnant : Cisco, Citrix, AMI
1. Cisco ISE – Root sans invitation
La journée commence fort avec CVE-2025-20281 et 20282, deux failles critiques (CVSS 10) dans Cisco ISE et ISE-PIC. L’exploitation est simple : un attaquant non authentifié peut exécuter du code en tant que root. Un genre de “skip the login, own the box”.
Le produit est censé gérer vos accès réseau. Mais là, c’est plutôt l’inverse : l’attaquant gère votre réseau. Merci Cisco, on vous recontacte dès qu’on aura terminé notre crise d’angoisse.
2. Citrix NetScaler – CitrixBleed 2, la revanche
Citrix rempile avec CitrixBleed 2 (CVE-2025-5777), digne successeur du désormais célèbre CitrixBleed. Une faille zero-day qui permet de voler les cookies de session sans authentification, sur plus de 56 000 instances vulnérables. Oui, 56 000. Oui, sans login. Oui, c’est déjà exploité.
Le portail VPN devient un tapis rouge. SSO, MFA ? Même pas peur. Un bon vieux cookie, et vous voilà administrateur.
3. AMI MegaRAC – Le BMC des enfers
Et pour finir le tiercé, AMI MegaRAC offre un joli cadeau empoisonné : une vulnérabilité critique (CVE-2024-54085)permettant à un attaquant de prendre le contrôle complet du serveur via le BMC, y compris à distance, sans login, et même si l’OS est éteint.
Vous pensiez avoir tout vu ? Imaginez que l’attaquant flashe un firmware malveillant, ou pire, bricke votre serveur. Le tout en silence. Pas de logs. Pas de témoin. Juste vous et votre désespoir face à une carte mère zombifiée.
💥 Les incidents du jour
Côté incidents, on a aussi été servis :
- Un ex-étudiant australien a été inculpé pour avoir hacké son université… pour payer moins cher son parking (et voler quelques données au passage, tant qu’à faire).
- Le tristement célèbre IntelBroker (Kai West) a été arrêté pour des fuites de données estimées à 25 millions de dollars. Quand le cybercrime devient une carrière.
- Scattered Spider, toujours aussi inspiré, a pivoté vers les assureurs US avec du MFA bypass, du helpdesk scam et autres joyeusetés sociales.
- Et en cadeau bonus : une attaque ClickFix en hausse de 517 %, méthode de social engineering redoutable via de faux CAPTCHA pour livrer… ransomware, infostealers, et tout le buffet malveillant habituel.
🐛 Bonus vulnérabilités (on ne s’ennuie jamais)
- Le registre Open VSX (extensions VS Code) aurait pu être compromis par une seule faille, menaçant des millions de développeurs. Supply chain, mon amour.
- Centreon Map, VMware Tanzu, WinRAR, Microsoft Excel 2024, Sitecore… tous frappés par des RCE ou failles critiques, avec une jolie moisson de PoC sur Exploit-DB.
- Même les imprimantes Brother ont décidé de participer à la fête : 689 modèles avec des mots de passe admin… prévisibles et non modifiables.
📬 Côté patchs, bugs et absurdités
- Microsoft a corrigé un bug qui faisait planter Outlook quand on ouvrait un mail. Oui, le mail. C’est embêtant pour un client mail, non ?
- Leur service Family Safety bloque aussi Google Chrome sans raison. Parce qu’évidemment, il faut protéger les enfants… des navigateurs concurrents.
- WhatsApp, de son côté, vous propose désormais des résumés de messages grâce à l’IA. Idéal pour ne plus lire les messages de vos collègues, mais rester crédible.
🧠 Ce qu’on en retient (et ce qu’on devrait faire)
Pour les responsables cyber :
- Segmenter, isoler, bastionner. Vos équipements critiques ne doivent pas être joignables en clair depuis l’extérieur.
- Patcher maintenant, pas après la prochaine réunion.
- Superviser le BMC comme un composant stratégique.
- Surveiller les portails VPN et MFA comme des zones de guerre.
- Et surtout : réagir plus vite que les attaquants, car eux, ils ont déjà lu le bulletin de vulnérabilité. Et ils automatisent.
🧾 En résumé
🌩️ Journée noire pour la cybersécurité.
🔓 Trois failles CVSS 10 qui ouvrent grand les portes.
💻 Des incidents qui confirment que les hackers n’attendent pas les vacances.
🧑💻 Des admins fatigués, des RSSI résignés… et des budgets cybersécurité qui vont devoir s’ajuster.
Vous êtes toujours debout après tout ça ? Bravo.
Prenez un café (ou un rhum). Demain, on recommence.
