“Tout feu, tout fuites” – quand les hackers se chauffent chez Citrix et impriment la panique
Vous pensiez qu’après les failles Exchange, les ransomwares dans les hôpitaux et les scripts pourris dans les GitHub publics, la cybersécurité allait enfin prendre des vacances ? Que nenni. Cette semaine encore, l’actualité cyber s’est révélée aussi chargée qu’un PowerShell exécuté en base64 dans un fichier Excel.
🔥 Au menu cette semaine :
- Un bon gros 0-day Citrix pour pimenter votre jeudi,
- Des imprimantes Brother et consorts qui balancent vos données à chaque impression,
- Des APT qui s’invitent dans les compagnies aériennes comme à l’apéro,
- Et des IA qui fuguent en laissant traîner des jetons d’authentification derrière elles (EchoLeak, on te regarde).
🎯 Focus n°1 — Imprimantes : les agents dormants du bureau réveillés
Qui aurait cru que le tueur silencieux de votre SI portait un badge Brother, Epson ou Lexmark ? Cette semaine, plusieurs vulnérabilités dans les firmwares d’imprimantes réseau ont refait surface. À commencer par les modèles Brother, vulnérables à des attaques de type remote code execution via des ports ouverts, de la mauvaise gestion du SNMP, et une authentification aussi robuste qu’un mot de passe “1234”.
Les failles référencées touchent des modèles encore massivement déployés en PME, hôpitaux, collectivités. Et comme d’habitude, les périphériques réseau, c’est un peu comme les plantes vertes dans l’open space : on les oublie jusqu’à ce qu’elles crèvent. Sauf que là, c’est votre SI qui flétrit.
Le CERT-FR et ZDI (Zero Day Initiative) ont alerté sur plusieurs CVE remontées depuis mai, dont certaines sans correctif immédiat. On notera :
- CVE‑2025‑29873 (Brother) : overflow via impression corrompue,
- CVE‑2025‑30294 (Lexmark) : accès non-authentifié au panneau web,
- CVE‑2025‑31123 (HP) : injection via la file IPP sans logs côté SIEM (qui surveille les imprimantes ? Toi, RSSI ? Non hein).
Moralité : scanne ton réseau, isole tes imprimantes, et mets un firewall entre elles et les serveurs. Non, vraiment. Elles ne méritent pas ta confiance.
☠️ Focus n°2 — Citrix, ou comment brûler vif un ADC
Jeudi dernier, dans une grande tradition des “Patch Thursdays non planifiés”, Citrix a balancé un correctif pour une vulnérabilité critique, affectant ses NetScaler ADC et Gateway : CVE‑2025‑6543, gentiment notée 9.2/10 au CVSS. Parce que quitte à crasher, autant le faire avec panache.
La faille permet une exécution de code à distance sans authentification, directement depuis l’interface exposée. En clair : un simple GET bien formé, et le NetScaler obéit comme un bon petit reverse proxy zombifié.
Le plus beau ? Les attaques étaient déjà en cours au moment du patch. Des scanners massifs ont été détectés sur Shodan et Censys dès mercredi soir, et les honeypots ont confirmé une exploitation automatisée via des botnets.
👁️🗨️ Petit rappel pour les pressés :
- Si ton NetScaler est exposé sur Internet, tu patches maintenant.
- Si t’as pas de segmentation réseau, tu pleures demain.
- Si tu utilises encore le compte admin/admin sur l’appliance, tu mérites ce qui t’arrive.
Citrix recommande de filtrer les accès à l’interface d’administration via ACL, de monitorer les connexions sortantes inattendues et… d’arrêter de faire confiance à des appliances obsolètes que personne n’a mises à jour depuis le confinement.
🕷️ Bonus — APT en goguette et IA qui fume la prod
Et pendant ce temps, le groupe Scattered Spider, qu’on pourrait appeler “le gang des internets pas contents”, continue de jouer avec les compagnies aériennes. Dernière victime : Hawaiian Airlines. L’attaque serait passée par une compromission de compte support, escalade de privilèges, et un ransomware derrière, bien rangé comme un bagage cabine.
Enfin, cerise sur le malware, EchoLeak expose la Microsoft 365 Copilot API à une exploitation zero-click : l’IA aurait pu être manipulée pour exfiltrer des données sans action utilisateur. On s’approche doucement de l’IA qui hacke l’IA, pendant que les admins tapent encore net user /add en prod.
🧠 Morale de la semaine :
“Si ton imprimante imprime toute seule, si ton NetScaler se transforme en webshell,
si ton IA se prend pour un pentester… c’est peut-être le moment de couper Internet.”
📌 À suivre :
- Auditer les périphériques réseau (oui, même le frigo connecté de la salle de pause),
- Isoler les interfaces d’administration (Citrix, VMware, F5, etc.),
- Vérifier que vos SIEM loggent vraiment les appels IPP et SNMP,
- Et pour les plus téméraires : tester les impressions postscript malformées sur les vieilles imprimantes du stock (spoiler : elles explosent).
