L'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a ajouté une faille récemment découverte et une autre beaucoup plus ancienne à son catalogue des vulnérabilités connues exploitées (KEV).
Le catalogue KEV fournit aux agences fédérales civiles (FCEB) une liste des vulnérabilités connues pour être exploitées dans la nature, ainsi que les dates limites auxquelles elles doivent être corrigées. Dans les deux cas, la date limite est fixée au 28 janvier 2026.
Mais les alertes CISA ne s'adressent pas uniquement aux agences gouvernementales. Elles fournissent également des conseils aux entreprises et aux utilisateurs finaux sur les vulnérabilités à corriger en priorité, en se basant sur des cas d'exploitation réels.
Une faille critique dans HPE OneView
La vulnérabilité récemment découverte, référencée sous le nom CVE-2025-37164, a obtenu un score CVSS de 10 sur 10 et permet l'exécution de code à distance. Cette faille affecte HPE OneView, une plateforme utilisée pour gérer l'infrastructure informatique, et un correctif a été publié le 17 décembre 2025.
Cette vulnérabilité critique permet à un attaquant distant non authentifié d'exécuter du code et potentiellement d'obtenir un contrôle à grande échelle sur les serveurs, les micrologiciels et la gestion du cycle de vie. Les plateformes de gestion telles que HPE OneView sont souvent déployées au cœur des réseaux d'entreprise, où elles disposent de privilèges étendus et d'une surveillance limitée, car elles sont considérées comme fiables.
Le code de validation de principe (PoC), sous la forme d'un module Metasploit, a été rendu public seulement un jour après la publication du correctif.
Une vulnérabilité PowerPoint datant de 2009 refait surface
Le dinosaure de la cybersécurité dont il est question ici est une vulnérabilité dans Microsoft PowerPoint, référencée sous le nom CVE-2009-0556, qui remonte à plus de 15 ans. Elle affecte :
- Microsoft Office PowerPoint 2000 SP3
- PowerPoint 2002 SP3
- PowerPoint 2003 SP3
- PowerPoint dans Microsoft Office 2004 pour Mac
Cette faille permet à des pirates distants d'exécuter du code arbitraire en incitant la victime à ouvrir un fichier PowerPoint spécialement conçu pour déclencher une corruption de la mémoire.
Dans le passé, cette vulnérabilité était exploitée par un logiciel malveillant connu sous le nom d'Apptom. La CISA ajoute rarement des vulnérabilités au catalogue KEV basées sur d'anciens exploits. La réapparition « soudaine » de la vulnérabilité PowerPoint de 2009 suggère donc que les pirates ciblent les anciennes installations Office encore déployées.
Une exploitation réussie peut permettre aux pirates d'exécuter du code arbitraire, de déployer des logiciels malveillants et d'établir une base pour se déplacer latéralement à l'intérieur d'un réseau. Contrairement à la faille HPE OneView, cette attaque nécessite l'interaction de l'utilisateur : la cible doit ouvrir le fichier PowerPoint malveillant.
Restez en sécurité
En matière de gestion des vulnérabilités, il est essentiel de hiérarchiser les correctifs à appliquer pour garantir la sécurité. Ainsi, pour éviter d'être victime d'une exploitation de vulnérabilités connues :
- Consultez régulièrement le catalogue CISA KEV pour connaître les vulnérabilités actuellement exploitées.
- Mettez à jour aussi rapidement que possible sans interrompre votre routine quotidienne.
- Utilisez une solution anti-malware mise à jour en temps réel pour intercepter les exploits et les attaques de logiciels malveillants.
- N'ouvrez pas les pièces jointes non sollicitées sans avoir vérifié auprès de l'expéditeur (de confiance).
Nous ne nous contentons pas de signaler les menaces, nous les éliminons.
Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.
