← Retour au blog
Security Briefing4 min de lecture2026-04-25

Security Briefing, 25 avril 2026 : persistance de Firestarter, exposition de Zimbra et extorsion par vishing de BlackFile

Le schéma du jour est brutal mais clair : appliances en bordure, boîtes mail et flux de confiance du helpdesk sont exploités d’une manière qui survit aux remédiations superficielles.


À retenir : Trois sujets exigent une attention immédiate ce matin : un malware sur pare-feu capable de survivre au cycle de patching, une plateforme mail avec des milliers de serveurs exposés encore vulnérables, et un groupe d’extorsion orienté vishing qui transforme les workflows de support en chemins de compromission.


1. Firestarter transforme le patching des pare-feu Cisco en fausse ligne d’arrivée

La CISA et le NCSC britannique avertissent que la porte dérobée Firestarter peut persister sur les équipements Cisco Firepower et Secure Firewall même après redémarrage, mise à jour du firmware et correctifs de sécurité. Le malware, lié à un acteur d’espionnage suivi par Cisco, s’accroche au processus LINA, se réinstalle lorsqu’il est stoppé et peut être déclenché via du trafic WebVPN préparé. Le message de Cisco est clair : les versions corrigées comptent, mais la voie de nettoyage recommandée reste la réinstallation complète de l’équipement.


2. Plus de 10 000 serveurs Zimbra exposés restent dans la zone d’impact

Shadowserver indique que plus de 10 500 serveurs Zimbra Collaboration Suite exposés sur Internet restent vulnérables à CVE-2025-48700, une faille XSS déjà répertoriée par la CISA comme activement exploitée. Le défaut touche plusieurs branches ZCS et peut permettre à un attaquant non authentifié d’exécuter du JavaScript dans la session webmail d’une victime lorsqu’un message piégé est ouvert dans l’interface Classic. C’est critique, car Zimbra sert depuis longtemps de tremplin pour le vol d’e-mails et des campagnes liées à des États.


3. BlackFile prouve encore qu’un faux appel helpdesk peut briser une entreprise moderne

BlackFile est associé à une hausse des attaques d’extorsion menées par vishing contre le retail et l’hôtellerie. Les attaquants usurpent le support IT, récupèrent identifiants et codes à usage unique via de fausses pages de connexion, puis enregistrent leurs propres appareils pour contourner la MFA. Ensuite, ils pillent Salesforce et SharePoint via des API standards, volent des fichiers sensibles et accentuent la pression avec des demandes de rançon et même des tentatives de swatting.


Ce que les équipes sécurité doivent faire aujourd’hui

  1. Lancer les contrôles de compromission sur les pare-feu Cisco et planifier un reimaging si des indicateurs apparaissent.
  2. Terminer le patching Zimbra et chasser les abus de session déclenchés par e-mails malveillants.
  3. Renforcer les contrôles d’identité du helpdesk, surtout pour le support à distance et les resets MFA.
  4. Examiner les exports SaaS et les enrôlements d’appareils pour détecter une intrusion de style BlackFile.

Sources


En bref : Le schéma du jour est brutal mais clair : appliances en bordure, boîtes mail et flux de confiance du helpdesk sont exploités d’une manière qui survit aux remédiations superficielles.

Repérez les ruptures de confiance avant qu’elles ne deviennent des incidents

KENSAI aide les équipes à faire remonter les chemins d’attaque exposés sur les appliances réseau, la messagerie, les flux d’identité et les outils cloud avant que des attaquants ne transforment des workflows normaux en infrastructure d’intrusion.

Scan gratuit →

Restez affûtés.

🗡️ Équipe Sécurité KENSAI