Le schéma du jour est brutal mais clair : appliances en bordure, boîtes mail et flux de confiance du helpdesk sont exploités d’une manière qui survit aux remédiations superficielles.
À retenir : Trois sujets exigent une attention immédiate ce matin : un malware sur pare-feu capable de survivre au cycle de patching, une plateforme mail avec des milliers de serveurs exposés encore vulnérables, et un groupe d’extorsion orienté vishing qui transforme les workflows de support en chemins de compromission.
La CISA et le NCSC britannique avertissent que la porte dérobée Firestarter peut persister sur les équipements Cisco Firepower et Secure Firewall même après redémarrage, mise à jour du firmware et correctifs de sécurité. Le malware, lié à un acteur d’espionnage suivi par Cisco, s’accroche au processus LINA, se réinstalle lorsqu’il est stoppé et peut être déclenché via du trafic WebVPN préparé. Le message de Cisco est clair : les versions corrigées comptent, mais la voie de nettoyage recommandée reste la réinstallation complète de l’équipement.
Shadowserver indique que plus de 10 500 serveurs Zimbra Collaboration Suite exposés sur Internet restent vulnérables à CVE-2025-48700, une faille XSS déjà répertoriée par la CISA comme activement exploitée. Le défaut touche plusieurs branches ZCS et peut permettre à un attaquant non authentifié d’exécuter du JavaScript dans la session webmail d’une victime lorsqu’un message piégé est ouvert dans l’interface Classic. C’est critique, car Zimbra sert depuis longtemps de tremplin pour le vol d’e-mails et des campagnes liées à des États.
BlackFile est associé à une hausse des attaques d’extorsion menées par vishing contre le retail et l’hôtellerie. Les attaquants usurpent le support IT, récupèrent identifiants et codes à usage unique via de fausses pages de connexion, puis enregistrent leurs propres appareils pour contourner la MFA. Ensuite, ils pillent Salesforce et SharePoint via des API standards, volent des fichiers sensibles et accentuent la pression avec des demandes de rançon et même des tentatives de swatting.
En bref : Le schéma du jour est brutal mais clair : appliances en bordure, boîtes mail et flux de confiance du helpdesk sont exploités d’une manière qui survit aux remédiations superficielles.
KENSAI aide les équipes à faire remonter les chemins d’attaque exposés sur les appliances réseau, la messagerie, les flux d’identité et les outils cloud avant que des attaquants ne transforment des workflows normaux en infrastructure d’intrusion.
Scan gratuit →Restez affûtés.
🗡️ Équipe Sécurité KENSAI