Des pirates exploitent des failles de Citrix NetScaler pour compromettre les infrastructures critiques néerlandaises

Des pirates ont compromis plusieurs organisations d’infrastructures critiques aux Pays-Bas en exploitant une faille de dépassement de mémoire dans Citrix NetScaler ADC et Gateway (CVE-2025-6543), classée critique. Le Centre national de cybersécurité néerlandais a indiqué que les attaquants s’étaient infiltrés dans les réseaux début mai, plusieurs semaines avant que Citrix ne divulgue la vulnérabilité le 25 juin. Utilisant des méthodes sophistiquées, les intrus ont effacé les traces de leurs activités. Une faille critique similaire (CVE-2025-5777) a également été divulguée en juin.
Selon les chercheurs, plus de 4 100 instances NetScaler exposées sur Internet restent vulnérables à la CVE-2025-6543 et plus de 3 300 à la CVE-2025-5777 dans le monde, avec des tentatives d’exploitation détectées pour les deux.
La CISA a ajouté ces deux failles à son catalogue des vulnérabilités exploitées connues et exhorte à appliquer les correctifs immédiatement, avertissant de risques similaires à la vague d’attaques “CitrixBleed” de 2023. Citrix a connu plusieurs divulgations de failles zero-day ces dernières années, suscitant des inquiétudes sur l’ampleur potentielle de ces intrusions.

Fortinet alerte sur une faille critique dans FortiSIEM avec code d’exploitation actif

Fortinet appelle à corriger immédiatement une faille critique d’injection de commandes à distance non authentifiées dans FortiSIEM, référencée CVE-2025-25256 (CVSS 9.8). Cette vulnérabilité affecte les versions 5.4 à 7.3 et pourrait permettre à un attaquant d’exécuter du code arbitraire via des requêtes CLI spécialement conçues. Bien que Fortinet n’ait pas confirmé d’exploitation zero-day, l’entreprise avertit que du code d’exploitation fonctionnel circule déjà dans la nature.
FortiSIEM est largement utilisé par les gouvernements, les grandes entreprises, les institutions financières, les prestataires de santé et les MSSP, ce qui rend la faille particulièrement à haut risque. La détection d’une compromission est difficile, car l’exploitation ne laisse pas d’indicateurs distinctifs.
Des correctifs sont disponibles pour FortiSIEM 7.3.2, 7.2.6, 7.1.8, 7.0.4 et 6.7.10, tandis que les versions 5.4 à 6.6 ne seront pas corrigées car elles ne sont plus prises en charge.
Cette divulgation fait suite à une recrudescence d’activités malveillantes signalées par des chercheurs, renforçant les craintes d’une exploitation potentielle.

Microsoft corrige 107 failles, dont un zero-day dans Windows Kerberos, dans ses mises à jour d’août 2025

Le Patch Tuesday d’août 2025 de Microsoft apporte des correctifs pour 107 failles de sécurité, dont un zero-day divulgué publiquement dans Windows Kerberos (CVE-2025-53779). Cette vulnérabilité, classée comme modérée, pourrait permettre à un attaquant authentifié d’obtenir des privilèges d’administrateur de domaine via une traversée de chemin relative. Découverte par Yuval Gordon d’Akamai, elle a été rendue publique en mai.
La mise à jour de ce mois-ci corrige 44 failles d’élévation de privilèges, 35 d’exécution de code à distance, 18 de divulgation d’informations, quatre de déni de service et neuf d’usurpation d’identité. Treize sont classées critiques, dont neuf permettant l’exécution de code à distance.
Parmi les autres correctifs notables figurent des patchs critiques pour Windows NTLM, GDI+, DirectX, Microsoft Office et Windows Message Queuing. Microsoft recommande de mettre à jour rapidement, en particulier pour les environnements d’entreprise et les contrôleurs de domaine, afin de réduire l’exposition aux risques.
Cette mise à jour intervient après un mois marqué par une forte activité de sécurité chez plusieurs éditeurs, dont Adobe, Cisco, Fortinet, Google et Trend Micro, qui ont publié des correctifs urgents pour des vulnérabilités déjà exploitées.

ShinyHunters divulgue 2,8 millions d’enregistrements Allianz Life lors d’une violation de Salesforce

Des pirates ont divulgué 2,8 millions d’enregistrements de clients et partenaires volés à la compagnie d’assurance américaine Allianz Life lors d’une violation de données Salesforce en juillet. L’attaque, qui s’inscrit dans le cadre d’une campagne plus vaste visant les systèmes Salesforce, a été revendiquée par ShinyHunters, qui affirment désormais opérer aux côtés de Scattered Spider et d’anciens membres de Lapsus$.
Les tables “Accounts” et “Contacts” volées comprennent des informations personnelles et professionnelles sensibles telles que noms, adresses, numéros de téléphone, dates de naissance, numéros d’identification fiscale, affiliations professionnelles et données de licences.
La violation a été réalisée via de l’ingénierie sociale, en trompant des employés pour qu’ils lient une application OAuth malveillante aux instances Salesforce de l’entreprise. Une fois connectés, les attaquants ont exfiltré les données et formulé des demandes de rançon.
ShinyHunters, précédemment liés à d’importantes violations chez AT&T et Snowflake, utilisent désormais une nouvelle chaîne Telegram pour narguer les chercheurs en sécurité et les forces de l’ordre tout en revendiquant plusieurs cyberattaques majeures. L’enquête d’Allianz Life est toujours en cours.

Le Nigeria connaît la croissance la plus rapide des cyberattaques au monde, l’Afrique en tête des régions les plus visées

Le Nigeria a enregistré la plus forte progression mondiale des cyberattaques, selon de nouvelles données montrant que l’Afrique est la région la plus ciblée au monde. Le Global Threat Intelligence Report de Check Point pour juillet 2025 révèle que les organisations nigérianes ont subi en moyenne 6 101 attaques hebdomadaires, soit une hausse de 67 % par rapport à l’année précédente, ce qui en fait le pays le plus attaqué d’Afrique et l’un des plus vulnérables au monde.
À l’échelle du continent, les organisations ont subi en moyenne 3 374 attaques hebdomadaires, l’Angola (3 731), le Kenya (3 468) et l’Afrique du Sud (2 113) étant également très ciblés. Les télécommunications, le gouvernement et les services financiers ont été les secteurs les plus attaqués, suivis par l’énergie et les services publics.
Au niveau mondial, les organisations ont subi en moyenne 1 947 attaques hebdomadaires en juillet, soit une hausse de 5 % par rapport à l’année précédente. L’éducation a été le secteur le plus touché, avec 4 210 attaques hebdomadaires, tandis que l’agriculture a connu une augmentation de 115 %.
Les cas de ransomware ont augmenté de 41 %, atteignant 487 incidents, principalement menés par Qilin, Akira et Play.

Norvège : des hackers russes ont temporairement pris le contrôle d’un barrage

La Norvège a officiellement attribué à des hackers russes une cyberattaque contre le barrage hydroélectrique de Bremanger en avril, marquant la première fois que le pays accuse directement Moscou d’un tel incident. Le 7 avril, les attaquants ont pris le contrôle de l’installation, ouvrant une vanne qui a libéré 500 litres d’eau par seconde pendant quatre heures avant que l’intrusion ne soit détectée et stoppée. Aucun blessé n’a été signalé.
Beate Gangaas, chef de la police de sécurité PST norvégienne, a déclaré que l’attaque faisait partie d’un “changement d’activité” de la part d’acteurs cyber pro-russes, visant à semer la peur et le chaos. Elle a averti que le “voisin russe” de la Norvège “est devenu plus dangereux”.
L’incident met en évidence les risques croissants pesant sur l’infrastructure énergétique norvégienne, fortement dépendante de l’hydroélectricité. Il intervient après des avertissements plus larges concernant des campagnes de sabotage russes en Europe. Gangaas a expliqué avoir rendu l’affaire publique pour préparer les Norvégiens et dissuader de futures attaques. L’ambassade russe à Oslo n’a pas commenté.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger des menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bien contactez-nous pour découvrir comment vous pouvez protéger votre organisation.