Une faille dans un plugin WordPress expose des données sensibles

Une vulnérabilité critique a été découverte dans le plugin WordPress populaire Anti-Malware Security and Brute-Force Firewall, installé sur plus de 100 000 sites. Répertoriée sous le nom CVE-2025-11705, cette faille permet à des utilisateurs authentifiés avec des droits de niveau abonné de lire n’importe quel fichier sur le serveur, y compris des fichiers sensibles comme wp-config.php, exposant ainsi les identifiants de base de données, les empreintes de mots de passe et les clés d’authentification.

Le problème, signalé à Wordfence, affecte les versions 4.23.81 et antérieures et provient de l’absence de vérification des capacités dans la fonction de scan AJAX du plugin. Une version corrigée, 4.23.83, a été publiée le 15 octobre, ajoutant une vérification utilisateur appropriée.

Bien qu’aucune exploitation active n’ait été observée, tout site autorisant l’inscription d’utilisateurs est potentiellement à risque. Les administrateurs sont fortement encouragés à mettre à jour immédiatement.

Des hacktivistes compromettent des systèmes d’infrastructure critique au Canada

Le Centre canadien pour la cybersécurité a émis une alerte après que des hacktivistes ont compromis plusieurs systèmes d’infrastructure critique, manipulant des contrôles industriels dans des incidents qui auraient pu entraîner des conditions dangereuses. L’alerte cite trois cas récents : une station de traitement des eaux, une entreprise pétrolière et gazière, et une exploitation agricole, où les attaquants ont modifié les valeurs de pression, de température et de surveillance, déclenchant de fausses alertes et des perturbations opérationnelles.

Les autorités estiment que ces intrusions étaient opportunistes plutôt que sophistiquées, visant à semer la peur, attirer l’attention médiatique et miner la confiance du public. Ces incidents font écho à des préoccupations mondiales similaires, comme les tentatives récentes de hackers liés à la Russie ciblant des systèmes industriels aux États-Unis.

Le Centre recommande de supprimer l’accès direct à Internet, d’utiliser l’authentification multifactorielle, de réaliser des tests de pénétration et de maintenir les firmwares à jour.

Microsoft résout une panne DNS mondiale après une interruption similaire chez AWS

Microsoft a résolu une panne DNS majeure qui a temporairement affecté Azure, Microsoft 365 et d’autres services à l’échelle mondiale. Commencée vers 16h00 UTC, la panne a provoqué des échecs de connexion généralisés, empêchant les utilisateurs d’accéder aux réseaux d’entreprise, au portail Azure, à Intune et au centre d’administration Exchange.

Des dizaines de milliers d’organisations ont été touchées, y compris des prestataires de santé et le système ferroviaire néerlandais, qui a subi des interruptions dans ses systèmes de billetterie et de voyage en ligne. Microsoft a confirmé des problèmes avec Azure Front Door CDN et a conseillé d’utiliser des méthodes programmatiques comme PowerShell et CLI jusqu’au rétablissement complet.

L’incident survient peu après une panne DNS majeure chez AWS (Amazon Web Services) qui a perturbé des millions de plateformes en ligne. Microsoft a rétabli les services en redirigeant le trafic et poursuit son enquête pour renforcer la résilience de ses services.

Atroposia : un Malware-as-a-Service inquiétant

Des chercheurs en sécurité chez Varonis ont découvert une nouvelle plateforme Malware-as-a-Service (MaaS) appelée Atroposia, qui propose aux cybercriminels un puissant cheval de Troie d’accès à distance (RAT) pour seulement 200 $ par mois. Cet outil modulaire permet un accès furtif et persistant aux systèmes infectés, avec des fonctionnalités avancées telles que des sessions de bureau à distance cachées, le contrôle du système de fichiers, le vol de presse-papiers et d’identifiants, ainsi que le détournement DNS.

La communication chiffrée d’Atroposia et sa capacité à contourner le Contrôle de compte utilisateur (UAC) de Windows le rendent particulièrement dangereux. Son scanner de vulnérabilités intégré peut identifier des failles exploitables dans les environnements d’entreprise, comme des clients VPN obsolètes ou des logiciels non corrigés.

Varonis avertit qu’Atroposia rejoint une liste croissante d’outils cybercriminels prêts à l’emploi comme SpamGPT et MatrixPDF, abaissant la barrière technique pour les attaquants peu expérimentés.

Herodotus et GhostGrab ciblent les utilisateurs Android dans le monde entier

Deux nouvelles menaces Android, Herodotus et GhostGrab, émergent dans l’écosystème croissant du Malware-as-a-Service (MaaS).

Herodotus, découvert par ThreatFabric, est un cheval de Troie bancaire ciblant l’Italie et le Brésil. Il imite le comportement humain pour contourner les systèmes biométriques de détection de fraude et abuse des services d’accessibilité Android pour prendre le contrôle des appareils, voler des identifiants et intercepter les codes 2FA. Sa fonction distinctive est l’introduction de délais aléatoires dans les actions à distance, rendant les interactions plus humaines pour éviter la détection.

GhostGrab, identifié par CYFIRMA, est une menace hybride visant les utilisateurs en Inde. Elle combine le vol de données bancaires avec du minage caché de Monero, créant une double source de revenus pour les attaquants. Distribuée via de fausses applications financières, elle demande des autorisations à haut risque pour voler des données sensibles, y compris des codes PIN et des documents d’identité.

Ces deux menaces illustrent la sophistication croissante des malwares Android.

Conseil de sécurité : évitez d’installer des applications en dehors des boutiques officielles, vérifiez les autorisations et utilisez uniquement des sources fiables comme Google Play.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger des menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou bien contactez-nous pour découvrir comment vous pouvez protéger votre organisation.

Le bulletin d'information sur les menaces a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons à la date de publication. Il ne doit pas être considéré comme un avis juridique, consultatif ou professionnel. Toute recommandation doit être examinée dans le contexte de votre propre organisation. Integrity360 n'adopte aucune position politique dans les informations que nous partageons. De plus, les opinions exprimées ne reflètent pas nécessairement le point de vue d'Integrity360.