Google corrige une vulnérabilité zero-day activement exploitée dans le moteur de rendu GPU de Chrome

Google a corrigé une vulnérabilité zero-day critique (CVE-2025-6558) dans son navigateur Chrome, exploitée activement dans la nature. Il s’agit de la cinquième vulnérabilité zero-day corrigée par Google en 2025. Cette faille provient d’une validation insuffisante des entrées non fiables dans les composants ANGLE et GPU de Chrome, ce qui pourrait permettre à des attaquants de sortir du bac à sable du navigateur via une page HTML spécialement conçue.
Découverte par le Threat Analysis Group (TAG) de Google, l’exploit permettrait à un attaquant d’exécuter du code en dehors de l’environnement sécurisé de Chrome et d’obtenir potentiellement un accès au système hôte sans interaction autre que la visite d’un site malveillant. Cela la rend particulièrement dangereuse dans les campagnes ciblées ou menées par des États.
Les utilisateurs sont fortement encouragés à mettre à jour Chrome vers la version 138.0.7204.157/.158. Les utilisateurs de navigateurs basés sur Chromium tels que Edge ou Brave doivent également appliquer les mises à jour dès qu’elles sont disponibles. Cette faille souligne l’importance croissante de surveiller les vulnérabilités dans les moteurs GPU et les chaînes de rendu des navigateurs.

Cisco alerte sur une vulnérabilité critique dans ISE permettant un accès root (CVE-2025-20337)

Cisco a émis une alerte critique concernant une vulnérabilité zero-click nouvellement découverte affectant Identity Services Engine (ISE) et ISE Passive Identity Connector (ISE-PIC). Référencée sous le code CVE-2025-20337 et notée au score CVSS maximal de 10.0, cette faille permet à un attaquant distant non authentifié d’exécuter du code avec les privilèges root sur le système d’exploitation, via une requête API spécialement conçue. Aucune authentification n’est requise.
La vulnérabilité affecte les versions 3.3 et 3.4 d’ISE/ISE-PIC, mais pas les versions antérieures. Des correctifs ont été publiés pour la 3.3 (Patch 7) et la 3.4 (Patch 2). Bien qu’aucune exploitation n’ait encore été signalée, Cisco invite les administrateurs à mettre à jour immédiatement.
Par ailleurs, Fortinet signale une exploitation active de la CVE-2025-25257. Des attaquants utilisent des exploits publics pour installer des web shells sur les appliances FortiWeb. Plus de 70 instances compromises ont été identifiées à travers le monde, ce qui souligne l’urgence de corriger ces failles.

Co-op confirme une fuite massive de données affectant 6,5 millions de members

Le détaillant britannique Co-op a confirmé que les données personnelles de ses 6,5 millions de membres ont été volées lors d’une cyberattaque majeure en avril. L’attaque a contraint l’entreprise à éteindre ses systèmes informatiques, perturbant ainsi l’approvisionnement alimentaire. Elle a été attribuée au groupe de ransomware DragonForce.
La directrice générale Shirine Khoury-Haq a qualifié l’attaque de « personnelle » lors d’un entretien avec la BBC, affirmant que les criminels avaient eu un accès complet aux coordonnées des membres, bien qu’aucune donnée de paiement n’ait été exposée.
L’attaque aurait commencé le 22 avril par une campagne d’ingénierie sociale ayant conduit à la compromission de plusieurs identifiants. Les pirates ont ensuite volé des fichiers internes sensibles, dont des données de mots de passe.
Les cybercriminels seraient liés au groupe Scattered Spider, également à l’origine de l’attaque contre M&S. Quatre suspects, âgés de 17 à 20 ans, ont été arrêtés la semaine dernière par la National Crime Agency, en lien avec les attaques contre Co-op, M&S et Harrods. L’enquête est toujours en cours.

"Opération Eastwood" : un coup dur pour le groupe DDoS pro-russe NoName057(16)

Les forces de l’ordre internationales ont démantelé l’infrastructure du groupe hacktiviste pro-russe NoName057(16), responsable de nombreuses attaques DDoS à travers l’Europe. Surnommée « Opération Eastwood », l’initiative a été menée le 15 juillet par Europol et Eurojust, avec le soutien de 12 pays.
Les autorités ont perquisitionné des propriétés en Allemagne, Lettonie, Espagne, Italie, Tchéquie, Pologne et France, mettant hors ligne plus de 100 serveurs. Deux arrestations ont été effectuées et sept mandats d’arrêt européens ont été délivrés – six visant des suspects présumés se trouvant en Russie.
Apparu en 2022, NoName057(16) utilise Telegram et un malware collaboratif appelé « DDoSia » pour coordonner des attaques contre les soutiens de l’Ukraine. Leurs cibles incluent des institutions de l’OTAN, des banques, des entreprises du secteur énergétique et des sites gouvernementaux.
Eurojust a confirmé 14 attaques prolongées rien qu’en Allemagne, touchant 230 organisations. D’autres perturbations ont eu lieu lors du sommet pour la paix en Ukraine en 2023 en Suisse et du sommet de l’OTAN aux Pays-Bas le mois dernier.
Malgré ce coup de filet, le groupe reste actif et continue d’annoncer de nouvelles attaques, notamment contre des entreprises allemandes.

L’Afrique du Sud renforce sa cybersécurité dans sa nouvelle stratégie nationale

Le gouvernement sud-africain fait de la cybersécurité un pilier central de sa stratégie de sécurité nationale, après une série d’attaques dévastatrices contre des institutions publiques. La ministre de la Présidence, Khumbudzo Ntshavheni, a présenté cette semaine la stratégie nationale de sécurité 2024–2029, insistant sur le fait que les cybermenaces nécessitent désormais une approche basée sur le contre-espionnage et la sécurité préventive.
La cybercriminalité rejoint ainsi les principales menaces identifiées, aux côtés de la migration illégale, du crime transnational et de l’instabilité climatique. Cette décision fait suite à des attaques contre plusieurs entités publiques, dont South African Airways, le service météorologique et le ministère de la Justice.
Les autorités prévoient de renforcer les capacités de cybersurveillance et de criminalistique numérique, de corriger les vulnérabilités dans les systèmes informatiques et les procédures d’approvisionnement, et de réduire la dépendance aux fournisseurs étrangers. Les experts préviennent que l’Afrique du Sud subit plus de 3 800 cyberattaques par semaine – soit le double de la moyenne mondiale.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.