Agence américaine CISA a inclus quatre défaillances de sécurité dans son catalogue de vulnérabilités connues et exploitées (KEV), ce qui équivaut à un avertissement urgent: il existe des preuves que les attaquants en profitent déjà dans des environnements réels. Ces vulnérabilités affectent des parties très différentes de l'écosystème logiciel : des outils de développement web aux plateformes d'affaires et aux paquets de chaîne d'approvisionnement JavaScript.
Lorsque la CISA ajoute une erreur à KEV, elle recommande que les organisations agissent immédiatement. Pour les agences fédérales américaines. Les États-Unis, sous réserve de la directive BOD 22-01, exigent l'application de correctifs ou d'atténuations, ou la cessation de l'utilisation des produits concernés, avant le 12 février 2026; les autres organisations devraient prendre le même seuil d'urgence pour la prudence. De plus amples renseignements sur la directive sont disponibles sur le site Web de la CISA dans sa section intitulée BOD 22-01: https: / / www.cisa.gov / reliure-opérationnelle-directive-2201.
Le premier cas pertinent est une défaillance du contrôle d'accès dans l'outil Avant Vite, enregistré comme CVE-2025-31125. Cette vulnérabilité, initialement signalée en mars de l'année dernière, permet à un attaquant d'accéder à des fichiers qui devraient être interdits lorsqu'un exemple de développement est exposé au réseau public. Dans la pratique, le risque le plus fréquent survient lorsque les serveurs de développement sont publiés sans restrictions appropriées; les correctifs sont disponibles dans des versions spécifiques (p. ex. 6.2.4, 6.1.3, 6.0.13, 5.4.16 et 4.5.11), de sorte qu'il est important de mettre à jour les entités concernées ou de s'assurer qu'elles ne sont pas accessibles depuis Internet.
Le deuxième cas attire l'attention sur le type d'impact: CVE-2025-34026 est une vulnérabilité critique de l'omission d'authentification sur la plateforme d'orchestration SD-WAN de Versa Concerto. Le problème vient d'un mauvais réglage du proxy inverse (Traefik) qui rend accessibles les paramètres administratifs internes - y compris l'interface de l'actuateur - et expose ainsi les spins de mémoire lourds et les enregistrements de trace. Bien que la CISA ait identifié les versions Concerto 12.1.2 à 122.0 comme étant touchées, il est prudent d'examiner d'autres branches du produit. Les chercheurs externes (y compris ProjectDiscovery) ont signalé les erreurs au fabricant et les corrections publiées par Versa. Projet et dans les médias spécialisés Calculateur, qui couvrait le processus de déclaration et la réponse du fournisseur.
Le troisième problème fait partie d'un schéma qui répète une vieille peur des organisations modernes: vérification de la chaîne d'approvisionnement. L'entrée CVE-2025-54313 est lié au paquet eslint-config-prettier, utilisé pour résoudre les conflits entre ESLint et Prettier. En juillet de l'année précédente, certains paquets populaires de la communauté JavaScript ont été enlevés en npm et des versions malveillantes ont été publiées qui comprenaient un script d'installation - install.js - capable d'exécuter un binaire sur Windows (node-gyp.dll) conçu pour voler des jetons d'authentification npm. Les versions compromises identifiées comprennent 8.10.1, 9.1.1, 10.1.6 et 10.1.7. Le message ici est clair: toute dépendance de tiers qui est automatiquement installé peut devenir un vecteur d'identification vol ou exécution de code.
Enfin, CISA souligne l'exploitation d'une vulnérabilité de l'inclusion de fichiers locaux dans l'interface Webmail Classic de Zimbra, appelée CVE-2025-68645. L'échec vient d'une mauvaise gestion des paramètres dans le serveur RestFilter; un attaquant non authentifié peut invoquer le paramètre / h / reste pour charger des fichiers arbitraires à partir du répertoire WebRoot, qui peut révéler des données sensibles ou permettre d'autres étapes de fonctionnement. Il affecte Zimbra 10.0 et 10.1, et comme dans les autres cas, la recommandation immédiate est d'appliquer les mises à jour fournies par le fabricant ou de placer des mesures d'atténuation jusqu'à ce que le patch soit installé.
Dans tous les cas, la note de la CISA ne fournit pas de détails techniques sur la manière exacte dont les attaquants exploitent les échecs et n'indique pas s'ils ont été utilisés dans les campagnes Ransomware; ce statut était marqué comme « inconnu ». Ça ne veut pas dire que le danger est éloigné. mais l'agence préfère ne pas publier des informations opérationnelles qui pourraient faciliter les abus. Pour les équipes de sécurité, la prudence commande : de supposer qu'il y a un risque réel et d'agir rapidement.
Que peuvent et devraient faire maintenant les responsables techniques? La première consiste à appliquer les corrections officielles ou les mesures d'atténuation recommandées par les fabricants dès que possible. Dans les environnements de développement, il convient de vérifier que les serveurs Vite ne sont pas exposés au public; les organismes de développement doivent être exécutés sur des réseaux internes ou derrière des tunnels sûrs. Pour orchestrer les plates-formes et les services exposés par des procurations inversées, examiner les règles de routage et s'assurer que les itinéraires administratifs internes et les terminaux (en tant qu'actuateur) sont inaccessibles à partir de réseaux peu fiables; Traefik et d'autres procurations permettent de définir les règles d'accès et les en-têtes qui limitent le trafic non autorisé. En vue d'une éventuelle vérification dérivée de paquets npm malveillants, il est essentiel de faire pivoter les jetons d'authentification, de nettoyer les identifiants stockés dans les environnements build et CI / CD, de réinstaller les dépendances à partir de sources fiables et d'envisager l'utilisation d'enregistrements privés ou de signatures de paquets.
Il convient également d'intégrer des mesures de prévention à moyen terme: générer et maintenir un SBOM (inventaire de logiciels), utiliser des outils de numérisation de composition de logiciels qui détectent les versions compromises, utiliser des fichiers de verrouillage et des politiques qui empêchent la levée automatique des unités non examinées, vérifier les configurations de proxy et de pare-feu, et limiter l'accès aux interfaces administratives aux réseaux de gestion. La surveillance est essentielle : rechercher des indicateurs comme un nœud inattendu. les exécutions exe, la création de spins de mémoire à des moments inhabituels, les demandes de paramètres administratifs des IP externes ou les tentatives d'accéder aux fichiers WebRoot.
Pour les organisations régies par la directive BOD 22-01, le calendrier est inapplicable: des corrections ou des mesures d'atténuation devraient être appliquées avant le délai fixé par la CISA. Pour le reste, la recommandation pratique ne consiste pas à retarder : mettre à jour, revoir les paramètres et les jetons d'audit et les secrets. En cas de doute quant à l'exposition réelle, désactiver temporairement les services exposés tout en évaluant l'étendue du risque peut éviter des incidents majeurs.
Bref, ces quatre entrées dans la KEV rappellent que la sécurité moderne est un travail multidimensionnel : le même écosystème rassemble les risques dans les logiciels de développement, les infrastructures de réseau et la chaîne d'approvisionnement. Agissant rapidement et avec des procédures claires réduit la fenêtre d'opportunité des attaquants et limite les dommages potentiels.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...