Catégorie : Failles de sécurité réseau

  • CVE-2025-14631 – Vulnérabilité dans le routeur Archer BE400 de TP-LINK

    DESCRIPTION / CVE-2025-14631– Publié le 07/01/2026

    La vulnérabilité CVE-2025-14631 est une vulnérabilité critique de type « NULL Pointer Dereference »(déférencement de pointeur nul) (CWE-476) .
    Elle a reçu un score de 7,1/10 sur l’échelle CVSS, indiquant un niveau de sévérité HAUT.

    Cette faille est liée à une faiblesse le module 802.11 du TP‑Link Archer BE400 V1, un adaptateur/répéteur Wi‑Fi 6.
    Elle permet à un attaquant adjacent, sans authentification, d’envoyer une trame spécialement malformée au dispositif via l’interface sans fil, provoquant un redémarrage forcé de l’équipement et conduisant à un déni de service (DoS) des communications du client.

    Mécanisme d’exploitation

    La faille repose sur cinq points :

    Exposition d’un module vulnérable :
    L’équipement Archer BE400 expose une pile de traitement des trames sans fil >802.11, responsable de la réception et de l’analyse des paquets radio entrants.    		Absence de traitement correct des entrées :
    Certaines trames 802.11 malformées entrent dans un code qui ne vérifie pas si les pointeurs utilisés sont valides, menant à une référence à un pointeur NULL dans la mémoire.
    Injection de trame malveillante :
    Un attaquant situé à portée radio peut envoyer une seule trame spécialement construite sans aucun besoin d’authentification ou d’interaction utilisateur.

    		Réinitialisation et DoS :
    Le traitement de la trame malveillante provoque une crash immédiat du logiciel interne du module sans fil, entraînant un redémarrage complet de l’appareil. Pendant ce redémarrage, toutes les connexions sont interrompues et le réseau Wi‑Fi devient indisponible.
    Impact sur la disponibilité :
    L’exploitation répétée peut maintenir l’appareil dans un cycle de reboot, rendant l’accès réseau instable ou inutilisable pour tous les clients.

    CORRECTIFS ET RECOMMANDATIONS

    Version affecté
    Archer BE400 -> xi 1.1.0 Build 20250710 rel.14914
    Mise à jour du firmware
    Installer la version de firmware corrective fournie par TP‑Link pour l’Archer BE400
    Réduction de la surface d’attaque
    Limiter l’accès radio à l’appareil (ex. augmenter les protections physiques/géographiques)
    Surveillance et détection
    Mettre en place des mécanismes de surveillance des pertes de services périodiques ou des redémarrages anormaux sur les équipements réseau

    CONCLUSION ET PERSPECTIVES

    La vulnérabilité CVE-2025-59922 illustre que même des composants bas‑niveau du traitement des protocoles sans fil peuvent introduire des failles graves, même sans authentification requise. La logique de traitement des trames 802.11 malformées est critique, car une erreur peut affecter la disponibilité complète d’un dispositif réseau, impactant potentiellement tout un environnement connecté.

    Cette vulnérabilité rappelle l’importance de :

    • Tester rigoureusement les piles protocolaires réseau
    • Appliquer immédiatement les mises à jour firmware sur les matériels réseau
    • Segmenter et protéger les infrastructures Wi‑Fi contre des attaques par proximité physique
    Sources

    CVE : https://www.cve.org/CVERecord?id=CVE-2025-14631
    CVE Détails : https://www.cvedetails.com/cve/CVE-2025-14631/
    CWE : https://cwe.mitre.org/data/definitions/476.html
    NIST : https://nvd.nist.gov/vuln/detail/CVE-2025-14631
    TP-Link : https://www.tp-link.com/uk/support/faq/4871/
    E-santé : https://cyberveille.esante.gouv.fr/alertes/tp-link-cve-2025-14631-2026-01-07

  • CVE-2025-20393 -Vulnérabilité dans Cisco AsyncOS

    DESCRIPTION / CVE-2025-20393 Publié le 17/12/2025

    La vulnérabilité CVE-2025-20393 est une vulnérabilité critique de type « Missing Authentication for Critical Function » (manque d’authentification pour une fonction essentielle). Elle a reçu un score de 10/10 sur l’échelle CVSS, indiquant un niveau de sévérité CRITIQUE.

    Cette faille est liée à une faiblesse dans le logiciel Cisco AsyncOS, utilisé par les appliances Cisco Secure Email Gateway (SEG) et Cisco Secure Email and Web Manager.
    Il s’agit d’une défaillance de validation insuffisante des entrées, permettant à un attaquant distant non authentifié d’exécuter du code arbitraire à distance avec des privilèges root sur l’équipement vulnérable.

    Mécanisme d’exploitation

    La faille repose sur cinq points :

    Exposition d’un service vulnérable :
    L’appliance Cisco expose une interface web accessible via le réseau (HTTPS/HTTP), spécifique pour l’administration ou la gestion de la quarantaine des messages.
    Ce service traite des requêtes provenant directement de clients distants.    		Absence de validation stricte des entrées :
    Certaines requêtes envoyées à cette interface contiennent des paramètres utilisateur insuffisamment contrôlés.
    Les données reçues ne sont pas correctement validées avant d’être transmises aux composants internes du système.
    Injection de données compromettantes :
    L’attaquant distant transmet une requête spécialement construite incluant des valeurs inattendues ou malformées dans les paramètres traités par l’application.
    Aucune authentification n’est nécessaire pour atteindre ce point.    		Traitement incorrect par le composant interne :
    En raison de la faille de validation, les données transmises sont interprétées par des processus système internes avec des privilèges élevés.
    Cela provoque un comportement non prévu dans la gestion des commandes ou des appels système.
    Exécution de code au niveau système :
    L’attaquant exploite ce comportement pour obtenir une exécution de code arbitraire avec des privilèges root, lui donnant un contrôle total sur l’appliance vulnérable.

    CORRECTIFS ET RECOMMANDATIONS

    Application des correctifs
    Mettre à jour immédiatement les appliances concernées vers une version corrigée.
    Restriction des interfaces
    Restreindre l’exposition des interfaces d’administration (filtrage IP, accès VPN).
    Surveillance des journaux
    Surveiller les journaux et comportements anormaux pouvant indiquer une exploitation.
    Limitation d’accès et permissions
    Appliquer le principe du moindre privilège et accroître la segmentation réseau.

    CONCLUSION ET PERSPECTIVES

    La vulnérabilité CVE‑2025‑64459 prouve que les équipements de sécurité exposés sur le réseau deviennent eux-mêmes des cibles privilégiées, car leur compromission offre un point de contrôle stratégique aux attaquants.

    Cette vulnérabilité rappelle l’importance de :

    • La gestion rigoureuse des surfaces d’exposition réseau
    • Maintenir les logiciels à jour
    • La restriction des périmètres au sein de l’infrastructure
    Sources

    CVE : https://www.cve.org/CVERecord?id=CVE-2025-20393
    CWE : https://cwe.mitre.org/data/definitions/20.html
    CERT-FR : https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1120/
    Cisco : https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4

  • CVE-2025-61757 – Vulnérabilité dans Oracle Identity Manager

    DESCRIPTION / CVE-2025-61757 – Publié le 21/10/2025

    La vulnérabilité CVE-2025-61757 est une vulnérabilité critique de type « Missing Authentication for Critical Function » (manque d’authentification pour une fonction essentielle). Elle a reçu un score de 9,8/10 sur l’échelle CVSS, indiquant un niveau de sévérité CRITIQUE. Cette faille permet à un attaquant non authentifié d’exécuter du code à distance (RCE) sur les systèmes vulnérables.

    Matrice des risques

    CVE IDPRODUITCOMPOSANTPROTOCOLEEXPLOITATION À
    DISTANCE SANS
    AUTHENTIFICATION
    CVE-2025-61757Gestionnaire d’identitéServices Web RESTHTTPOui
    SCORE DE BASE VECTEUR D’ATTAQUECOMPLEXE D’ATTAQUEPRIVILÈGES REQUISINTERRACTION DE L’UTILISATEUR
    9.8RéseauFaibleAucunAucun
    PORTÉECONFIDENTIALITÉINTÉGRITÉDISPONIBLITÉVERSION PRISE EN CHARGE CONCERNÉE
    InchangéHautHautHaut12.2.1.4.0, 14.1.2.1.0
    Source

    Matrices des risques / Oracle Corporation

    Mécanisme d’exploitation

    La faille repose sur six points :

    Contournement des contrôles d’accès :
    La vulnérabilité exploite un défaut dans le filtre de sécurité d’OIM, qui est censé protéger les endpoints (points d’accès) de l’application.    		Manipulation des requêtes :
    En ajoutant des suffixes spécifiques (comme ?WSDL ou ;.wadl) à certaines URLs, un attaquant peut accéder à des endpoints normalement protégés, comme s’ils étaient publics.
    Exécution de code malveillant :
    Une fois l’accès obtenu, l’attaquant peut exploiter une fonctionnalité de compilation de scripts Groovy (utilisée par OIM) pour exécuter du code arbitraire sur le serveur, avec les mêmes privilèges que le service OIM.    		Prise de contrôle du système :
    Un attaquant peut obtenir un accès complet à OIM, ce qui lui permet de voler des données sensibles (identifiants, mots de passe, etc.), de modifier des comptes utilisateurs, ou de s’infiltrer dans d’autres parties du réseau de l’entreprise.
    Exploitation active :
    Des attaques exploitant cette faille ont été observées dès fin août 2025, parfois avant même la publication du correctif (Zero-Day).
    		Systèmes concernés :
    Oracle Identity Manager (OIM) dans Oracle Fusion Middleware, versions 12.2.1.4.0 et 14.1.2.1.0

    CORRECTIFS ET RECOMMANDATIONS

    Application du correctif
    Oracle a publié un correctif dans son Critical Patch Update d’octobre 2025. Il est impératif pour les organisations utilisant OIM de mettre à jour leurs systèmes sans délai.
    Surveillance des requêtes suspectes
    Les équipes de sécurité doivent surveiller les requêtes contenant les suffixes ;.wadl ou ?WSDL, qui peuvent indiquer une tentative d’exploitation de la failles.
    Renforcement des mesures de sécurité
    Il est recommandé de renforcer l’authentification sur tous les endpoints OIM et de limiter l’accès réseau aux systèmes concernés.

    CONCLUSION ET PERSPECTIVES

    La vulnérabilité CVE-2025-61757 illustre l’importance cruciale de la gestion des vulnérabilités dans les outils de gestion des identités, qui sont des cibles privilégiées pour les cyberattaquants. Pour les entreprises, cela souligne la nécessité de :

    • Maintenir une veille active sur les mises à jour de sécurité.
    • Tester régulièrement la robustesse de leurs systèmes IAM*.
    • Former les équipes aux bonnes pratiques de cybersécurité.

    Cette vulnérabilité rappelle aussi que les outils de gestion des identités, bien que conçus pour renforcer la sécurité, peuvent eux-mêmes devenir des points d’entrée critiques s’ils ne sont pas correctement maintenus.

    IAM

    Identity & Access Management

    Sources

    CVE : https://www.cve.org/CVERecord?id=CVE-2025-61757
    Oracle : https://www.oracle.com/security-alerts/cpuoct2025.html#AppendixFMW
    CISA : https://www.cisa.gov/news-events/alerts/2025/11/21/cisa-adds-one-known-exploited-vulnerability-catalog