Bienvenue dans votre bulletin spécial Patch Tuesday d’octobre 2025 ⚡️

🧩 Microsoft — 172 vulnérabilités corrigées, 6 zero-days
Le Patch Tuesday d’octobre corrige 172 failles, dont 6 zero-days et 8 vulnérabilités critiques.
Fin de support pour Windows 10, remplacé par le programme Extended Security Updates (ESU).

Les zero-days exploitées sont :

• CVE-2025-24990 — Agere Modem Driver, élévation de privilèges, pilote supprimé du système. Attribution : Fabian Mosch et Jordan Jay.
• CVE-2025-59230 — Windows Remote Access Connection Manager, élévation de privilèges locale, exploitation active. Attribution : MSTIC et MSRC.
• CVE-2025-47827 — Secure Boot bypass dans IGEL OS avant la version 11, découverte par Zack Didcott.
• Les zero-days divulguées publiquement :
• CVE-2025-0033 — AMD EPYC SEV-SNP, corruption RMP lors de l’initialisation. Chercheurs : Benedict Schlueter, Supraja Sridhara, Shweta Shinde (ETH Zurich).
• CVE-2025-24052 — Variante de la faille Agere Modem, exploitable même sans modem actif.
• CVE-2025-2884 — TCG TPM 2.0, lecture hors limites, risque de divulgation d’informations. Attribution : Trusted Computing Group et chercheur anonyme.
  

🚨 CVE-2025-59287 — Windows Server Update Services (WSUS)
Faille critique d’exécution de code à distance, score CVSS 9.8.
Vecteur réseau, aucune authentification requise. Microsoft qualifie l’exploitation comme « plus probable ».

📄 Microsoft Office et composants associés
Plusieurs vulnérabilités RCE via le Preview Pane (CVE-2025-59227, CVE-2025-59234).
Correctifs aussi pour Azure, Entra ID, Copilot, Kernel, BitLocker, Exchange, SharePoint, .NET et Visual Studio.

🔧 Autres éditeurs — Mises à jour d’octobre 2025

Adobe : correctifs multiples.

• Cisco : IOS, UCM, Cyber Vision Center.
• Draytek : RCE pré-auth sur routeurs Vigor.
• Gladinet : zero-day CentreStack activement exploitée.
• Ivanti : correctifs pour EPMM et Neurons for MDM.
• Oracle : deux zero-days dans E-Business Suite.
• Redis : RCE de sévérité maximale.
• SAP : faille critique d’exécution de commande dans NetWeaver.
• Synacor : zero-day dans Zimbra Collaboration Suite exploitée pour vol de données.

🧭 Cycle de vie Microsoft
Derniers correctifs gratuits pour Windows 10, Office 2016/2019, Exchange 2016/2019.
Remplacement d’Exchange Server par Exchange Server Subscription Edition.

⚡️ On ne réfléchit pas, on patch !

📚 Sources :
https://krebsonsecurity.com/2025/10/patch-tuesday-october-2025-end-of-10-edition/
https://www.bleepingcomputer.com/news/microsoft/microsoft-october-2025-patch-tuesday-fixes-6-zero-days-172-flaws/
https://www.rapid7.com/blog/post/em-patch-tuesday-october-2025/

📞 Partagez vos retours :
📱 07 68 72 20 09
📧 radiocsirt@gmail.com
🌐 https://www.radiocsirt.org
📰 https://radiocsirt.substack.com

#CyberSécurité #PatchTuesday #Microsoft #CERT #CVE #ZeroDay #Windows10 #WSUS #Office #Azure #Exchange #TPM #AMD #RCE #Update #RadioCSIRT

Bienvenue dans votre bulletin d'actualités cybersécurité ⚡️

🔥 F5 Networks — Intrusion majeure par acteur étatique
F5 révèle une compromission détectée le 9 août 2025. Un acteur étatique sophistiqué a maintenu un accès persistant long terme dans les environnements de développement BIG-IP. Code source exfiltré, informations sur des vulnérabilités non publiques dérobées.

La CISA publie la directive d'urgence 26-01 ordonnant aux agences fédérales de patcher avant le 22 octobre.

Le NCSC britannique émet également une alerte. Risque : exploitation des produits F5 pour voler credentials et clés API, permettant mouvements latéraux et accès persistants dans les réseaux cibles.

📊 CERT-FR — 46 vulnérabilités corrigées dans l'écosystème F5
Le CERT-FR publie l'avis CERTFR-2025-AVI-0886. F5 corrige 46 CVE dans son bulletin K000156572 du 15 octobre. Impacts multiples : RCE, élévation de privilèges, SSRF, XSS et déni de service. Tous les BIG-IP sont concernés : versions 15.1.x, 16.1.x, 17.1.x et 17.5.x nécessitent une mise à jour immédiate. Également touchés : BIG-IP Next CNF, BIG-IP Next pour Kubernetes, BIG-IP Next SPK et NGINX App Protect WAF avant la version 4.7.0.

💬 Mattermost — Multiples failles de sécurité
Le CERT-FR alerte via l'avis CERTFR-2025-AVI-0888 sur six bulletins de sécurité Mattermost publiés le 15 octobre : MMSA-2025-00465, 00492, 00493, 00518, 00540 et 00541. Versions vulnérables : Mattermost Server 10.5.x avant 10.5.12, 10.10.x avant 10.10.3, 10.11.x avant 10.11.4, 10.12.x avant 10.12.1, et toutes les versions 11.x avant 11.0.0. La nature exacte des risques n'est pas précisée par l'éditeur.

🚨 Adobe Experience Manager — CVE-2025-54253 exploitée activement
La CISA ajoute la CVE-2025-54253 à son catalogue KEV. Score CVSS 10.0 sur 10. Exploitation active confirmée dans la nature. Cette faille de mauvaise configuration affecte Adobe Experience Manager Forms versions 6.5.23 et antérieures, permettant une RCE sans authentification ni interaction utilisateur. Découverte par Adam Kues et Shubham Shah de Searchlight Cyber, divulguée le 28 avril, patchée en août. Un proof-of-concept est public. Deadline CISA pour les agences fédérales : 5 novembre 2025.

⚡️ On ne réfléchit pas, on patch !

📚 Sources :
https://www.ncsc.gov.uk/news/confirmed-compromise-f5-network
https://www.cisa.gov/news-events/news/cisa-issues-emergency-directive-address-critical-vulnerabilities-f5-devices https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0886/ https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0888/ https://www.bleepingcomputer.com/news/security/cisa-maximum-severity-adobe-flaw-now-exploited-in-attacks/

📞 Partagez vos retours :
📱 07 68 72 20 09
📧 radiocsirt@gmail.com
🌐 https://www.radiocsirt.org
📰 https://radiocsirt.substack.com

#Cybersécurité #ThreatIntel #CERT #SOC #F5 #CISA #NCSC #Adobe #AEM #RCE #Mattermost #Patch #EmergencyDirective #KEV

Bienvenue dans votre bulletin d’actualités cybersécurité ⚡️

🧠 IA — Empoisonnement de modèles d’apprentissage
Des chercheurs de l’Institut britannique de sécurité de l’IA, d’Anthropic et de l’Institut Alan Turing démontrent qu’à peine 250 documents malveillants suffisent à créer une porte dérobée dans un modèle de langage. Le déclencheur provoque la génération de texte incohérent. Une étude majeure qui rebat les cartes de la sécurité de l’entraînement IA.

🏛️ Australie — Protection des infrastructures critiques
L’Australian Cyber Security Centre publie le guide CI Fortify, incitant les opérateurs d’infrastructures essentielles à renforcer leur posture. Objectifs : pouvoir isoler les systèmes OT critiques pendant 3 mois et reconstruire rapidement les environnements essentiels pour limiter les impacts d’une attaque.

🎓 EBIOS Risk Manager — Formation gratuite certifiée ANSSI
Le Club EBIOS, en partenariat avec l’ANSSI, lance un MOOC gratuit sur l’analyse de risques. Trois heures de formation accessibles à tous, sans prérequis, pour découvrir la méthode EBIOS Risk Manager et obtenir un diplôme certifié par l’agence nationale.

🎓 Harvard — Piratage revendiqué par Clop
Le groupe Clop ransomware revendique l’attaque de l’Université Harvard. Une page dédiée est apparue sur son site de fuite Tor, annonçant la diffusion prochaine des données volées. Clop, actif depuis 2019 et issu du groupe TA505, continue de cibler des institutions à forte valeur médiatique.

⚡️ On ne réfléchit pas, on patch !

📚 Sources :
https://next.ink/203904/250-documents-suffisent-a-empoisonner-lentrainement-dune-ia/
https://www.cyber.gov.au/view-all-content/news/new-guidance-to-help-fortify-australias-critical-infrastructure
https://securityaffairs.com/183282/cyber-crime/clop-ransomware-group-claims-the-hack-of-harvard-university.html
https://lms.club-ebios.org/

📞 Partagez vos retours :
📱 07 68 72 20 09
📧 radiocsirt@gmail.com
🌐 https://www.radiocsirt.org
📰 https://radiocsirt.substack.com

Bienvenue dans votre bulletin d'actualités cybersécurité ⚡️

🐍 Python — CVE-2025-8291
Vulnérabilité non spécifiée affectant toutes les versions CPython non corrigées. Consultez le bulletin de sécurité officiel et appliquez les correctifs immédiatement.

🦀 ChaosBot — Malware Rust sophistiqué
Ciblage d'environnements financiers via VPN Cisco compromis + comptes AD sur-privilégiés. DLL side-loading, C2 Discord, évasion ETW. Renforcez vos contrôles VPN et auditez vos service accounts.

🎯 GXC Team — Démantèlement en Espagne
Arrestation du leader brésilien "GoogleXcoder" (25 ans). Kits de phishing IA, malware Android, 300+ entités ciblées. 6 perquisitions, canaux Telegram désactivés.

🔓 ServiceNow — Multiples CVE critiques
CVE-2025-3089 (AI Platform), CVE-2025-0337 (bypass auth), CVE-2024-8924 (SQL injection non auth). Vérifiez vos versions et planifiez les mises à jour.

🔥 SonicWall VPN — Compromission massive
100+ comptes SSL VPN compromis sur 16 clients. Authentifications depuis 202.155.8[.]73. Lien probable avec campagne Akira ransomware exploitant CVE-2024-40766.

⚡️ On ne réfléchit pas, On patch !

📚 Sources :

• https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0851/
• https://cyberpress.org/chaosbot-ciscovpn-attack/
• https://www.esentire.com/blog/new-rust-malware-chaosbot-uses-discord-for-command-and-control
• https://securityaffairs.com/183252/cyber-crime/cybercrime-ring-gxc-team-dismantled-in-spain-25-year-old-leader-detained.html
• https://web.guardiacivil.es/es/destacados/noticias/La-Guardia-Civil-desmantela-una-red-de-phishing-bancario-y-detiene-al-principal-desarrollador-de-kits-de-robo-de-credenciales-en-Espana/
• https://support.servicenow.com/kb?id=kb_article_view&sysparm_article=KB1226057
• https://thehackernews.com/2025/10/experts-warn-of-widespread-sonicwall.html
• https://www.huntress.com/blog/sonicwall-sslvpn-compromise
• https://www.sonicwall.com/support/knowledge-base/mysonicwall-cloud-backup-file-incident/250915160910330

📞 Partagez vos retours :

📱 07 68 72 20 09
📧 radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com

Bienvenue dans votre bulletin quotidien d’actualités cybersécurité ⚡️

🧩 7-Zip — Deux failles d’exécution de code (CVE-2025-11001 & CVE-2025-11002)
Ouverture d’archives piégées ⇒ exécution de code possible. Mettez à jour vers la dernière version officielle et durcissez vos politiques d’ouverture de fichiers.

🌊 DDoS — Botnet AISURU
Attaques record sur des FAI américains : volumétrie inédite, ciblage soutenu. Suivez l’activité en temps réel et ajustez vos seuils/mitigations.

🕵️ Extorsion & fuites — Scattered Spider / Salesforce
Nouvelle vitrine d’extorsion et bannières de saisie observées. Suivez les miroirs, mettez à jour vos IoC et préparez vos playbooks de communication.

⚡️ On ne réfléchit pas. On patch !

Priorisez la vérification des versions concernées, appliquez les correctifs et surveillez vos logs pour toute tentative d’exploitation.

📚 Sources :
https://securityonline.info/two-7-zip-flaws-allow-code-execution-via-malicious-zip-files-cve-2025-11001-cve-2025-11002/
https://www.zerodayinitiative.com/advisories/ZDI-25-949/
https://www.zerodayinitiative.com/advisories/ZDI-25-950/
https://www.7-zip.org/download.html
https://krebsonsecurity.com/2025/10/ddos-botnet-aisuru-blankets-us-isps-in-record-ddos/
https://blog.xlab.qianxin.com/super-large-scale-botnet-aisuru-en/
https://grafana.blockgametracker.gg
https://therecord.media/breachforums-fbi-france-takedown-banner-scattered-spider-salesforce-leak
https://therecord.media/salesforce-scattered-spider-extortion-site
https://therecord.media/salesloft-hacker-broke-into-github

📞 Partagez vos retours :
📱 07 68 72 20 09
📧 radiocsirt@gmail.com
🌐 Site : https://www.radiocsirt.org
📰 Newsletter : https://radiocsirt.substack.com