CISA ajoute deux vulnérabilités exploitées (WSUS et Adobe Commerce)

CISA inscrit CVE‑2025‑59287 (désérialisation WSUS) et CVE‑2025‑54236 (validation d’entrée Adobe/Magento) à son catalogue KEV; remédiation prioritaire exigée. Microsoft publie un correctif hors cycle pour WSUS afin de réduire l’exposition. 
[Article Original]

CISA ajoute cinq vulnérabilités exploitées (Oracle E‑Business, Windows SMB, Kentico)

Ajout de CVE‑2025‑61884 (SSRF Oracle E‑Business Suite), CVE‑2025‑33073 (Windows SMB Client) et deux contournements d’authentification Kentico (CVE‑2025‑2746/2747), indiquant une exploitation active. Les organisations sont exhortées à prioriser ces correctifs dans leur gestion de vulnérabilités. 
[Article Original]

Agenda/Qilin: un binaire Linux exécuté sur Windows via outils d’administration (BYOVD)

Des chercheurs observent l’exécution d’un rançongiciel Linux sur hôtes Windows via Splashtop et WinSCP, avec détournement d’outils RMM, vol des identifiants Veeam et techniques BYOVD pour neutraliser les EDR. Le groupe a revendiqué plus de 700 victimes en 2025, ciblant fortement industrie, finance, santé et secteur public. 
[Article Original]

Key Cybersecurity Threats

• Vulnérabilités activement exploitées (KEV) Cette semaine, CISA a ajouté WSUS (CVE‑2025‑59287) et Adobe Commerce (CVE‑2025‑54236) au KEV, exigeant une correction en priorité absolue. Elle a aussi listé Oracle E‑Business (SSRF), Windows SMB Client et Kentico Xperience (contournements d’authentification), signalant des attaques en cours.
• Rançongiciel: abus des outils d’administration à distance et BYOVD Les opérateurs tirent parti d’outils RMM/remote (Atera/ScreenConnect/Splashtop), de faux CAPTCHA, et apportent leurs pilotes vulnérables (BYOVD) pour élever les privilèges et désactiver les défenses. Des binaires Linux sont exécutés sur Windows pour chiffrer des environnements hybrides et saboter la reprise (vol d’identifiants Veeam).
• Chaîne d’approvisionnement et extorsion Le Royaume‑Uni et 67 partenaires publient un guide international pour sécuriser la supply chain contre le ransomware, avec des contrôles concrets côté fournisseurs. La pression reste élevée: plusieurs sources relèvent une hausse soutenue des intrusions par extorsion/ransomware en 2025, ce qui renforce l’urgence d’une hygiène de base et d’audits des tiers.

• Appliquez immédiatement les correctifs/mitigations pour: WSUS (CVE‑2025‑59287), Adobe Commerce (CVE‑2025‑54236), Oracle E‑Business (CVE‑2025‑61884), Windows SMB Client (CVE‑2025‑33073), Kentico (CVE‑2025‑2746/2747).
• Verrouillez vos outils RMM et accès distants : liste blanche d’hôtes d’administration, MFA anti‑phishing, journaux surveillés hors heures ouvrées, interdisez l’exécution de binaires Linux et de scripts non signés sur Windows via politiques.
• Durcissez l’infrastructure de sauvegarde : segmentation réseau, coffres‑forts de secrets pour Veeam, rotation des comptes/admins, détection des requêtes SQL/PowerShell inhabituelles sur les dépôts de sauvegarde.
• Bloquez BYOVD: activez une blocklist de pilotes vulnérables, surveillez sideloading DLL et chargements de drivers inattendus ; étendez la télémétrie EDR aux OS hybrides (Windows/Linux/ESXi).

« L’unique ordinateur vraiment sûr est éteint, débranché, enfermé dans un coffre… et même là, je n’en suis pas sûr. » — Gene Spafford