FORTIER.IT

"L'innovation distingue les leaders des suiveurs." - Steve Jobs

novembre 22, 2025

Newsletter Cybersécurité - 2025 : semaine 47

Nouvelles 2025 de la cybersécurité de la semaine 47

Newsletter Cybersécurité - 2025 : semaine 47

Résumé des Actualités Cybersécurité

(Semaine 47, 2025)

La CISA avertit qu’une faille RCE d’Oracle Identity Manager est activement exploitée

Une vulnérabilité critique (CVE-2025-61757) permet une exécution de code à distance, avec des attaques observées in-the-wild; correctifs disponibles dans l’Oracle CPU d’octobre — à appliquer en priorité. Des techniques d’abus d’URL (suffixe “;.wadl”) sont signalées dans les scans.
[Article Original]

Déjà-vu : des clients Salesforce à nouveau exposés via l’attaque de chaîne d’approvisionnement Gainsight

Des accès non autorisés via OAuth liés à Gainsight ont potentiellement permis le vol de données clients; Salesforce recommande de révoquer/rotater les tokens et d’auditer les intégrations tierces.
[Article Original]

Grafana corrige une faille SCIM (CVSS 10.0) permettant usurpation d’administrateur et élévation de privilèges

Les instances exposées sont à patcher immédiatement; la vulnérabilité permet l’impersonation d’admin via SCIM, avec risques de pivot vers d’autres systèmes monitorés.
[Article Original]

Menaces clés de la semaine

  • Oracle Identity Manager RCE (CVE-2025-61757) activement exploitée
Impact: prise de contrôle IAM et mouvement latéral vers applications critiques. Actions: appliquer l’Oracle CPU d’octobre, bloquer/monitorer les patterns “;.wadl”, isoler l’instance IAM d’internet, ajouter WAF rules et journaux détaillés sur endpoints sensibles.
  • Abus d’OAuth dans la chaîne d’approvisionnement SaaS (cas Gainsight → Salesforce)
Impact: exfiltration de données CRM via applications connectées et tokens compromis. Actions: inventaire des apps OAuth, révocation/rotation des tokens, scopes minimaux, policies de consentement admin, alerting SIEM sur créations d’applications et jetons inhabituels.
  • Exposition du plan de contrôle d’observabilité (Grafana/SCIM, CVSS 10)
Impact: usurpation d’administrateur, modifications de dashboards/alertes et pivot vers infra sous-jacente. Actions: patch immédiat, limiter SCIM aux IP/IDP de confiance, SSO obligatoire + MFA pour admins, journaux et règles de détection sur anomalies de provisionnement.

“La complexité est l’ennemi de la sécurité.” — Bruce Schneier

Conseil de la semaine

  • Faites un “sprint identité” 48h:
1) Patch Oracle IAM et Grafana,
2) Geler puis auditer toutes les intégrations OAuth à vos SaaS clés (Salesforce, etc.),
3) Forcer la rotation des tokens/secrets,
4) Verrouiller SCIM et l’accès admin (MFA/SSO, IP allowlist),
5) Ajouter des détections sur “;.wadl”, anomalies OAuth et changements SCIM.