La CISA ajoute des failles Oracle et autres au catalogue des vulnérabilités exploitées
L'Agence de cybersécurité et de sécurité des infrastructures des États-Unis a ajouté des vulnérabilités d'Oracle, Mozilla, Microsoft Windows, noyau Linux et Microsoft Internet Explorer à son catalogue des vulnérabilités exploitées connues. Cette action oblige les agences fédérales à corriger ces failles d'ici le 27 octobre 2025, afin de réduire les risques liés aux exploitations en cours. Parmi les ajouts figure une vulnérabilité critique d'Oracle corrigée récemment après exploitation par des acteurs de ransomware.
L'Agence de cybersécurité et de sécurité des infrastructures des États-Unis (CISA) a récemment mis à jour son catalogue des vulnérabilités exploitées connues (KEV) en y incluant sept failles spécifiques affectant divers produits logiciels. Ces ajouts englobent des vulnérabilités dans Oracle E-Business Suite, les produits Mozilla, Microsoft Windows, le noyau Linux et Microsoft Internet Explorer.
Les vulnérabilités listées sont :
- CVE-2010-3765 : Vulnérabilité d'exécution de code à distance dans plusieurs produits Mozilla
- CVE-2010-3962 : Vulnérabilité de corruption de mémoire non initialisée dans Microsoft Internet Explorer
- CVE-2011-3402 : Vulnérabilité d'exécution de code à distance dans Microsoft Windows
- CVE-2013-3918 : Vulnérabilité d'écriture hors limites dans Microsoft Windows
- CVE-2021-22555 : Vulnérabilité d'écriture hors limites dans le tas du noyau Linux
- CVE-2021-43226 : Vulnérabilité d'escalade de privilèges dans Microsoft Windows
- CVE-2025-61882 : Vulnérabilité non spécifiée dans Oracle E-Business Suite
Une entrée notable est CVE-2025-61882, une faille critique avec un score CVSS de 9,8 dans les versions 12.2.3 à 12.2.14 d'Oracle E-Business Suite, spécifiquement dans le composant d'intégration BI Publisher du traitement concurrent Oracle. Cette semaine, Oracle a publié un correctif d'urgence pour celle-ci. La vulnérabilité permet à des attaquants distants non authentifiés de prendre le contrôle via HTTP et a été exploitée par le groupe de ransomware Cl0p dans des attaques de vol de données. Les experts la décrivent comme facilement exploitable.
Certaines failles ajoutées sont notablement anciennes, comme CVE-2013-3918, qui remonte à 2013. Cette vulnérabilité a été initialement utilisée par le groupe de menace persistante avancée responsable de l'attaque Aurora de 2009. En 2015, Kaspersky a rapporté que l'acteur étatique connu sous le nom de groupe Equation avait capturé et réutilisé l'exploit pour cibler des utilisateurs gouvernementaux en Afghanistan.
En vertu de la Directive opérationnelle contraignante (BOD) 22-01, les agences du pouvoir exécutif civil fédéral doivent corriger ces vulnérabilités du catalogue KEV aux dates limites spécifiées pour protéger leurs réseaux. La CISA a fixé le 27 octobre 2025 comme délai pour que les agences fédérales les corrigent. Les experts en sécurité exhortent les organisations privées à examiner le catalogue et à corriger les systèmes affectés sans délai pour prévenir des exploitations similaires.