Bulletin cybersec indus hebdo 25.S30

28.07.25 08:20 - Commentaire(s) - Par Chantal

Les news relatives à la cybersécurité des installations industrielles

Microsoft réagit pour se défendre contre Octo Tempest

Entre avril et juillet 2025, le groupe de menace OctoTempest connu aussi sous différents noms tels que Scattered Spider, a ciblé les secteurs aérien, la distribution et l'assurance, en utilisant le social engineering et le SMS phishing. Ils ont compromis les systèmes on-premise et VMware ESX pour déployer le ransomware DragonForce afin de voler des données et demander des rançons. Microsoft a détecté l'attaque et activé la fonction attack disruption de Defender pour interrompre les activités malveillantes et bloquer les comptes compromis.

https://www.microsoft.com/en-us/security/blog/2025/07/16/protecting-customers-from-octo-tempest-attacks-across-multiple-industries/

NCC Group et Fox IT : rapport sur l'évolution des cybermenaces en 2025

NCC Group et Fox IT ont publié le rapport "Cyber Threat Intelligence" dans le but d'analyser l'évolution des menaces cyber et des groupes ransomware. D'après leurs statistiques, il y a eu environ 1180 attaques au deuxième trimestre de l'an 2025, soit une baisse de 43 % par rapport au premier trimestre. Le secteur industriel reste le plus ciblé, représentant 30% des attaques par ransomware au deuxième trimestre 2025. En plus, une augmentation des attaques par des groupes comme Qilin, qui est le groupe de menace le plus actif en 2025, responsable de 13 % des attaques. Qilin a exploité les vulnérabilités CVE-2024-21762 et CVE-2024-55591 dans Fortinet permettant de la prise de contrôle des pare-feux FortiGate.

https://www.nccgroup.com/uk/resource-hub/cyber-threat-intelligence-reports/

UNC3886 cible les infrastructures critiques de Singapour

En juillet 2025, le groupe de menace UNC3886 allié au groupe de cyberespionnage chinois a ciblé les infrastructures critiques de Singapour. Ce groupe exploite des failles Zero-day dans des équipements Fortinet, VMware et Juniper pour mener des opérations d'espionnage.

https://www.linkedin.com/posts/operational-technology-information-sharing-and-analysis-center-ot-isac_tlp-clear-activity-7353249967521583105-ytg8?utm_source=share&utm_medium=member_android&rcm=ACoAAAB3VnsBWaVLmnzsLMlz5yb3aJ9SIiiYPJ4

Renforcement de la cybersécurité dans le transport maritime américain

Le 17 janvier 2025, la garde côtière américaine a publié les exigences de cybersécurité relatives aux systèmes des opérateurs qui régissent le transport maritime. Avant le 16 juillet 2027,les opérateurs devaient soumettre une évaluation et un plan de cybersécurité. Depuis le 16 juillet 2025, la formation du personnel et la détection des menaces deviennent obligatoires.

https://www.news.uscg.mil/maritime-commons/Article/4247529/final-rule-cybersecurity-in-the-marine-transportation-system-implementation-tim/

Vulnerability Corner :

Liste des Known Exploited Vulnerabilities (KEV) publiés par l'agence de cybersécurité américaine CISA la semaine dernière :

CVE	Vendor	Product	Liens
CVE-2025-2775	SysAid	SysAid On-Prem	https://documentation.sysaid.com/docs/24-40-60, https://nvd.nist.gov/vuln/detail/CVE-2025-2775
CVE-2025-2776	SysAid	SysAid On-Prem	https://documentation.sysaid.com/docs/24-40-60, https://nvd.nist.gov/vuln/detail/CVE-2025-2776
CVE-2025-49704	Microsoft	SharePoint	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49704, https://nvd.nist.gov/vuln/detail/CVE-2025-49704, https://www.cisa.gov/news-events/alerts/2025/07/20/microsoft-releases-guidance-exploitation-sharepoint-vulnerability-cve-2025-53770, https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities/
CVE-2025-49706	Microsoft	SharePoint	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-49706, https://nvd.nist.gov/vuln/detail/CVE-2025-49706, https://www.cisa.gov/news-events/alerts/2025/07/20/microsoft-releases-guidance-exploitation-sharepoint-vulnerability-cve-2025-53770, https://www.microsoft.com/en-us/security/blog/2025/07/22/disrupting-active-exploitation-of-on-premises-sharepoint-vulnerabilities/
CVE-2025-54309	CrushFTP	CrushFTP	https://nvd.nist.gov/vuln/detail/CVE-2025-54309, https://www.crushftp.com/crush11wiki/Wiki.jsp?page=CompromiseJuly2025
CVE-2025-6558	Google	Chromium	https://chromereleases.googleblog.com/2025/07/stable-channel-update-for-desktop_15.html, https://nvd.nist.gov/vuln/detail/CVE-2025-6558

Vulnérabilités de composants de systèmes industriels :
Vendor
Product
Critical
High
Medium
Low
Total
Schneider Electric
EcoStruxure Power Operation (EPO)
0
5
1
0
6
Honeywell
Experion PKS
1
4
1
0
6
Medtronic
MyCareLink Patient Monitor model 24950
0
0
3
0
3
DuraComm Corporation
SPM-500 DP-10iN-100-MU
0
3
0
0
3
Lantronix
Provisioning Manager
0
1
0
0
1
Mitsubishi Electric
NC Designer2
0
1
0
0
1
Network Thermostat
X-Series WiFi thermostats
1
0
0
0
1
LG Innotek
LNV5110R
0
1
0
0
1

Liste complète triée par CVSSv3 Score :

Vendor	Product	CVE	CVSSv3 Score	CVSSv3 Severity	EPSS	Percentile	CWE
Network Thermostat	X-Series WiFi thermostats	CVE-2025-6260	9.8	CRITICAL	0.061%	19.384%	CWE-306
Honeywell	Experion PKS	CVE-2025-2523	9.4	CRITICAL	0.265%	49.811%	CWE-191
Schneider Electric	EcoStruxure Power Operation (EPO)	CVE-2023-5217	8.8	HIGH	1.679%	81.371%	CWE-787
Honeywell	Experion PKS	CVE-2025-2521	8.6	HIGH	0.265%	49.811%	CWE-119
Honeywell	Experion PKS	CVE-2025-3946	8.2	HIGH	0.278%	50.864%	CWE-430
Honeywell	Experion PKS	CVE-2025-3947	8.2	HIGH	0.052%	16.219%	CWE-191
DuraComm Corporation	SPM-500 DP-10iN-100-MU	CVE-2025-41425	8.1	HIGH	0.044%	12.833%	CWE-79
Schneider Electric	EcoStruxure Power Operation (EPO)	CVE-2023-50447	8.1	HIGH	0.554%	67.044%	CWE-95
Lantronix	Provisioning Manager	CVE-2025-7766	8.0	HIGH	0.045%	13.505%	CWE-611
DuraComm Corporation	SPM-500 DP-10iN-100-MU	CVE-2025-48733	7.5	HIGH	0.059%	18.613%	CWE-306
DuraComm Corporation	SPM-500 DP-10iN-100-MU	CVE-2025-53703	7.5	HIGH	0.012%	1.243%	CWE-319
Honeywell	Experion PKS	CVE-2025-2520	7.5	HIGH	0.052%	16.219%	CWE-457
Schneider Electric	EcoStruxure Power Operation (EPO)	CVE-2022-45198	7.5	HIGH	0.123%	32.250%	CWE-409
Schneider Electric	EcoStruxure Power Operation (EPO)	CVE-2023-35945	7.5	HIGH	0.079%	24.149%	CWE-400
Schneider Electric	EcoStruxure Power Operation (EPO)	CVE-2023-44487	7.5	HIGH	94.434%	99.983%	CWE-400
LG Innotek	LNV5110R	CVE-2025-7742	7.0	HIGH	0.484%	64.318%	CWE-288
Mitsubishi Electric	NC Designer2	CVE-2016-2542	7.0	HIGH	0.101%	28.640%	CWE-427
Medtronic	MyCareLink Patient Monitor model 24950	CVE-2025-4394	6.8	MEDIUM	0.022%	4.129%	CWE-312
Medtronic	MyCareLink Patient Monitor model 24950	CVE-2025-4395	6.8	MEDIUM	0.022%	4.129%	CWE-258
Schneider Electric	EcoStruxure Power Operation (EPO)	CVE-2024-28219	6.7	MEDIUM	0.095%	27.510%	CWE-680
Honeywell	Experion PKS	CVE-2025-2522	6.5	MEDIUM	0.036%	8.896%	CWE-226
Medtronic	MyCareLink Patient Monitor model 24950	CVE-2025-4393	6.5	MEDIUM	0.012%	1.251%	CWE-502

-----
Actualité Fortress Cybersecurity
Nos dernières publications :

- Bilan des Known Exploited Vulnerabilities du mois de juin 2025

- Nouveau guide de classification des actifs industriels publié par l'ANSSI

Nos prochains webinaires dédiés à la cybersécurité des installations industrielles :

- 4 septembre 2025 : Authentification des opérateurs en environnement industriel, lien

- 2 octobre 2025 : Construire le plan de protection contre la menace cyber de ses installations industrielles, inscription lien

- 6 novembre 2025 : Cybersécurité de la 5G privée en environnement industriel, inscription lien

- 4 décembre 2025 : NIS 2 for Industry, inscription lien