Fin août 2025 – L’agence américaine CISA (Cybersecurity and Infrastructure Security Agency) a ajouté trois nouvelles vulnérabilités à son catalogue KEV, réservé aux failles activement exploitées dans la nature. Ces vulnérabilités concernent deux failles dans Citrix Session Recording et une dans Git, renforçant l’urgence de les corriger dans les environnements exposés. CISAThe Hacker News
Détails des vulnérabilités ajoutées
| CVEIdentifiant standardisé d'une vulnérabilité connue. CVE-2023-40005 pour une faille Windows. MITRE | Produit / Module | Description | CVSS | Remédiation disponible |
|---|---|---|---|---|
| CVE-2024-8068 | Citrix Session Recording | Mauvaise gestion des privilèges pouvant permettre l’escalade vers NetworkService, depuis un utilisateur authentifié dans le même domaine Active Directory. The Hacker News | 5.1 | Oui – patché en nov. 2024 The Hacker NewsDaily CyberSecurity |
| CVE-2024-8069 | Citrix Session Recording | Désérialisation de données non fiables, ouvrant la voie à une exécution de code à distance avec les droits du service NetworkService. The Hacker NewsDaily CyberSecurity | 5.1 | Oui – patché en nov. 2024 The Hacker NewsDaily CyberSecurity |
| CVE-2025-48384 | Git (gestion des sous-modules) | Erreur de traitement des retours chariot dans les fichiers de configuration, permettant l’exécution de hooks via une redirection de chemin (symlink + post-checkout hook). The Hacker NewsDaily CyberSecurity | 8.1 | Oui – patché en juillet 2025 The Hacker NewsDaily CyberSecurity |
Les CVEIdentifiant standardisé d'une vulnérabilité connue. CVE-2023-40005 pour une faille Windows. MITRE sur Citrix ont été signalées par watchTowr Labs en juillet 2024 et corrigées en novembre de la même année. La vulnérabilité Git, plus sévère, a reçu un correctif dès juillet 2025, après diffusion d’un PoC par Datadog. The Hacker News+1
Contexte réglementaire et portée opérationnelle
Le catalogue KEV fait partie de la Binding Operational Directive (BOD 22-01), qui oblige les agences fédérales civiles (FCEB) à corriger ces failles avant une date d’échéance donnée. Pour ces trois CVEIdentifiant standardisé d'une vulnérabilité connue. CVE-2023-40005 pour une faille Windows. MITRE, le délai est fixé au 15 septembre 2025. CISAThe Hacker News
Même en dehors du périmètre fédéral, CISA recommande fortement à toutes les organisations de prioriser ces corrections dans le cadre de leurs pratiques de gestion des vulnérabilités. CISA+1
Pourquoi cette annonce est-elle critique ?
Exploitation active : la présence dans le catalogue signifie que ces vulnérabilités sont aujourd’hui activement exploitées — un signal d’alarme majeur pour les équipes de cybersécurité.
Impact élevé malgré une faible criticité apparente : les CVEIdentifiant standardisé d'une vulnérabilité connue. CVE-2023-40005 pour une faille Windows. MITRE sur Citrix portent une note moyenne (5.1), mais leur exploitation dans les environnements AD peut conduire à des compromissions graves.
Risque de chaîne d’attaque via Git : la vulnérabilité Git permet d’infecter automatiquement les dépôts, créant un vecteur potentiel de compromission de la chaîne de développement (supply chain risk).
Recommandations clés pour les professionnels
Appliquer les correctifs immédiatement, en ciblant :
Citrix Session Recording, versions vulnérables ;
Clients Git, versions 2.43.7, 2.44.4, 2.45.4, 2.46.4, 2.47.3, 2.48.2, 2.49.1, 2.50.1 ou ultérieures. Daily CyberSecurity
Segmenter et minimiser les accès au module de session recording Citrix — en particulier pour limiter les utilisateurs internes authentifiés non autorisés.
Surveiller les activités Git, notamment les hooks post-checkout ou comportements anormaux après clonage.
Intégrer les vulnérabilités KEV dans vos tableaux de bord SIEMOutil de gestion des journaux et alertes de sécurité. Wazuh détecte une tentative de compromission. Elastic/gestion des vulnérabilités, via intégration automatisée du catalogue (CSV, JSON). CISA
Préparer un plan de réponse prioritaire, surtout si vos environnements utilisent la pile Citrix ou des workflows automatisés via Git.
Conclusion
L’ajout de ces trois vulnérabilités — deux dans Citrix et une dans Git — au catalogue KEV souligne la nécessité d’agilité et de réactivité réelle dans la gestion des risques. Même des failles jugées moyennement sévères peuvent provoquer des attaques localisées majeures.
La gestion proactive des vulnérabilités n’est plus une option, mais une exigence stratégique. Mieux vaut anticiper que guérir : corrigez, surveillez, isolez — et restez un pas devant la menace.