Vulnérabilité CVE-2025-1001 dans Medixant RadiAnt DICOM Viewer Permet aux Acteurs Malveillants de Réaliser des Attaques de l’Homme au Milieu
Un nouveau jour, une nouvelle menace pour les défenseurs du cyberespace. Une vulnérabilité nouvelle dans Medixant RadiAnt DICOM Viewer — un visualiseur PACS DICOM populaire pour l’imagerie médicale — permet aux hackers d’exécuter des attaques de type homme du milieu (MitM).
GitHub rapporte que d’ici fin 2024, une moyenne de 115 CVE ont été divulguées quotidiennement, avec une augmentation de 124% des cyberattaques exploitant des vulnérabilités au T3 2024. En conséquence, la détection proactive des exploitations reste une priorité absolue pour les équipes de cybersécurité dans le monde entier.
Pour repérer à temps les attaques potentielles contre votre organisation, SOC Prime Platform pour la défense cyber collective organise un grand ensemble de règles Sigma visant la détection de l’exploitation des vulnérabilités. Cliquez sur le bouton Explorer les détections ci-dessous et accédez immédiatement à un ensemble pertinent de détections enrichies de contexte, soutenu par une suite de produits complète pour la chasse aux menaces automatisée, l’ingénierie de détection alimentée par l’IA et la détection des menaces guidée par l’intelligence. En consultant notre bibliothèque de règles Sigma avec le tag “CVE”, vous ne manquerez pas les menaces évolutives potentiellement problématiques pour votre entreprise, car les détections sont ajoutées quotidiennement.
Toutes les règles sont compatibles avec plusieurs solutions SIEM, EDR et Data Lake et sont mappées sur le cadre MITRE ATT&CK pour faciliter l’enquête sur les menaces. De plus, les détections sont enrichies de métadonnées détaillées, comprenant CTI des références, des chronologies d’attaque, des recommandations de triage, et plus.
Analyse de CVE-2025-1001
Les défenseurs ont découvert une nouvelle vulnérabilité dans le Medixant RadiAnt DICOM Viewer. Identifiée comme CVE-2025-1001, cette faille de gravité moyenne a un score CVSS de 5.7. CVE-2025-1001 affecte toutes les versions du produit antérieures à 2025.1 et découle de l’incapacité de la fonction de mise à jour à vérifier le certificat du serveur de mise à jour. Cette faille pourrait être exploitée dans des attaques MitM, donnant aux acteurs menaçants le feu vert pour intercepter et manipuler la réponse du serveur pour distribuer des mises à jour nuisibles à l’utilisateur.
Si les hackers obtiennent des privilèges élevés sur un système ciblé, ils pourraient se faire passer pour le serveur et modifier le contenu de la fenêtre de mise à jour. Cela se produit si l’utilisateur ignore un avertissement de non-correspondance de nom de certificat et confirme la fausse mise à jour, ce qui permet le téléchargement d’un fichier militarisé. Ce dernier est traité via le navigateur web Windows, et l’utilisateur doit exécuter manuellement le fichier. En conséquence, le logiciel de sécurité signalerait probablement le fichier comme dangereux.
Il n’y a actuellement aucune preuve d’exploitation de CVE-2025-1001 dans la nature, mais les utilisateurs doivent mettre à jour vers la version la plus récente ou appliquer des mesures d’atténuation s’ils ne peuvent pas mettre à jour immédiatement. Le fournisseur a rapidement résolu le problème et exhorte les utilisateurs à passer à la version 2025.1 ou ultérieure du produit. Pour les utilisateurs ne pouvant pas installer la mise à jour, des précautions doivent être mises en place pour bloquer les tentatives potentielles d’exploitation. Plus spécifiquement, pour réduire les risques, les utilisateurs doivent empêcher l’application des mises à jour en désactivant l’affichage des mises à jour disponibles en exécutant la commande spécifique.
En tirant parti de SOC Prime Platform la défense cyber collective basée sur le renseignement mondial sur les menaces, le crowdsourcing, le zéro confiance, et l’IA, les organisations peuvent s’assurer qu’elles peuvent identifier et résoudre les CVE connues et émergentes en temps opportun pour optimiser leur posture de cybersécurité face aux risques. Avec Attack Detective, les entreprises utilisant le SaaS prêt pour l’entreprise de SOC Prime peuvent améliorer la visibilité sur les menaces, aborder en temps voulu les angles morts de la défense cyber, et développer leurs capacités de détection et de chasse aux menaces à grande échelle pour agir plus vite que les attaquants.
