CVE-2025–27364 dans MITRE Caldera : Exploitation d’une nouvelle vulnérabilité RCE de sévérité maximale via la manipulation de drapeaux du lien qui peut mener à une compromission complète du système
Une nouvelle vulnérabilité de sévérité maximale RCE vulnérabilité (CVE-2025-27364) dans MITRE Caldera pose un risque sérieux de compromission du système. La faille peut également être enchaînée avec un autre problème de sécurité de Parallels Desktop, CVE-2024-34331, pour doubler les risques de menaces. Si elles sont exploitées, ces questions de sécurité pourraient fournir aux hackers un contrôle total du système, entraînant un accès non autorisé, des violations de données et un mouvement latéral supplémentaire au sein d’un réseau impacté.
Avec la montée rapide des CVE exploités, le besoin de détection proactive des menaces n’a jamais été aussi urgent. Au début de 2025, le NIST NVD a déjà enregistré 6 480 nouveaux problèmes de sécurité, dont beaucoup ont déjà été exploités dans des attaques réelles. Alors que les menaces informatiques continuent d’évoluer, les équipes de sécurité dans le monde entier doivent prioriser les stratégies de détection précoce pour anticiper les tentatives d’exploitation et atténuer les risques efficacement.
La plateforme SOC Prime pour la défense cybernétique collective permet aux équipes de sécurité d’accéder à un flux mondial de menaces actives, des données CTI en temps réel et des algorithmes de détection sélectionnés pour repérer et atténuer les attaques utilisant des CVE exploités dès leurs premières étapes. Inscrivez-vous à la plateforme pour accéder à une bibliothèque étendue de règles Sigma appuyée par une suite complète de produits pour la détection et la chasse aux menaces avancées. Vous pouvez également consulter notre bibliothèque de règles filtrée avec le tag “CVE” en appuyant sur Explorer les détections ci-dessous, pour ne manquer aucune menace potentiellement difficile pour votre entreprise, car les détections sont ajoutées quotidiennement.
Toutes les règles peuvent être utilisées avec plusieurs solutions d’analyse de sécurité et sont mappées au cadre MITRE ATT&CK pour faciliter la recherche des menaces. De plus, les détections sont enrichies avec des métadonnées détaillées, y compris CTI les références, les chronologies des attaques, les recommandations de triage, et plus encore.
Analyse de CVE-2025-27364
Les défenseurs ont récemment dévoilé une nouvelle faille RCE dans les versions MITRE Caldera jusqu’à 4.2.0 et 5.0.0 (avant le commit 35bc06e) suivie sous CVE-2025-27364 (CVSS 10.0). Cette dernière affecte la capacité du serveur à compiler des agents dynamiques (implants). Cette faille de sévérité maximale est particulièrement dangereuse car elle ne nécessite aucune authentification pour être utilisée par les attaquants. Les hackers peuvent exploiter l’API impactée pour insérer du code malveillant dans le processus de compilation, entraînant l’installation d’agents Sandcat ou Manx non autorisés. Les adversaires peuvent exploiter cette faille en abusant du drapeau de liaison gcc -extldflags avec des sous-commandes. Étant donné le rôle étendu de Caldera dans les tests de pénétration et l’émulation d’adversaires, cette faille de sécurité représente un risque considérable pour les entreprises qui dépendent de la plateforme pour le red teaming et l’automatisation de la sécurité.
La publication d’un PoC pour CVE-2025-27364 augmente considérablement les risques d’exploitation réelle. L’exécution d’une commande curl spécifique rend la faille facile à exploiter. Une attaque réussie lance un shell inversé, exécutant un script Python qui fournit aux acteurs de la menace un accès root.
Notamment, CVE-2025-27364 peut également être exploité dans la chaîne d’attaque avec CVE-2024-34331, un problème de sécurité plus ancien et non résolu dans Parallels Desktop, qui peut conduire à une élévation de privilèges locaux sur les systèmes macOS. Si exploitées, les deux failles pourraient permettre aux hackers de prendre le contrôle total du système ciblé, menant à un accès non autorisé, des violations de données et une compromission du réseau.
Pour traiter en temps opportun les risques d’exploitation de CVE-2025-27364, les défenseurs recommandent de mettre à jour rapidement à la dernière version corrigée en tirant soit sur la branche Master soit sur la version 5.1.0 et au-delà. De plus, pour protéger les réseaux potentiellement vulnérables à l’exploitation de CVE-2025-27364, les utilisateurs sont également invités à restreindre l’accès à l’API de Caldera avec une segmentation réseau et des contrôles stricts et à suivre constamment les compilations d’agents inhabituelles ou l’activité API pour détecter de manière proactive les menaces. La plateforme SOC Prime pour la défense cybernétique collective aide les organisations à surpasser les cybermenaces quel que soit leur degré de sophistication en s’appuyant sur sa suite complète de produits alimentée par l’IA, l’intelligence des menaces actionnable, et les capacités automatisées avancées pour adopter en douceur une stratégie SOC de nouvelle génération.
