La sécurité des données est primordiale. En particulier, l’interconnexion des systèmes informatiques via Internet qui recèle des risques considérables tels que des virus, des malwares, l’espionnage industriel, en passant par les actes de sabotages…

Vous êtes victime d’une attaque ? Si c’est le cas, déclarez votre incident directement sur notre site internet auprès de www.cybermalveillance.gouv.fr (fenêtre en bas à droite de l’écran). La plateforme gouvernementale vous orientera vers l’un des experts répartis à travers le territoire, afin d’assurer une résolution optimale de votre incident.

La protection et la sécurité des données deviennent pour cette raison non seulement l’un                          des facteurs concurrentiels parmi les plus importants, mais également une impérative                                nécessité en vue de préserver le patrimoine immatériel de l’entreprise ou de la                                            collectivité.

​La norme ISO 27001 est la réponse adaptée à ces enjeux de sécurité des systèmes d’information.

​Cette norme de sécurité informatique est reconnue internationalement, elle permet aux organismes qui ont atteint les exigences de ce référentiel de démontrer qu’un système efficace de protection et de sécurité des informations a été mis en œuvre, elle permet également d’attester qu’une surveillance rigoureuse de tous les processus est régulièrement réalisée.

DATALP est reconnu pour la conception de pare-feu de nouvelle génération, lesquels sont hautement estimés par les professionels du secteur pour leur niveau de protection exceptionnel ainsi que leur capacité de traitement et de stockage qui dépassent très largement les normes standard.

Bulletin d’information de la cybersécurité

Menaces et incidents

  • 🇬🇧 Houken seeking a path by living on the edge with zero-days (01 juillet 2025)
    In September 2024, ANSSI observed an attack campaign seeking initial access to French entities’ networks through the exploitation of several zero-day vulnerabilities on Ivanti Cloud Service Appliance (CSA) devices. French organizations from governmental, telecommunications, media, finance, and…
  • Opération ENDGAME 2025 (23 mai 2025)
    Entre le 19 et le 23 mai 2025, de nouvelles actions de démantèlement ont été menées contre plusieurs infrastructures liées à des codes cybercriminels. Ces actions ont été réalisées dans le cadre de l’opération de coopération judiciaire internationale ENDGAME lancée en…
  • 🇬🇧 Targeting and compromise of french entities using the APT28 intrusion set (29 avril 2025)
    Version française: 🇫🇷 ANSSI and its partners at the Cyber Crisis Coordination Center (C4) have observed informatic attacks conducted by APT28 operators between 2021 and 2024. The attackers are publicly linked to the Russian Federation. The APT28 intrusion set has been used againt various entities…
  • Ciblage et compromission d'entités françaises au moyen du mode opératoire d'attaque APT28 (29 avril 2025)
    English version : 🇬🇧 L’ANSSI et ses partenaires du Centre de coordination des crises cyber (C4) ont observé entre 2021 et 2024 des attaques informatiques conduites par les opérateurs d’APT28, qui sont publiquement rattachés par différentes sources à la Russie. Le mode opératoire d’attaque APT28 a…
  • Transports urbains – État de la menace informatique (17 avril 2025)
    La menace à l’encontre des entités des transports urbains cible des entreprises de toutes les tailles dans le monde entier qui opèrent différents modes de transport. La convergence de technologies industrielles et bureautique, l’interconnexion de réseaux informatiques de grande taille composés…
  • 🇬🇧 Cyber Threat Overview 2024 (11 mars 2025)
    Version française: 🇫🇷 In this fourth edition of the Cyber Threat Overview, The French Cybersecurity Agency (ANSSI) addresses prevalent cybersecurity threats and the pivotal incidents which occurred in 2024. In line with the previous years, ANSSI estimates that attackers associated with the…
  • Panorama de la cybermenace 2024 (11 mars 2025)
    English version : 🇬🇧 Dans cette quatrième édition du panorama de la menace, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) revient sur les grandes tendances de la menace informatique ainsi que sur les éléments et incidents marquants dont elle a eu connaissance en 2024. Dans…
  • Collectivités territoriales – Synthèse de la menace (24 février 2025)
    Les collectivités territoriales gèrent de nombreux services selon leurs compétences, en matière administrative et régalienne, mais également sur de nombreux aspects de la vie sociale, territoriale et économique d’un territoire. Les conséquences d’attaques informatiques peuvent donc être majeures…
  • Secteur du cloud – État de la menace informatique (20 février 2025)
    Le *Cloud computing*, devenu incontournable pour les secteurs public et privé, favorise la transformation numérique mais offre également de nouvelles opportunités d’attaques et problématiques de sécurité pour les organisations qui l’utilisent. L'ANSSI observe une augmentation des attaques contre…
  • Secteur de l'eau : état de la menace informatique (28 novembre 2024)
    En 2024, le secteur de l'eau a fait l'objet d'une attention particulière des attaquants informatiques notamment dans le contexte des Jeux Olympiques et Paralympiques 2024 et de l'importance portée à la qualité de l'eau de la Seine. A plusieurs reprises au cours de l'année, des groupes…
  • Secteur de la santé – État de la menace informatique (07 novembre 2024)
    Le secteur de la santé est un secteur hautement critique, qui intègre une typologie d’acteurs variée allant des acteurs liés à la gestion du système de santé, aux prestataires de soins, en passant par les industriels de produits de santé et les fournisseurs et prestataires pour le secteur de la…
  • Exfiltration de données du secteur social – Retour d’expérience du CERT-FR (24 septembre 2024)
    L’année 2023 et le début de l’année 2024 ont été marqués par de nombreux incidents ciblant des entités du secteur social gérant des données à caractère personnel. Compte tenu des impacts qu’ont eu ces exfiltrations de données, le CERT-FR propose un retour d’expérience sur la gestion de ces…
  • Organismes de recherche et think tanks – État de la menace informatique (02 septembre 2024)
    Le secteur de la recherche et des *think tanks* couvre un périmètre large et hétéroclite. Celui-ci comprend des entités publiques et privées de toute nature, dont certaines peuvent être des fondations, des organisations internationales ou des associations. Ces entités sont ciblées par un vaste…
  • Codes malveillants utilisés à des fins destructrices (11 juillet 2024)
    Les attaques à but de déstabilisation constituent des menaces informatiques qui visent de manière récurrente les grands évènements sportifs. Si elles prennent souvent la forme d’attaques par déni de service distribué (DDoS) ou de défigurations de sites Web, elles peuvent aussi passer par des…
  • 🇬🇧 Malicious activities linked to the Nobelium intrusion set (19 juin 2024)
    Several cyberattacks against French diplomatic entities can be linked to the Nobelium intrusion set. Nobelium is an intrusion set active since at least October 2020, used against high-value targets, most likely for espionage purposes. Western diplomatic entities, such as embassies and Ministries…
  • Failles sur les équipements de sécurité – Retour d'expérience du CERT-FR (12 juin 2024)
    L'année 2023 et le début de l'année 2024 ont été marqués par de nombreux incidents concernant des équipements de sécurité présents notamment en bordure de réseau. Ces incidents ont pour origine l'exploitation d'une ou plusieurs vulnérabilités critiques dans des pare-feux, passerelles VPN ou…
  • Opération ENDGAME (30 mai 2024)
    Entre le 27 et le 29 mai 2024, une opération de démantèlement de plusieurs infrastructures liées à des codes cybercriminels a été menée dans le cadre d’une coopération judiciaire internationale impliquant les autorités allemandes, néerlandaises, danoises, françaises, britanniques et américaines….
  • Grands évènements sportifs en France – Évaluation de la menace 2024 (17 avril 2024)
    Depuis plus d’une décennie, les compétitions sportives internationales majeures font régulièrement l’objet d’attaques informatiques. Ces évènements, en raison de l’intérêt qu’ils suscitent chez des centaines de millions de personnes et des flux financiers importants qu’ils génèrent, constituent…
  • 🇬🇧 Cyber Threat Overview 2023 (27 février 2024)
    Version française: 🇫🇷 This third edition of the Cyber Threat Overview describes the main trends observed by the French National Cyber Security Agency (ANSSI) in 2023. This document focuses on the motivations of attackers, their capabilities and the opportunities they exploit to compromise…
  • Panorama de la cybermenace 2023 (27 février 2024)
    English version : 🇬🇧 Cette troisième édition du Panorama de la cybermenace décrit les principales tendances constatées en 2023 par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Ce document se concentre sur les intentions des attaquants, leurs capacités et les opportunités…

Situation temps réel des alertes de sécurité (CERT-FR)

  • [MàJ] Multiples vulnérabilités dans Microsoft SharePoint (21 juillet 2025)
    **[Mise à jour du 23 juillet 2025]** Le 20 juillet 2025, Microsoft a publié des correctifs pour une vulnérabilité de type limitation insuffisante d'un chemin d'accès à un répertoire restreint, aussi appelé *path traversal*, affectant SharePoint Enterprise Server 2016, SharePoint Server 2019 et…
  • Multiples vulnérabilités dans Citrix NetScaler ADC et NetScaler Gateway (01 juillet 2025)
    **[Mise à jour du 17 juillet 2025]** L'éditeur a publié un lien contenant une méthode d'évaluation permettant d'identifier des tentatives d'exploitation dans les journaux applicatifs et systèmes [12]. **[Mise à jour du 7 juillet 2025]** Le 17 juin 2025, Citrix a publié un bulletin de sécurité…
  • [MàJ] Vulnérabilité dans Roundcube (05 juin 2025)
    [Mise à jour du 06 juin 2025] Une preuve de concept est publiquement disponible. [Publication initiale] Le 01 juin 2025, Roundcube a publié des correctifs concernant une vulnérabilité critique affectant son portail de messagerie ainsi que tous les produits l'incluant (par exemple cPanel et…
  • Multiples vulnérabilités dans Ivanti Endpoint Manager Mobile (EPMM) (14 mai 2025)
    [Mise à jour du 15 mai 2025] Une preuve de concept est publiquement disponible sur Internet. [Publication initiale] Le 13 mai 2025, Ivanti a publié deux avis de sécurité concernant les vulnérabilités CVE-2025-4427 et CVE-2025-4428. L'utilisation combinée de ces deux vulnérabilités permet…
  • Vulnérabilité dans les produits Fortinet (13 mai 2025)
    Le 13 mai 2025, Fortinet a publié un avis de sécurité concernant la vulnérabilité CVE-2025-32756. Celle-ci permet à un attaquant non authentifié d'exécuter du code arbitraire à distance. L'éditeur indique que cette vulnérabilité est activement exploitée. Les exploitations constatées jusqu'ici…
  • Vulnérabilité dans SAP NetWeaver (28 avril 2025)
    Le 24 avril 2025, SAP a publié un bulletin de sécurité relatif à la vulnérabilité CVE-2025-31324 qui permet l'exécution de code arbitraire à distance pour un utilisateur non authentifié. Cette vulnérabilité est provoquée par un contournement de la politique de sécurité qui permet de télécharger…
  • Activités de post-exploitation dans Fortinet FortiGate (11 avril 2025)
    Fortinet a publié le 10 avril 2025 un billet de blogue [1] indiquant l'utilisation d'une technique de post-exploitation qui permet une atteinte à la confidentialité des données de l'ensemble du système des équipements Fortigate affectés. Cette technique repose sur l'utilisation d'un lien…
  • [MàJ] Vulnérabilité dans les produits Ivanti (03 avril 2025)
    **\[Mise à jour du 11 avril 2025\]** Le CERT-FR a connaissance d'une preuve de concept publique permettant de provoquer une exécution de code arbitraire à distance. **[Mise à jour du 04 avril 2025]** Le CERT-FR a connaissance d'une preuve de concept publique permettant de provoquer un arrêt du…
  • [MàJ] Vulnérabilité dans les produits Fortinet (14 janvier 2025)
    \[Mise à jour du 28 janvier 2025\] Une preuve de concept permettant l'exploitation de cette vulnérabilité est disponible publiquement. Le 14 janvier 2025, Fortinet a publié un avis de sécurité concernant la vulnérabilité critique CVE-2024-55591 affectant FortiOS et FortiProxy. Elle permet à un…
  • [MàJ] Vulnérabilité dans les produits Ivanti (09 janvier 2025)
    Une vulnérabilité jour-zéro de type débordement de pile a été découverte dans Ivanti Connect Secure (ICS), Policy Secure (IPS), Neurons for Zero Trust Access (ZTA) gateways. Cette vulnérabilité, d'identifiant CVE-2025-0282, permet à un attaquant non authentifié de provoquer une exécution de code…
  • [MàJ] Multiples vulnérabilités sur l'interface d'administration des équipements Palo Alto Networks (15 novembre 2024)
    Le 8 novembre 2024, Palo Alto Networks a publié un avis de sécurité relatif à une vulnérabilité critique dans certains pare-feux Palo Alto Networks. Elle permet à un attaquant non authentifié d'exécuter du code arbitraire à distance sur l'interface d'administration des équipements. L'éditeur…
  • [MàJ] Multiples vulnérabilités dans Fortinet FortiManager (23 octobre 2024)
    **[Mise à jour du 14 janvier 2025]** **Publication des correctifs** Le 14 janvier 2025, Fortinet a publié un avis de sécurité relatif à la vulnérabilité CVE-2024-50566 qui correspond à la vulnérabilité de type jour-zéro pour laquelle une preuve de concept a été publiée en novembre 2024. Des…
  • Exploitations de vulnérabilités dans Ivanti Cloud Services Appliance (CSA) (22 octobre 2024)
    Ivanti a publié plusieurs avis de sécurité sur des vulnérabilités affectant CSA qui sont activement exploitées : * le 10 septembre 2024, Ivanti a publié un avis de sécurité concernant la vulnérabilité CVE-2024-8190 qui permet à un attaquant, authentifié en tant qu'administrateur, d'exécuter du…
  • [MàJ] Vulnérabilités affectant OpenPrinting CUPS (27 septembre 2024)
    **[Mise à jour du 10 octobre 2024]** Le 28 septembre 2024, Elastic Security Labs a publié des règles de détection au format propriétaire de l'éditeur (cf. section Documentation), qui sont confirmées par les analyses du CERT-FR pour la détection des attaques connues. **[Publication initiale]** De…
  • Vulnérabilité dans SonicWall (10 septembre 2024)
    Le 22 août 2024, Sonicwall a publié un correctif concernant la vulnérabilité critique CVE-2024-40766 affectant les pare-feux Sonicwall génération 5, 6 et 7. Cette vulnérabilité, de type contrôle d'accès défaillant, permet à un attaquant de provoquer un déni de service à distance, une atteinte à…
  • Multiples vulnérabilités dans Roundcube (09 août 2024)
    Le 4 août 2024, Roundcube a publié des correctifs concernant les vulnérabilités critiques CVE-2024-42008 et CVE-2024-42009 affectant son serveur de courriel. Ces vulnérabilités permettent des injections de code indirectes à distance (XSS) qui peuvent, par exemple, conduire à la récupération du…
  • Vulnérabilité dans OpenSSH (01 juillet 2024)
    Le 1 juillet 2024, OpenSSH a publié un avis de sécurité concernant la vulnérabilité critique CVE-2024-6387. Cette vulnérabilité permet à un attaquant non authentifié d'exécuter du code arbitraire à distance avec les privilèges *root*. L'éditeur précise que les versions 8.5p1 à 9.7p1 sont…
  • [MàJ] Vulnérabilité dans les produits Check Point (30 mai 2024)
    [Mise à jour du 31 mai 2024] Des preuves de concept sont désormais disponibles publiquement sur Internet. De plus, l'éditeur indique avoir détecté des tentatives de compromission à partir du 7 avril 2024. **[Publication Initiale]** Une vulnérabilité a été découverte dans les produits Check Point….
  • Multiples vulnérabilités dans les produits Cisco (25 avril 2024)
    Le 24 avril 2024, Cisco a publié trois avis de sécurité concernant des vulnérabilités affectant les équipements de sécurité ASA et FTD. Deux d'entre eux concernent les vulnérabilités CVE-2024-20353 et CVE-2024-20359 qui sont activement exploitées dans le cadre d'attaques ciblées. La vulnérabilité…
  • [MàJ] Vulnérabilité dans Palo Alto Networks GlobalProtect (12 avril 2024)
    \[Mise à jour du 10 mai 2024\] Le CERT-FR est intervenu pour le traitement d'une compromission par rançongiciel au sein d'une entité française. Dans le cadre de cette attaque, la vulnérabilité a été exploitée pour ensuite réaliser une latéralisation dans le système d'information de la victime et…

Indicateurs de compromission

  • Codes malveillants utilisés à des fins destructrices (11 juillet 2024)
    Les marqueurs techniques suivants sont associés à des codes destructeurs connus à ce jour (voir la publication /cti/CERTFR-2024-CTI-007/ ) Ils peuvent être utilisés à des fins de recherche de compromission dans des journaux historiques ou de détection :
  • 🇬🇧 Malicious activities linked to the Nobelium intrusion set (19 juin 2024)
    🇬🇧 The following indicators of compromise are associated with the phishing campaigns by the Nobelium intrusion set described in the CERTFR-2024-CTI-006 report. These technical elements are provided to help detecting malicious activities in logs or inside live network trafic.
  • FIN 12 : Un groupe cybercriminel aux multiples rançongiciels (18 septembre 2023)
    Les marqueurs techniques suivants sont associés au mode opératoire cybercriminel FIN12 (voir la publication CERTFR-2023-CTI-007). Ils peuvent être utilisés à des fins de recherche de compromission dans des journaux historiques ou de détection.
  • 🇫🇷/🇬🇧 Feed MISP public (12 juillet 2022)
    🇫🇷 Le CERT-FR met à disposition un feed MISP public regroupant des indicateurs de compromission marqués TLP:CLEAR dont la diffusion est libre. Il est accessible à l'adresse https://misp.cert.ssi.gouv.fr/feed-misp. La documentation du projet MISP, plateforme open-source de partage d'indicateurs de…
  • 🇫🇷/🇬🇧 Campagnes d'hameçonnage du mode opératoire d'attaquants Nobelium (06 décembre 2021)
    🇫🇷 Les marqueurs techniques suivants sont associés aux campagnes d'hameçonnage du mode opératoire Nobelium décrites dans la publication CERTFR-2021-CTI-010. Ils peuvent être utilisés à des fins de recherche de compromission dans des journaux historiques ou de détection. 🇬🇧 The following…
  • 🇫🇷/🇬🇧 Identification d'un nouveau groupe cybercriminel : Lockean (03 novembre 2021)
    🇫🇷 Les marqueurs techniques suivants sont associés au groupe cybercriminel Lockean (voir la publication CERTFR-2021-CTI-008). Ils peuvent être utilisés à des fins de recherche de compromission dans des journaux historiques ou de détection. 🇬🇧 The following indicators of compromise are associated…
  • 🇫🇷/🇬🇧 [Maj] Campagne d'attaque du mode opératoire APT31 ciblant la France (21 juillet 2021)
    🇫🇷 L’ANSSI traite actuellement une vaste campagne de compromission touchant de nombreuses entités françaises. Cette dernière, toujours en cours et particulièrement virulente, est conduite par le mode opératoire APT31 (voir CERTFR-2021-CTI-012 pour plus d'informations). Les investigations montrent…
  • 🇫🇷/🇬🇧 Campagne d’attaque du mode opératoire Sandworm ciblant des serveurs Centreon (15 février 2021)
    Les marqueurs techniques, les règles SNORT et YARA suivantes sont issues des analyses de l'ANSSI lors du traitement d’une campagne de compromission par le mode opératoire Sandworm touchant plusieurs entités françaises et ciblant le logiciel de supervision Centreon. Cette campagne d'attaque est…
  • Infrastructure d'attaque du groupe cybercriminel TA505 (10 février 2021)
    Les marqueurs techniques suivants sont associés à l'infrastructure d'attaque utilisée par le groupe cybercriminel TA505 depuis 2019 (voir la publication CERTFR-2021-CTI-002). Ils peuvent être utilisés à des fins de recherche de compromission dans des journaux historiques ou de détection temps…
  • 🇫🇷/🇬🇧 Le rançongiciel Egregor (18 décembre 2020)
    🇬🇧 The following indicators of compromise are associated with the Egregor ransomware described in the CERTFR-2021-CTI-007 report. These technical elements are provided to help detecting malicious activities in logs or inside live network trafic. 🇫🇷 Les marqueurs techniques suivants sont associés…
  • [MaJ]🇫🇷/🇬🇧 Le Rançongiciel Ryuk (30 novembre 2020)
    [Mise à jour du 26 février 2021] 🇬🇧 The following indicators are new network indicators associated with the Ryuk ransomware described in the CERTFR-2021-CTI-006 report. These technical elements are provided to help detecting malicious activities in logs or inside live network trafic. Every…
  • Le groupe cybercriminel TA505 (22 juin 2020)
    Les marqueurs techniques suivants sont associés au groupe cybercriminel TA505 (voir la publication CERTFR-2020-CTI-006). Ils peuvent être utilisés à des fins de recherche de compromission dans des journaux historiques ou de détection. Mise à jour du 10 février 2021 : un nouveau rapport détaillant…
  • Le code malveillant Dridex (25 mai 2020)
    Les marqueurs techniques suivants sont associés en source ouverte au code malveillant Dridex (voir la publication CERTFR-2020-CTI-005). Ils peuvent être utilisés à des fins de recherche de compromission dans des journaux historiques ou de détection. Toute communication depuis ou vers cette…
  • Le groupe cybercriminel SILENCE (07 mai 2020)
    Les marqueurs techniques suivants sont associés en source ouverte au groupe cybercriminel SILENCE (voir la publication CERTFR-2020-CTI-004). Ils peuvent être utilisés à des fins de recherche de compromission dans des journaux historiques. Toute communication depuis ou vers cette infrastructure ne…
  • Rançongiciel Maze et groupe d'attaquants TA2101 (05 février 2020)
    Les marqueurs techniques suivants sont associés en source ouverte au groupe d'attaquants TA2101 utilisant le rançongiciel Maze (voir la publication CERTFR-2020-CTI-001). Ils sont fournis au format d'export MISP et peuvent être utilisés à des fins de détection et de blocage de cette menace. Cette…

Durcissement et recommandations

FortiGuard Labs

  • SAP Netweaver Zero-Day Attack
    What is the Attack?A zero-day SAP vulnerability, CVE-2025-31324, with CVSS score of 10.0 is being actively exploited in the wild. This vulnerability affects SAP Visual Composer, allowing unauthenticated threat actors to upload arbitrary files, resulting in full compromise of the targeted system that could significantly affect the confidentiality, integrity, and availability of the targeted system.The vulnerability stems from the SAP NetWeaver Visual Composer Metadata Uploader lacking proper authorization protection, which allows unauthenticated agents to upload potentially malicious executable binaries.CISA has added the CVE to their Known Exploited Vulnerabilities Catalog on April 29, 2025.What is the recommended Mitigation?The vulnerability exists in […]
  • Windows CLFS Driver Elevation of Privilege
    What is the Vulnerability?A zero-day vulnerability has recently been identified in the Common Log File System (CLFS) kernel driver. CLFS is a general-purpose logging subsystem within the Windows operating system that provides a high-performance way to store log data for various applications. If successfully exploited, an attacker operating under a standard user account can elevate their privileges.Furthermore, Microsoft has observed that the exploit has been utilized by PipeMagic malware and has attributed this exploitation activity to Storm-2460, which has also leveraged PipeMagic to distribute ransomware. Microsoft has published a blog that provides an in-depth analysis of Microsoft's findings regarding the […]
  • Proof-of-Concept Code Now Available for an Exploited Windows Local Privilege Escalation Vulnerability
    FortiGuard Labs is aware that a Proof-of-Concept (POC) code for a newly patched Windows vulnerability (CVE-2022-21882) that is reported to have been exploited in the wild was released to a publicly available online repository. CVE-2022-21882 is a local privilege (LPE) escalation vulnerability which allows a local, authenticated attacker to gain elevated local system or administrator privileges through a vulnerability in the Win32k.sys driver. The vulnerability is rated as Important by Microsoft and has CVSS score of 7.0.Why is this Significant?This is significant because now that the POC for CVE-2022-21882 has become available to the public attacks leveraging the vulnerability will […]
  • Joint CyberSecurity Advisory Alert on PrintNightmare Vulnerability and Default MFA Protocols Exploited by Russian State-Sponsored Cyber Actors (AA22-074A)
    FortiGuard Labs is aware of a recent report issued by the U.S. Federal Bureau of Investigation (FBI) and Cybersecurity and Infrastructure Security Agency (CISA) that Russian state-sponsored cyber actors have gained network access to a non-governmental organization (NGO) through exploitation of default Multi-Factor Authentication (MFA) protocols and the "PrintNightmare" vulnerability (CVE-2021-34527). The attack resulted in data exfiltration from cloud and email accounts of the target organization.Why is this Significant?This is significant because the advisory describes how a target organization was compromised by Russian state-sponsored cyber actors. The advisory also provides mitigations.How did the Attack Occur?The advisory provides the following attack […]
  • Apache TomCat AJP File Inclusion Vulnerability
    FortiGuard Labs is aware of a new attack on Apache Tomcat Servers dubbed "GhostCat." Discovered by Chaitin Tech, a vulnerability in Apache Tomcat exists where an attacker has the ability to read and write in the webapp directory of Apache Tomcat. It addition to this, an attacker has the ability to upload files to the host to ultimately perform remote code execution. Assigned CVE-2020-1938, this vulnerability affects every version of Tomcat released over the past 13 years.What are the specifics of the vulnerability?Due to a flaw in the Apache Tomcat JServ Protocol, or AJP, a file inclusion vulnerability exists where […]
  • Attacks Observed in the Wild Exploiting CVE-2020-0688 (Microsoft Exchange Validation Key Remote Code Execution Vulnerability)
    FortiGuard Labs is aware of reports of active exploitation of CVE-2020-0688 – Microsoft Exchange Validation Key Remote Code Execution Vulnerability. Active in the wild attacks were first observed by Twitter user Troy Mursch (@bad_packets). The vulnerability was disclosed by an anonymous researcher to the Zero Day Initiative. According to the original February Microsoft Security Advisory for CVE-2020-0688, a remote code execution vulnerability exists in Microsoft Exchange Server when the server fails to properly create unique keys at install time. Knowledge of the validation key allows an authenticated user with a mailbox to pass arbitrary objects to be deserialized by the […]
  • Vulnerability in Zyxel Network Attached Storage (NAS) Devices
    FortiGuard Labs is aware of a newly disclosed vulnerability in Zyxel network attached storage (NAS) devices in an advisory published today by CERT/CC. Multiple Zyxel devices contain a pre authentication command injection vulnerability, which may allow a remote unauthenticated attacker to execute arbitrary code on the device. The vulnerability was reported by security journalist Brian Krebs (Krebs on Security) who learned about the flaw from a researcher who had obtained the exploit code from a reseller on the underground forums. This vulnerability has been assigned CVE-2020-9054.What are the details of this vulnerability exactly?The vulnerability is in (weblogin.cgi), which is a […]
  • Active Exploitation Against Adobe Commerce and Magento Through CVE-2022-24086/CVE-2022-24087
    UPDATE February 17: Added reference to CVE-2022-24087, which Adobe disclosed and issues an out-of-band patch for on February 17th, 2022.FortiGuard Labs is aware of reports that Magento Open Source and Adobe Commerce are actively being targeted and exploited through CVE-2022-24086. This vulnerability can lead to remote code execution (RCE) on an exploited server which means an attacker will be able to execute arbitrary commands remotely. The vulnerability is rated as Critical by Adobe and has CVSS score of 9.8 out of 10.On February 17th, Adobe released an out-of-band security fix for CVE-2022-24087. This vulnerability can also lead to remote code […]
  • CVE-2022-22718 on CISA's Known Exploited Vulnerabilities Catalog
    FortiGuard Labs is aware that the U.S. Cybersecurity and Infrastructure Security Agency (CISA) has added CVE-2022-22718 to the Known Exploited Vulnerabilities Catalog. CVE-2022-24481 is a local privilege escalation vulnerability in the Windows Print Spooler and affects multiple versions of Windows OS. Microsoft issued a patch for the vulnerability as part of the February 2022 Patch Tuesday updates.Why is this Significant?This is significant because CISA's Known Exploited Vulnerabilities Catalog lists vulnerabilities that are known to be exploited in the wild. Although Microsoft rated CVE-2022-22718 as "Exploitation More Likely" in their advisory, the vulnerability is now on the active exploitation list as […]
  • Qakbot Delivered Through CVE-2022-30190 (Follina)
    FortiGuard Labs is aware of a report that CVE-2022-30190 is exploited in the wild to deliver Qakbot malware. Currently, a patch is not available for CVE-2022-30190. Also known as Qbot and Pinkslipbot, Qakbot started off as a banking malware. In recent years, Qakbot was seen as a delivery vehicle for other malware, which often results in a compromised machine being infected with ransomware.Why is this Significant?This is significant because CVE-2022-30190 is a Windows vulnerability that has no available patch and is being abused in the field. The current attack campaign delivers Qakbot to victim's machine. While final payload has not […]

Foriguard EndPoint status

  • 1.888
    Newly Added (12)Security Vulnerabilities fixed in Google Chrome 138.0.7204.183Apache Tomcat CVE-2025-53506 Denial of Service VulnerabilityApache Tomcat CVE-2025-52434 Race Condition VulnerabilityApache Tomcat CVE-2025-52520 Buffer Overflow VulnerabilityApache HTTP Server CVE-2024-43394 Server Side Reqeust Forgery VulnerabilityApache HTTP Server CVE-2024-47252 VulnerabilityApache HTTP Server CVE-2024-42516 Input Validation Bypass VulnerabilityApache HTTP Server CVE-2025-49812 Authentication Bypass VulnerabilityApache HTTP Server CVE-2025-23048 Privilege Escalation VulnerabilityApache HTTP Server CVE-2025-49630 VulnerabilityApache HTTP Server CVE-2024-43204 Server Side Reqeust Forgery VulnerabilityApache HTTP Server CVE-2025-53020 Denial of Service Vulnerability
  • 1.887
    Newly Added (1)Security Vulnerabilities fixed in Adobe Connect APSB25-61Modified (1)Golang syscall.StartProcess Injection Vulnerability
  • 1.886
    Newly Added (1)ClamAV CVE-2024-20380 Denial of Service VulnerabilityModified (2)Dolby Audio X2 CVE-2021-3146 Untrusted Search Path VulnerabilityAmazon Kindle CVE-2017-6189 Untrusted Search Path Vulnerability
  • 1.885
    Newly Added (13)Oracle MySQL Client CVE-2025-50081 VulnerabilityMicrosoft SharePoint Server CVE-2025-53770 Spoofing VulnerabilityCrushFTP CVE-2025-54309 Unprotected Alternate Channel VulnerabilitySecurity Vulnerability fixed in Thunderbird 140.1Security Vulnerability fixed in Thunderbird 128.13Security Vulnerability fixed in Firefox ESR 140.1Security Vulnerability fixed in Firefox ESR 128.13Security Vulnerability fixed in Firefox ESR 115.26Security Vulnerability fixed in Firefox 141PHP CVE-2025-1220 Server Side Reqeust Forgery VulnerabilityPHP CVE-2025-1735 SQL Injection VulnerabilityPHP CVE-2025-6491 Denial of Service VulnerabilitySecurity Vulnerabilities fixed in Google Chrome 138.0.7204.168Modified (1)Microsoft SharePoint Server CVE-2025-53770 Remote Code Execution Vulnerability
  • 1.884
    Newly Added (17)FortiClient CVE-2024-40586 Improper Access Control VulnerabilityFortinet FortiClientEMS CVE-2024-23106 Brute Force VulnerabilityFortinet FortiClientEMS Improper Authentication VulnerabilityFortinet FortiClientEMS Server-Side Request Forgery VulnerabilitySplunk Enterprise CVE-2025-20231 VulnerabilitySplunk Enterprise CVE-2025-20321 Cross Site Request Forgery VulnerabilitySplunk Enterprise CVE-2025-20324 Privilege Escalation VulnerabilitySplunk Enterprise CVE-2025-20228 Cross Site Request Forgery VulnerabilitySplunk Enterprise CVE-2025-20300 Authorization Bypass VulnerabilitySplunk Enterprise CVE-2025-20232 Information Disclosure VulnerabilitySplunk Enterprise CVE-2025-20320 VulnerabilitySplunk Enterprise CVE-2025-20226 Information Disclosure VulnerabilitySplunk Enterprise CVE-2025-20227 Input Validation Bypass VulnerabilitySplunk Enterprise CVE-2025-20322 Cross Site Request Forgery VulnerabilitySplunk Enterprise CVE-2025-20319 Command Injection VulnerabilitySplunk Enterprise CVE-2025-20229 Privilege Escalation VulnerabilitySplunk Enterprise CVE-2025-20323 Privilege Escalation Vulnerability
  • 1.883
    Newly Added (1)Microsoft SharePoint Server CVE-2025-53770 Remote Code Execution Vulnerability
  • 1.882
    Newly Added (3)Security Vulnerabilities fixed in Rockwell Automation ThinManager SD1727Apache Tomcat CVE-2025-46701 VulnerabilityApache Tomcat CVE-2025-48988 Denial of Service Vulnerability
  • 1.881
    Newly Added (76)Adobe AIR CVE-2011-0611 Remote Code Execution VulnerabilityAdobe AIR CVE-2016-1019 Denial of Service VulnerabilityAdobe AIR CVE-2016-1010 Arbitrary Code Executtion VulnerabilityAdobe AIR CVE-2016-0984 Arbitrary Code Executtion VulnerabilityAdobe After Effects CVE-2025-43587 Out of Bounds Read VulnerabilityAdobe After Effects CVE-2025-47109 Denial of Service VulnerabilityOracle JDK CVE-2024-40896 XML External Entity VulnerabilityOracle JRE CVE-2024-40896 XML External Entity VulnerabilityOracle JDK CVE-2024-55549 Use After Free VulnerabilityOracle JRE CVE-2024-55549 Use After Free VulnerabilityOracle JDK CVE-2024-56171 Use After Free VulnerabilityOracle JRE CVE-2024-56171 Use After Free VulnerabilityOracle JDK CVE-2025-24855 Use After Free VulnerabilityOracle JRE CVE-2025-24855 Use After Free VulnerabilityOracle JDK CVE-2025-24928 Buffer Overflow VulnerabilityOracle JRE CVE-2025-24928 Buffer Overflow VulnerabilityOracle […]
  • 1.880
    Newly Added (5)Security Vulnerabilities fixed in Visual Studio 2025-06-10Security Vulnerabilities fixed in Visual Studio 2025-04-08Security Vulnerabilities fixed in Visual Studio 2025-07-08Security Vulnerabilities fixed in Microsoft Edge 135.0.3179.98Security Vulnerabilities fixed in Microsoft Edge 134.0.3124.66Modified (315)Ubisoft Rayman Legends Stack Buffer Overflow VulnerabilityCheck Point ZoneAlarm Antivirus CVE-2005-3560 Access Control Bypass VulnerabilityWinAgents TFTP Server CVE-2006-1952 Path Traversal VulnerabilityInternet Download Manager CVE-2010-0995 Buffer Overflow VulnerabilityGoogle Chrome CVE-2012-5144 Buffer Overflow VulnerabilityGoogle Chrome CVE-2012-2886 Cross Site Scripting VulnerabilityGoogle Chrome CVE-2012-2882 Input Validation Bypass VulnerabilityGoogle Chrome CVE-2012-2869 Buffer Overflow VulnerabilityGoogle Chrome CVE-2012-1846 Information Disclosure VulnerabilityGoogle Chrome CVE-2012-1845 Use After Free VulnerabilityOracle MySQL Workbench CVE-2020-1967 Denial of Service VulnerabilityGoogle […]
  • 1.879
    Newly Added (18)Wing FTP Server CVE-2025-47812 Remote Code Execution VulnerabilityApache HTTP Server CVE-2024-36387 Denial of Service VulnerabilityAdobe InDesign CVE-2025-47136 VulnerabilityAdobe InDesign CVE-2025-47103 Buffer Overflow VulnerabilityAdobe InDesign CVE-2025-47134 Buffer Overflow VulnerabilityAdobe InDesign CVE-2025-43591 Buffer Overflow VulnerabilityAdobe InDesign CVE-2025-43592 VulnerabilityAdobe InDesign CVE-2025-43594 Out of Bounds Write VulnerabilityAdobe Illustrator CVE-2025-49532 VulnerabilityAdobe Illustrator CVE-2025-49528 Buffer Overflow VulnerabilityAdobe Illustrator CVE-2025-30313 Out of Bounds Read VulnerabilityAdobe Illustrator CVE-2025-49531 Buffer Overflow VulnerabilityAdobe Illustrator CVE-2025-49524 Denial of Service VulnerabilityAdobe Illustrator CVE-2025-49529 VulnerabilityAdobe Illustrator CVE-2025-49527 Buffer Overflow VulnerabilityAdobe Illustrator CVE-2025-49530 Out of Bounds Write VulnerabilityAdobe Illustrator CVE-2025-49525 Out of Bounds Read VulnerabilityAdobe Illustrator CVE-2025-49526 Out of Bounds Write Vulnerability