Aller au contenu
LaMinuteCyber

🚹 CVE-2025-29813 – Faille critique dans Azure DevOps

·
CVE Azure DevOps
Sommaire

EUVD-2025-14048 | CVSS 10.0 – GravitĂ© maximale | CWE-302
đŸ›Ąïž VulnĂ©rabilitĂ© d’authentification contournable par identitĂ© usurpĂ©e
⚠ Correctif dĂ©jĂ  appliquĂ© par Microsoft, mais risque post-exploitation Ă  surveiller

đŸ”„ Une faille extrĂȘmement critique : CVSS 10/10

Cette vulnĂ©rabilitĂ© atteint le niveau de sĂ©vĂ©ritĂ© le plus Ă©levĂ© possible dans l’échelle CVSS v3.1.

Pourquoi ? Parce qu’elle permet Ă  un attaquant non authentifiĂ© d’obtenir des privilĂšges Ă©levĂ©s Ă  distance, sans interaction de l’utilisateur.

🧹 Un tel vecteur d’attaque reprĂ©sente l’un des pires scĂ©narios de compromission dans un environnement DevOps :

  • Pas d’authentification requise
  • Aucun privilĂšge initial nĂ©cessaire
  • PossibilitĂ© d’injection directe dans les projets de code

đŸ•”ïžâ€â™‚ïž DĂ©tail de l’exploitation

L’attaque repose sur la falsification de donnĂ©es d’authentification supposĂ©es immuables (par ex. des claims dans un token).
Azure DevOps ne valide pas correctement ces identifiants, permettant Ă  un attaquant d’usurper une identitĂ© avec privilĂšges Ă©levĂ©s.

ScĂ©nario d’attaque possible :

  1. L’attaquant cible un endpoint d’authentification Azure DevOps exposĂ© publiquement.
  2. Il injecte une identitĂ© falsifiĂ©e via un token ou une requĂȘte OAuth mal validĂ©e.
  3. Azure DevOps accepte ces identités falsifiées sans vérification suffisante.
  4. L’attaquant accĂšde alors aux dĂ©pĂŽts, dĂ©clenche des builds, ou compromet la chaĂźne CI/CD.

🔐 Pourquoi sĂ©curiser aussi vos environnements de dev ?

Cette attaque met en lumiĂšre un point crucial :

✅ Les vulnĂ©rabilitĂ©s dans vos codes sources ne sont pas les seules vecteurs d’attaques. Vos environnements de dĂ©veloppement eux-mĂȘmes doivent ĂȘtre considĂ©rĂ©s comme des actifs critiques.

🎯 Compromissions possibles :

  • Push de code malveillant dans un repo
  • Ajout d’une backdoor dans le pipeline CI/CD
  • Vol de secrets dans les builds
  • DĂ©ploiement de charges actives vers la production

✅ Ce qu’il faut faire maintenant

MĂȘme si Microsoft a dĂ©jĂ  appliquĂ© un patch, voici les actions recommandĂ©es :

  • đŸ§Ÿ Auditez vos logs (authentification, push Git, builds)
  • đŸ§č VĂ©rifiez les comptes et droits admin
  • 🔐 RĂ©voquez les secrets et jetons inutiles
  • 🔄 ContrĂŽlez l’intĂ©gritĂ© du code source (Git signing, hashes, audit)

🔗 Sources officielles

🧠 En rĂ©sumĂ©

💡 Microsoft a jouĂ© la carte de la transparence avec une divulgation volontaire.
✅ Le correctif est dĂ©jĂ  actif, mais le risque post-compromission demeure.
Assurez-vous qu’aucun acteur malveillant n’a laissĂ© de backdoor dans vos projets ou pipelines.

🔐 La sĂ©curitĂ© DevOps ne se limite pas au code — elle commence dĂšs les environnements de dĂ©veloppement.

Auteur
Lucas Thietart
Blue Team Analyst chez Chanel, passionnĂ© par la cybersĂ©curitĂ© et l’innovation. AnimĂ© par l’envie de partager et d’apprendre avec une communautĂ© de passionnĂ©s, je m’engage Ă  crĂ©er une plateforme d’actualitĂ©s pertinente et collaborative. Mon ambition est de rendre la cybersĂ©curitĂ© accessible pour tous les niveaux d’expertise.
chanel logo