L’agence américaine de sécurité des infrastructures et de la cybersécurité, le CISA, publie une alerte sur l’exploitation active de failles de sécurité présentes dans le noyau Linux et le système d’exploitation Android.
La plus récente faille ajoutée au catalogue des vulnérabilités exploitées connues, le KEV, porte le numéro CVE-2025-48595. Il s’agit d’un dépassement d’entier dans le Framework Android, classé comme une faille de gravité élevée, qui peut être utilisée pour obtenir des privilèges supérieurs.
Selon le dernier bulletin de sécurité de Google, cette vulnérabilité touche les versions d’Android 14 à 16. Les attaquants peuvent l’exploiter sans aucune interaction de l’utilisateur.
Google a signalé que la faille CVE-2025-48595 fait l’objet d’exploitations ciblées et limitées, sans donner plus de détails sur ces incidents ou sur les aspects techniques de la vulnérabilité.
Le correctif a été diffusé avec les mises à jour de sécurité de juin 2026.
La seconde vulnérabilité ajoutée au catalogue KEV est référencée sous le numéro CVE-2022-0492. Cette faille de type élévation de privilèges, également de gravité élevée, touche de nombreuses branches du noyau Linux, depuis la version 2.6 jusqu’à la 4.20, et de la 5.5 à la 5.17.
Le problème se situe dans la fonction `cgroup_release_agent_write()` du sous-système cgroups v1. À cause de vérifications d’authentification insuffisantes, un attaquant local peut contourner l’isolation des espaces de noms, élever ses privilèges et éventuellement sortir d’un conteneur pour obtenir un accès au niveau racine sur le système hôte.
Des rapports passés d’Aqua Security et de Palo Alto Networks indiquent que cette faille touche principalement les environnements conteneurisés qui utilisent cgroups v1. Le risque est particulièrement élevé lorsque les conteneurs disposent de capacités privilégiées.
Les versions du noyau Linux qui corrigent cette faille sont les suivantes :
- 4.9.301+
- 4.14.266+
- 4.19.229+
- 5.4.177+
- 5.10.97+
- 5.15.20+
- 5.16.6+
- 5.17-rc3+
En ajoutant ces deux failles au KEV, le CISA oblige toutes les agences fédérales soumises à la directive BOD 22-01 à appliquer les correctifs des éditeurs ou à cesser d’utiliser les logiciels concernés. L’agence a fixé une date limite au 5 juin pour cette action.
Le catalogue KEV sert aussi d’avis pour les infrastructures critiques et les grandes organisations en général, qui doivent prendre des mesures de sécurité contre ces failles avec la même urgence.
Aucune de ces deux failles n’est marquée comme étant exploitée par des groupes de rançongiciels. Le CISA utilise ce marqueur spécifique dans son catalogue KEV pour signaler un niveau de gravité supplémentaire et une urgence de correction accrue.