# Vulnérabilité critique de contrôle d'accès découverte dans les passerelles de messagerie OpenCode Systems ## Résumé Une vulnérabilité de sécurité significative a été découverte dans la passerelle OC Messaging et USSD d'**OpenCode Systems**. L'exploitation réussie de cette vulnérabilité pourrait permettre à un utilisateur authentifié à faible privilège d'accéder à des messages SMS en dehors de son périmètre de locataire autorisé via un paramètre d'identifiant d'entreprise ou de locataire spécialement conçu. La vulnérabilité est suivie sous le nom **CVE-2025-70614**. Les versions suivantes de la passerelle OC Messaging et USSD d'OpenCode Systems sont affectées : * OC Messaging 6.32.2 (**CVE-2025-70614**) * USSD Gateway 6.32.2 (**CVE-2025-70614**) ## Détails de la vulnérabilité | CVSS | Vendeur | Équipement | Vulnérabilités | | :----- | :---------------- | :--------------------------------------------- | :--------------------- | | v3 8.1 | OpenCode Systems | OpenCode Systems OC Messaging and USSD Gateway | Improper Access Control | ### Contexte * **Secteurs d'infrastructure critique :** Communications * **Pays/Régions de déploiement :** Monde entier * **Siège social de l'entreprise :** Bulgarie --- ## Vulnérabilités ### CVE-2025-70614 La passerelle de messagerie personnalisée 6.32.2 d'**OpenCode Systems** contient une vulnérabilité d'accès web permettant à un utilisateur authentifié d'accéder aux messages d'un autre utilisateur authentifié via un paramètre d'identifiant spécialement conçu. [Voir les détails CVE](https://www.cve.org/CVERecord?id=CVE-2025-70614) --- #### Produits affectés ##### OpenCode Systems OC Messaging and USSD Gateway **Vendeur :** OpenCode Systems **Version du produit :** OpenCode Systems OC Messaging : 6.32.2, OpenCode Systems USSD Gateway : 6.32.2 **Statut du produit :** known_affected **CWE pertinent :** [CWE-284 Improper Access Control](https://cwe.mitre.org/data/definitions/284.html) --- #### Métriques ## Recommandations d'atténuation La **Cybersecurity and Infrastructure Security Agency (CISA)** recommande aux utilisateurs de prendre des mesures défensives pour minimiser le risque d'exploitation de cette vulnérabilité. Les recommandations clés comprennent : * Minimiser l'exposition réseau de tous les appareils et/ou systèmes de contrôle, en s'assurant qu'ils ne sont pas accessibles depuis Internet. * Placer les réseaux de systèmes de contrôle et les appareils distants derrière des pare-feu et les isoler des réseaux d'entreprise. * Lorsque l'accès à distance est requis, utiliser des méthodes plus sécurisées, telles que les réseaux privés virtuels (**VPN**), en reconnaissant que les VPN peuvent avoir des vulnérabilités et doivent être mis à jour vers la version la plus récente disponible. Reconnaître également que le VPN n'est aussi sécurisé que les appareils connectés. La CISA rappelle aux organisations de procéder à une analyse d'impact et à une évaluation des risques appropriées avant de déployer des mesures défensives. ## Ressources supplémentaires La CISA fournit également une section sur les bonnes pratiques de sécurité des systèmes de contrôle sur la page web ICS de cisa.gov/ics. Plusieurs produits de la CISA détaillant les meilleures pratiques de cyberdéfense sont disponibles en lecture et en téléchargement, notamment "Improving Industrial Control Systems Cybersecurity with Defense-in-Depth Strategies". La CISA encourage les organisations à mettre en œuvre les stratégies de cybersécurité recommandées pour la défense proactive des actifs ICS. Des conseils d'atténuation supplémentaires et des bonnes pratiques sont publiquement disponibles sur la page web ICS à l'adresse cisa.gov/ics dans le document d'information technique, ICS-TIP-12-146-01B--Targeted Cyber Intrusion Detection and Mitigation Strategies. Les organisations observant une activité malveillante suspectée doivent suivre les procédures internes établies et signaler leurs conclusions à la CISA pour suivi et corrélation avec d'autres incidents. La CISA recommande également aux utilisateurs de prendre les mesures suivantes pour se protéger contre les attaques d'ingénierie sociale : * Ne cliquez pas sur les liens web et n'ouvrez pas les pièces jointes dans les messages électroniques non sollicités. * Reportez-vous à "Recognizing and Avoiding Email Scams" pour plus d'informations sur la manière d'éviter les arnaques par e-mail. * Reportez-vous à "Avoiding Social Engineering and Phishing Attacks" pour plus d'informations sur les attaques d'ingénierie sociale. Aucune exploitation publique connue ciblant spécifiquement cette vulnérabilité n'a été signalée à la CISA à l'heure actuelle. --- ## Remerciements Hussein Amer a signalé cette vulnérabilité à la CISA. ## Historique des révisions | Date | Révision | Résumé | | :--------- | :------- | :----------------- | | 2026-03-26 | 1 | Publication initiale | --- [Voir CSAF](https://github.com/cisagov/CSAF/blob/develop/csaf_files/OT/white/2026/icsa-26-085-02.json)