Une vulnérabilité critique de type zero-day dans la bibliothèque Java Netty, identifiée sous le nom de CVE-2025-59419, a été découverte, permettant aux attaquants d’injecter des commandes SMTP arbitraires dans les transmissions d’e-mails. Cette faille leur permet de contourner des défenses essentielles telles que SPF, DKIM et DMARC, conçues pour garantir l’authenticité et l’intégrité des e-mails.
Netty, un cadre d’application réseau haute performance utilisé par de grandes entreprises comme Apple, Meta et Google, présentait une faille de logique commerciale dans son codec SMTP. Cette faille concernait une mauvaise désinfection des données fournies par l’utilisateur lors de la construction des commandes d’e-mail, en particulier la commande RCPT TO. En manipulant le champ du destinataire, les attaquants peuvent ajouter des commandes SMTP supplémentaires, trompant ainsi les serveurs de messagerie pour qu’ils les traitent comme légitimes.
Cette vulnérabilité compromet les principes fondamentaux de la sécurité des e-mails. Les attaquants peuvent l’exploiter pour envoyer des e-mails à partir de domaines de confiance, exécuter des stratagèmes de compromission de courrier électronique professionnel (BEC) ou mener des campagnes de spear-phishing qui semblent authentiques. La faille permet aux commandes malveillantes de passer les vérifications SPF et de rester valides sous DKIM, rendant les politiques DMARC inefficaces.
La vulnérabilité a été rapidement détectée et corrigée par des agents de sécurité pilotés par l’IA de Depthfirst. Ces agents ont automatiquement signalé le problème, généré un correctif pour prévenir l’injection et collaboré avec les mainteneurs de Netty pour mettre en œuvre une solution. Cet incident souligne le rôle croissant de l’IA dans l’amélioration de la sécurité logicielle en surveillant continuellement les bases de code et en identifiant des vulnérabilités subtiles avant qu’elles ne puissent être exploitées. À mesure que les dépendances logicielles augmentent, une telle vigilance automatisée devient cruciale pour protéger les systèmes logiciels modernes.
