L'Agence américaine de **cybersécurité et de sécurité des infrastructures (CISA)** a averti aujourd'hui que des acteurs malveillants exploitent activement une faille critique, récemment corrigée, dans le logiciel de transfert de fichiers **SolarWinds Serv-U**. ### La faille DoS critique de Serv-U La vulnérabilité, identifiée comme **CVE-2026-28318**, est une faille de déni de service (DoS) de haute gravité résultant d'une faiblesse de consommation de ressources incontrôlée. **SolarWinds** a publié le **Serv-U 15.5.4 Hotfix 1** jeudi pour corriger ce problème. Selon **SolarWinds**, la faille rend **Serv-U** susceptible à des requêtes POST spécialement conçues qui peuvent faire planter le service sans nécessiter d'authentification. Ces attaques exploitent les en-têtes `Content-Encoding: deflate`. Les attaquants distants peuvent exploiter cette faille de sécurité avec une faible complexité, ne nécessitant aucun privilège ni interaction utilisateur. **Serv-U** est la solution de transfert de fichiers de **SolarWinds** pour Windows et Linux, offrant des capacités de serveur Managed File Transfer (MFT) et FTP pour l'échange sécurisé de fichiers via HTTP/HTTPS, FTP, FTPS et SFTP. ### Exploitation active et directive de la CISA Quelques jours après la publication du correctif par **SolarWinds**, la **CISA** a signalé que **CVE-2026-28318** était activement exploitée dans la nature. L'agence l'a rapidement ajoutée à son **catalogue des vulnérabilités connues et exploitées**, obligeant toutes les agences du pouvoir exécutif civil fédéral à patcher leurs serveurs avant le 19 juin, conformément à la **Binding Operational Directive (BOD) 22-01**. Bien que la **BOD 22-01** cible spécifiquement les entités gouvernementales américaines, la **CISA** a vivement encouragé tous les défenseurs de réseaux, y compris ceux du secteur privé, à sécuriser leurs réseaux contre les attaques en cours exploitant **CVE-2026-28318** sans délai. « Ce type de vulnérabilité est un vecteur d'attaque fréquent pour les acteurs cyber malveillants et présente des risques importants pour l'entreprise fédérale », a déclaré la **CISA**. « Appliquez les mesures d'atténuation conformément aux instructions du fournisseur, suivez les directives applicables de la **BOD 22-01** pour les services cloud, ou cessez d'utiliser le produit si les mesures d'atténuation ne sont pas disponibles. » ### Stratégies d'atténuation Pour les administrateurs ne pouvant pas déployer immédiatement le correctif, **SolarWinds** conseille de limiter l'accès à **Serv-U** aux adresses IP connues et de confiance. De plus, le blocage de toute requête POST contenant `content-encoding` peut servir de mesure d'atténuation temporaire, car le service **Serv-U** vulnérable ne nécessite pas cette fonctionnalité. Les plateformes d'intelligence Internet indiquent une surface d'attaque significative : **Shodan** suit plus de 12 000 serveurs **Serv-U** exposés en ligne, tandis que **Shadowserver** en identifie un peu plus de 3 100. Le nombre de ces serveurs qui ont déjà été patchés reste inconnu. .jpg) *Serveurs Serv-U exposés en ligne (Shodan)* ### Un historique de vulnérabilités Serv-U **SolarWinds Serv-U** a été une cible récurrente pour les groupes de cybercriminalité et les pirates soutenus par des États. Ces dernières années, plusieurs vulnérabilités critiques ont été exploitées pour accéder à des données sensibles d'entreprises et de clients. Par exemple, en 2021, le gang de ransomware **Clop** a exploité une vulnérabilité d'exécution de code à distance (RCE) de **Serv-U**, **CVE-2021-35211**, pour pénétrer les réseaux d'entreprise. Simultanément, le groupe de pirates chinois **DEV-0322** a également utilisé des exploits pour **CVE-2021-35211** dans des attaques zero-day. Plus récemment, en juin 2024, les sociétés de cybersécurité **GreyNoise** et **Rapid7** ont observé l'exploitation active d'une autre faille **Serv-U**, une vulnérabilité de traversée de chemin suivie sous la référence **CVE-2024-28995**. ### La surface d'attaque SolarWinds plus large Au cours des dernières années, la **CISA** a catalogué 11 vulnérabilités dans divers produits **SolarWinds** comme étant activement exploitées dans des attaques, dont au moins une a également été utilisée par des gangs de ransomware. Cet historique souligne l'importance capitale pour les organisations utilisant les produits **SolarWinds** de maintenir des calendriers de patching rigoureux et de mettre en œuvre des mesures de sécurité robustes.