L’agence américaine pour la cybersécurité, la CISA, a émis une alerte. Des pirates informatiques exploitent activement une faille de sécurité critique dans le logiciel SolarWinds Serv-U, qui a pourtant été corrigée récemment. Ils utilisent cette vulnérabilité pour provoquer le plantage des serveurs.
SolarWinds Serv-U est un logiciel de transfert de fichiers pour Windows et Linux. Il permet aux entreprises d’échanger des fichiers de manière sécurisée via plusieurs protocoles comme HTTP, HTTPS ou FTP.
Le constructeur a publié un correctif d’urgence, Serv-U 15.5.4 Hotfix 1, pour colmater cette brèche. La faille est répertoriée sous l’identifiant CVE-2026-28318. Elle est de type « déni de service » et résulte d’une consommation non contrôlée des ressources du système.
« Le logiciel SolarWinds Serv-U est sensible à des requêtes POST spécialement conçues, déclare l’entreprise. Ces requêtes font planter le service Serv-U sans qu’une authentification soit nécessaire, en utilisant l’en-tête Content-Encoding: deflate. »
Un attaquant distant peut tirer parti de cette vulnérabilité sans avoir de privilèges particuliers. L’attaque est simple et ne requiert aucune interaction de la part d’un utilisateur.
SolarWinds recommande aux administrateurs qui ne peuvent pas appliquer le correctif immédiatement de limiter l’accès du serveur à des adresses connues. Ils doivent aussi bloquer toute requête POST qui contient l’en-tête « content-encoding », car le service Serv-U vulnérable n’a pas besoin de cette fonctionnalité.
La plateforme de renseignement Shodan recense plus de 12 000 serveurs Serv-U exposés sur Internet. L’organisme de surveillance Shadowserver en compte un peu plus de 3 100. On ignore combien d’entre eux ont déjà été corrigés.
Quelques jours après la publication du correctif par SolarWinds, la CISA a confirmé que la faille était exploitée activement. L’agence l’a ajoutée à son catalogue des vulnérabilités exploitées connues. Elle a ordonné à toutes les agences fédérales civiles du pouvoir exécutif de sécuriser leurs serveurs avant le 19 juin, comme l’exige la directive opérationnelle contraignante BOD 22-01.
Si cette directive ne concerne que les agences gouvernementales américaines, la CISA exhorte aussi tous les défenseurs de réseaux, y compris dans le secteur privé, à se protéger contre les attaques en cours qui ciblent CVE-2026-28318.
« Ce type de vulnérabilité est un vecteur d’attaque fréquent pour les acteurs malveillants et il représente des risques importants pour l’administration fédérale, avertit la CISA. Appliquez les mesures d’atténuation selon les instructions du fournisseur, suivez les orientations applicables de la BOD 22-01 pour les services cloud, ou cessez d’utiliser le produit si aucune mesure d’atténuation n’est disponible. »
Ces dernières années, plusieurs groupes de cybercriminels et de pirates soutenus par des États ont ciblé des failles dans Serv-U pour dérober des données sensibles d’entreprises et de clients.
Par exemple, le groupe de rançongiciels Clop a exploité une vulnérabilité d’exécution de code à distance dans Serv-U, référencée CVE-2021-35211, pour pénétrer des réseaux d’entreprises lors d’une campagne en 2021. Des pirates chinois identifiés sous le nom DEV-0322 ont également utilisé des exploits pour cette même faille dans des attaques zero-day à partir de juillet 2021.
Plus récemment, en juin 2024, les sociétés de cybersécurité GreyNoise et Rapid7 ont signalé qu’une autre faille de Serv-U, CVE-2024-28995, était activement exploitée.
Au cours des dernières années, la CISA a classé 11 vulnérabilités dans divers produits SolarWinds comme étant activement exploitées lors d’attaques. L’une d’entre elles a aussi été utilisée par des gangs de rançongiciels.