SolarWinds a publié une mise à jour pour son logiciel Serv-U qui corrige quatre vulnérabilités critiques de l'exécution de code à distance (ERC) qui, sur les serveurs non-patchés, pourrait finir par donner un contrôle d'attaquant avec des privilèges maximum. Services U est la solution de transfert de fichiers que de nombreuses organisations maintiennent dans leurs propres installations sur Windows et Linux, et qui offre des services MFT, FTP, FTPS, SFTP et HTTP / S pour déplacer des informations sensibles entre les systèmes.
La correction la plus pertinente figure dans la version 15.5.4 et mesure une défaillance grave identifiée comme CVE-2025-40538. Selon la note officielle de SolarWinds, ce défaut permet aux utilisateurs ayant des privilèges élevés de créer des comptes administratifs système et d'exécuter du code avec les permissions racine ou administrateur, ce qui facilite la prise en charge complète de la machine affectée. Vous pouvez voir les détails et les instructions de mise à jour sur la page de note de la version SolarWinds: documentation officielle de SolarWinds.
En plus de CVE-2025-40538, la mise à jour corrige deux erreurs de confusion de type et une vulnérabilité de type IDOR (Insecure Direct Object Reference) qui peut également entraîner l'exécution de code avec des privilèges root si elles sont exploitées avec succès. L'important d'un point de vue opérationnel est que, pour l'instant, toutes ces vulnérabilités exigent que l'attaquant ait déjà accès à des privilèges élevés sur le serveur cible, ce qui limite - mais n'élimine pas - le risque : il est possible pour un adversaire de chaîner ces défaillances avec d'autres vulnérabilités ou d'utiliser des pouvoirs administratifs déjà engagés pour atteindre ce point.
La zone exposée sur Internet n'est pas petite : les recherches publiques atteignent des chiffres qui varient grandement selon la méthode de numérisation. Par exemple, Shodan montre plus de 12 000 instances Serv-U accessibles depuis le réseau public, tandis que le compte Shadowserver, qui applique des critères différents, place ce nombre en dessous de 1 200. Cet écart n'indique pas qu'une source est fausse, mais reflète des différences dans la façon et le moment d'identifier et de cataloguer les services exposés. Vous pouvez vérifier les paramètres dans Shodan et le panneau Shadowserver : Shodan - Serv-U et Ombreserveur - statistiques.
Le fait que le logiciel de transfert de fichiers est un objectif attrayant n'est pas une surprise: ce type d'outils concentre les documents d'entreprise et les données client, et un serveur compromis facilite l'exfiltration de masse ou le déploiement de chiffrements Ransomware. Historiquement, les acteurs criminels et les groupes parrainés par l'État ont exploité les vulnérabilités du Service-U. Un exemple notable est le CVE-2021-35211, qui a été utilisé par des bandes et des groupes de ransomware liés à des opérations d'exfiltration et de surveillance. Les agences et les équipes d'intervention suivent ces vecteurs d'attaque de très près.
Dans la carte globale des menaces, les vulnérabilités des produits SolarWinds ont eu des répercussions répétées, c'est pourquoi des entités telles que l'Agence américaine d'infrastructure et de cybersécurité. Les États-Unis (CISA) maintiennent une surveillance constante. Actuellement, CISA liste plusieurs vulnérabilités SolarWinds qui ont été activement exploitées: vous pouvez consulter votre catalogue de vulnérabilités connues exploitées dans des environnements réels ici: CISA - Vulnérabilités exploitées connues.
Si vous administrez des serveurs Serv-U, la première action devrait être de mettre à jour dès que possible la version qui corrige ces défaillances. Outre l'application du correctif, il convient de réduire l'exposition des services : éviter de publier des serveurs de transfert de fichiers directement sur Internet, restreindre l'accès IP, forcer l'authentification multifactorielle dans la mesure du possible et faire pivoter les pouvoirs administratifs. La segmentation des réseaux et la surveillance spécifique des profils inhabituels dans les journaux aident à détecter les tentatives d'abus avant qu'un problème mineur ne devienne une lacune majeure.
Il est important de se rappeler que l'hygiène de sécurité de base demeure l'obstacle le plus efficace : appliquer le principe d'un privilège moindre, examiner les comptes avec des permis élevés et vérifier l'accès et les changements de configuration. S'il est possible que des justificatifs d'identité volés aient été utilisés, un processus de confinement et de vérification médico-légals doit être mené, y compris la vérification de l'intégrité des binaires critiques, l'examen des tâches programmées et la détection des portes arrière.
Enfin, le maintien d'une politique de stationnement régulière et la mise à jour contrôlée réduisent le temps d'exposition à ce type de défaillance. Les organisations qui dépendent de Serv-U devraient inclure ces corrections dans leur cycle de gestion de la vulnérabilité et, si nécessaire, chercher des contrôles compensatoires (comme les règles de pare-feu qui bloquent les modes d'exploitation connus) jusqu'à ce que toutes les instances soient mises à jour.
La combinaison d'un patch publié par le fabricant, du suivi de sources fiables et d'une intervention proactive dans les opérations de sécurité est la formule la plus efficace pour atténuer les risques liés à des défaillances critiques telles que celles de Serv-U. Pour des informations officielles sur la mise à jour et les étapes recommandées, voir la note SolarWinds et le contraste avec les données de détection d'exposition Shodan ou Shadowserver.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...