L'agence américaine de cybersécurité CISA a de nouveau déclenché les alarmes cette semaine en incluant trois graves défaillances dans son catalogue de Vulnérabilités exploitées connues (KEV), un dossier qui recueille des vulnérabilités avec des preuves d'exploitation active. Ce ne sont pas de simples recommandations : lorsque la CISA entre dans la KEV, elle a généralement des obligations immédiates pour les organismes fédéraux et, dans la pratique, elle fixe des priorités pour les équipes de sécurité du monde entier. L'alerte officielle est disponible sur le site de la CISA ( voir communication).
Les trois échecs ajoutés sont de nature différente, mais ils partagent quelque chose de troublant : ils permettent tous à un attaquant de sauter les barrières normales et d'atteindre les ressources ou d'exécuter le code avec un impact considérable. La première, enregistrée comme CVE-2021-22054(CVSS 7.5) est une vulnérabilité SSRF dans Omnissa Workspace One EMU - la plate-forme qui était auparavant VMware Workspace One EMU. En termes simples, un SSRF (Server- Side Request Forgery) permet à un attaquant d'inciter le serveur à faire des requêtes vers des destinations qui ne seraient normalement pas accessibles de l'extérieur, avec la possibilité d'accéder à des données sensibles ou des ressources internes. La recherche technique, telle que celle publiée par Note d'actif, décrire comment cet échec peut être exploité sans authentification et comment il s'intègre dans des campagnes plus larges.
La deuxième vulnérabilité, CVE-2025-26399(CVSS 9.8), affecte la composante AjaxProxy de SolarWinds Web Help Desk. Il s'agit d'une désérialisation de données peu fiables, un type d'échec qui permet souvent à un attaquant d'envoyer des données manipulées qui, lorsqu'elles sont désérialisées sur le serveur, provoquent l'exécution de commandes. CISA souligne que ce vecteur a été utilisé pour obtenir un accès initial aux environnements cibles, une activité qui, selon les rapports recueillis par l'agence, est liée aux opérations du groupe Ransomware connu sous le nom de Warlock.
La troisième entrée est CVE-2026-1603(CVSS 8.6), une vulnérabilité dans Ivanti Endpoint Manager qui permet d'éviter l'authentification par des itinéraires ou canaux alternatifs et potentiellement pour extraire les identifiants stockés. On n'a pas publié de détails publics sur les techniques d'exploitation de masse pour cette vulnérabilité. bulletin de sécurité sur EPM qui, selon les informations disponibles, ne reflète pas encore pleinement son état de fonctionnement.
La décision d'inclure ces défauts dans la KEV n'est pas purement descriptive: elle s'accompagne de délais d'action spécifiques. La CISA a exigé des organismes fédéraux de l'exécutif civil qu'ils corrigent l'échec de SolarWinds Web Help Desk avant le 12 mars 2026 et qu'ils appliquent les autres mesures correctives - la SSRF dans Workspace One et l'échec Ivanti - avant le 23 mars 2026. Ces dates soulignent l'urgence : lorsqu'une vulnérabilité est exploitée dans la nature, la fenêtre d'exposition peut se fermer très rapidement pour ceux qui se garent et s'ouvrent dangereusement pour ceux qui ne le font pas.
Pourquoi est-ce important à l'extérieur du périmètre fédéral ? Parce que bon nombre des technologies touchées sont présentes dans les entreprises et les fournisseurs, et que les schémas d'attaque observés sont souvent reproduits dans le secteur privé. La combinaison de SSRF non authentifiés, de défaillances de dépérissement et de contournement d'authentification crée une chaîne de risques qui peut conduire de la filtration de secrets internes à l'exécution à distance et à l'implantation subséquente de l'ansomware. CISA résume cela en soulignant que ces types de vulnérabilités sont des vecteurs communs pour les acteurs malveillants et représentent un réel danger pour la « société fédérale », mais la logique s'applique également à toute organisation ayant une exposition similaire.
D'un point de vue pratique, la réponse immédiate consiste à appliquer des correctifs officiels et à suivre les recommandations du fournisseur. Pour Workspace One UEM, il existe une documentation technique et des avis de sécurité publiés par le fabricant et par des chercheurs qui ont démontré des techniques d'exploitation. Dans le cas de SolarWinds Web Help Desk, étant donné le CVSS élevé et la confirmation d'un fonctionnement actif, une action rapide est particulièrement critique. Et pour Ivanti, en plus de surveiller le bulletin officiel, il est approprié de limiter l'accès au service à partir de réseaux peu fiables et de vérifier l'utilisation des identifiants stockés.
Au-delà du patching, les organisations doivent renforcer les contrôles compensatoires : segmentation du réseau afin de limiter la capacité d'un service engagé à pivoter vers d'autres actifs, dossiers et télémétries qui permettent de détecter des comportements inhabituels liés à la SSRF ou à l'exécution à distance, et plans d'intervention qui priorisent les actifs exposés. L'expérience accumulée montre que, dans de nombreuses intrusions initiales, l'attaquant profite d'un seul défaut public d'installer des portes arrière ou de se déplacer latéralement; interrompre ce flux réduit les dommages potentiels.
Si vous voulez consulter les sources principales sur ces entrées et l'évaluation de la CISA, vous pouvez vérifier la propre alerte de l'agence à votre site, le catalogue KEV cette page et les puces CVE pertinentes: CVE-2021-22054, CVE-2025-26399 et CVE-2026-1603. Pour approfondir la recherche technique sur les SSRF dans l'espace de travail Note d'actif est une lecture recommandée, et les notes du fournisseur sur les correctifs et les mesures d'atténuation sont disponibles sur leurs canaux respectifs.
La conclusion pour tout agent de sécurité est simple et inconfortable: lorsqu'une vulnérabilité apparaît dans le KEV, ce n'est pas une question théorique. Il faut hiérarchiser les correctifs, examiner les accès exposés et se préparer à la détection. La menace se déplace rapidement et, s'il n'y a pas de réponse à la même vitesse, l'impact peut être grave.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...