CISA Signale une Vulnérabilité DoS dans SolarWinds Serv-U comme Activement Exploitée — Échéance Fédérale le 19 Juin

CISA a ajouté CVE-2026-28318 à son catalogue de vulnérabilités connues exploitées le 5 juin 2026, confirmant que des attaquants exploitent activement une faille de déni de service dans le logiciel de serveur de fichiers multiprotocole SolarWinds Serv-U. Les agences fédérales de la branche exécutive civile ont jusqu'au 19 juin pour appliquer le correctif. Les organisations du secteur privé utilisant Serv-U doivent considérer cette échéance comme un signal fort pour corriger immédiatement.

Ce que Fait la Vulnérabilité

CVE-2026-28318 est une faille de consommation non contrôlée de ressources avec un score CVSS de 7,5 (gravité élevée). L'attaque est simple : l'envoi d'une requête POST spécialement conçue avec un en-tête Content-Encoding: deflate provoque le plantage du service Serv-U sans aucune authentification requise. Le plantage met fin au service de transfert de fichiers, coupant l'accès aux transferts de fichiers gérés, aux sessions SFTP et aux opérations FTP jusqu'à ce que le service soit redémarré manuellement.

Il s'agit d'une vulnérabilité de déni de service, pas d'une exécution de code à distance. Un attaquant ne peut pas l'utiliser pour voler des fichiers ou se déplacer latéralement dans un réseau via cette seule faille. Mais pour les organisations qui dépendent de Serv-U pour les transferts de fichiers en production — en particulier dans les services financiers, la santé et le gouvernement — la capacité de faire planter le service à plusieurs reprises et sans authentification est un risque opérationnel significatif.

Le Correctif et les Mesures d'Atténuation Immédiates

SolarWinds a corrigé la vulnérabilité dans la version Serv-U 15.5.4 HF1, publiée en début de semaine. Les organisations utilisant des versions antérieures doivent mettre à jour immédiatement. Pour les environnements où un correctif d'urgence n'est pas possible immédiatement, SolarWinds et CISA recommandent deux mesures d'atténuation provisoires : restreindre l'accès au service Serv-U aux seules adresses IP connues, et bloquer toute requête entrante contenant un en-tête Content-Encoding, car la fonctionnalité vulnérable ne l'exige pas.

Pourquoi les Vulnérabilités SolarWinds Reçoivent une Attention Accrue

SolarWinds a un historique de vulnérabilités Serv-U exploitées qui va au-delà de l'attaque de la chaîne d'approvisionnement SUNBURST de 2020, qui est l'incident le plus souvent associé à l'entreprise. En 2021, Microsoft a révélé qu'un acteur de menace lié à la Chine exploitait CVE-2021-35211, une faille d'exécution de code à distance dans Serv-U, pour cibler des entrepreneurs de la défense et d'autres infrastructures critiques. Le groupe de ransomware Cl0p a ensuite exploité différentes failles de Serv-U pour un accès initial en 2022. Ce modèle signifie que les vulnérabilités de Serv-U attirent des acteurs sophistiqués, pas seulement des opérateurs de malware courants.

CISA n'a pas encore révélé qui est derrière l'exploitation active de CVE-2026-28318, combien d'instances Serv-U exposées sur Internet ont été ciblées, ni à quoi ressemble la chaîne d'attaque spécifique au-delà de la technique initiale de plantage. L'absence de ces détails n'est pas rassurante — dans les incidents passés de SolarWinds, l'étendue complète de l'exploitation n'a été divulguée que des semaines après les avis de CISA.

Évaluation de l'Exposition

Les recherches sur Shodan et Censys pour des instances SolarWinds Serv-U exposées sur Internet montrent systématiquement des dizaines de milliers de points d'accès accessibles publiquement. Beaucoup exécutent des versions obsolètes. La nature non authentifiée de cette attaque — aucune information d'identification nécessaire, juste une requête HTTP malformée — signifie que la barrière à l'exploitation est faible, et le balayage automatisé des instances vulnérables commencera immédiatement si ce n'est pas déjà fait. Les organisations doivent vérifier leur version de Serv-U, appliquer 15.5.4 HF1 et examiner les configurations de contrôle d'accès, qu'elles pensent avoir été ciblées ou non.