CISA confirme que SolarWinds Serv-U est sous attaque active — les agences fédérales ont jusqu'au 19 juin pour patcher

CISA a ajouté CVE-2026-28318 à son catalogue de vulnérabilités connues exploitées (KEV) le 8 juin 2026, confirmant que des attaquants exploitent activement une faille de déni de service dans SolarWinds Serv-U. Conformément à la Directive Opérationnelle Contraignante 22-01 (BOD 22-01), toutes les agences du pouvoir exécutif civil fédéral (FCEB) doivent appliquer le correctif avant le 19 juin 2026 — une fenêtre de onze jours qui montre à quel point CISA prend cela au sérieux.

SolarWinds a publié un correctif : Serv-U 15.5.4 Hotfix 1. Les organisations qui ne peuvent pas patcher immédiatement disposent de mesures d'atténuation temporaires spécifiques. Il n'y a aucune ambiguïté sur la gravité — l'exploitation est confirmée et l'attaque ne nécessite pas d'authentification, sans besoin d'identifiants ni d'accès préalable.

Qu'est-ce que Serv-U et qui l'utilise

SolarWinds Serv-U est un serveur de transfert de fichiers multi-protocoles pour entreprises prenant en charge FTP, SFTP, FTPS, HTTP et HTTPS. Il est largement déployé dans les agences gouvernementales, les institutions financières, les organisations de santé et les grandes entreprises ayant besoin d'une infrastructure de transfert de fichiers gérée et auditable — exactement les environnements avec des exigences de conformité strictes concernant les mouvements de données. Serv-U concurrence MOVEit Transfer et GoAnywhere MFT, deux produits qui ont été exploités à grande échelle ces dernières années.

La base installée est conséquente. Des milliers d'organisations dans le monde utilisent Serv-U, beaucoup comme un pipeline de données critique : fichiers de paiement entrants, transferts de dossiers médicaux, soumissions réglementaires. Une instance Serv-U hors service n'est pas un simple désagrément ; elle interrompt des workflows dont dépendent d'autres systèmes.

La vulnérabilité : comment fonctionne l'attaque

CVE-2026-28318 est classée comme CWE-400 : Consommation incontrôlée de ressources. Le défaut réside dans la manière dont Serv-U gère les requêtes HTTP POST incluant un en-tête Content-Encoding: deflate.

L'en-tête Content-Encoding: deflate indique au serveur web que le corps de la requête a été compressé avec l'algorithme deflate, et que le serveur doit le décompresser avant traitement. Un client légitime utilise cela pour réduire la bande passante lors de l'envoi de charges utiles volumineuses. Dans le cas de Serv-U, un défaut dans la gestion de la décompression signifie qu'une requête malveillante — où l'entrée compressée est conçue pour se dilater à une taille disproportionnée lors de la décompression — amène le service Serv-U à consommer toute la mémoire ou le CPU disponible jusqu'à ce qu'il plante. Ce type d'attaque est parfois appelé "bombe zip" ou bombe de décompression, adaptée à HTTP.

Le détail crucial est qu'aucune authentification n'est requise. Un attaquant sur Internet public peut envoyer une seule requête POST malformée à une instance Serv-U et faire tomber le service. Pas besoin d'avoir un compte valide, de deviner des identifiants ou d'exploiter d'abord une deuxième vulnérabilité. La surface d'attaque est chaque instance Serv-U accessible sur le réseau.

Que faire maintenant

Patchez immédiatement. Mettez à jour vers Serv-U 15.5.4 Hotfix 1. SolarWinds a publié la mise à jour via son canal de mise à jour logicielle standard. C'est le seul correctif complet.

Si le patching ne peut pas avoir lieu immédiatement en raison de fenêtres de gestion des changements ou de contraintes opérationnelles, appliquez ces deux mesures d'atténuation temporaires en parallèle :

• Liste blanche d'IP : Restreignez l'accès à l'interface HTTP/HTTPS de Serv-U aux adresses IP ou plages IP connues et de confiance. Cela ne corrige pas la vulnérabilité mais supprime la surface d'attaque distante non authentifiée pour les adresses hors de la liste blanche.
• Bloquer les requêtes POST contenant l'en-tête content-encoding : Si un proxy inverse, un pare-feu applicatif web ou un équipement réseau se trouve devant Serv-U, configurez une règle pour supprimer ou rejeter les requêtes HTTP POST incluant un en-tête Content-Encoding avant qu'elles n'atteignent le service Serv-U. La plupart des plateformes WAF pour entreprises prennent en charge cela comme une simple règle de correspondance d'en-tête.

Ces deux mesures sont des solutions de contournement, pas des correctifs. Elles réduisent l'exploitabilité pendant que le correctif est testé et déployé, mais n'éliminent pas la vulnérabilité sous-jacente. Traitez-les comme des mesures temporaires de quelques heures à quelques jours, pas comme des solutions de semaines.

BOD 22-01 : ce que cela signifie au-delà des agences fédérales

La Directive Opérationnelle Contraignante 22-01, émise par CISA en novembre 2021, exige que toutes les agences FCEB corrigent les vulnérabilités listées dans le catalogue KEV dans des délais définis — généralement 14 jours pour les failles activement exploitées, bien que CISA puisse fixer des fenêtres plus courtes pour les cas critiques. La directive n'a pas d'autorité légale sur les organisations du secteur privé.

En pratique, BOD 22-01 est devenu une référence de facto pour le patching dans les entreprises et les contractants gouvernementaux. De nombreuses organisations qui ne sont pas des agences FCEB ont adopté les délais de correction KEV comme leur norme interne — en partie parce que c'est une politique clairement définie et défendable, et en partie parce que les sélections KEV de CISA ont un solide historique de prédiction des vulnérabilités qui seront utilisées dans les campagnes de ransomware et d'intrusion. Les contractants gouvernementaux traitant des données fédérales sous les cadres FedRAMP, DFARS ou CMMC ont souvent des obligations contractuelles exigeant de patcher rapidement les vulnérabilités exploitées, faisant de l'inscription au KEV par CISA un déclencheur de conformité même sans mandat direct de BOD 22-01.

Le conseil pratique : si votre organisation utilise Serv-U, traitez cela comme urgent, que vous soyez ou non une agence fédérale. La fenêtre de correctif que CISA a donnée aux agences fédérales — onze jours — est un objectif interne raisonnable pour tout environnement de production.

Le modèle : les logiciels de transfert de fichiers comme cible de grande valeur

CVE-2026-28318 continue une tendance que la communauté de la sécurité suit depuis 2023. Les logiciels de transfert de fichiers gérés se trouvent dans une position structurellement attractive pour les attaquants : ils manipulent des données sensibles, sont souvent orientés Internet par conception, fonctionnent avec des privilèges de compte de service pouvant être utilisés pour un mouvement latéral, et sont utilisés par des organisations dans les secteurs précis — santé, finance, gouvernement — qui ont à la fois des données de grande valeur et des processus de patching complexes.

MOVEit Transfer (CVE-2023-34362) a été exploité par le groupe de ransomware Cl0p en mai 2023, compromettant des centaines d'organisations dans le monde et exposant les données de dizaines de millions de personnes. GoAnywhere MFT (CVE-2023-0669) a été exploité par le même groupe quelques mois plus tôt dans une campagne d'exploitation de masse similaire. Les deux étaient des failles zero-day au moment de l'exploitation. CVE-2026-28318 dans Serv-U suit le même schéma de surface d'attaque : orienté Internet, critique pour l'entreprise, chemin d'attaque non authentifié.

La différence avec cette vulnérabilité est qu'un correctif existe et que l'attaque provoque actuellement un déni de service plutôt qu'une exfiltration de données — ce qui signifie que le dommage immédiat est une perturbation opérationnelle plutôt qu'une brèche. Cela ne signifie pas que le profil de risque est faible ; un serveur de transfert de fichiers hors service dans un environnement réglementé peut déclencher des incidents de conformité, interrompre des workflows sensibles au temps et créer des conditions que d'autres vecteurs d'attaque exploitent. Le correctif est disponible. La fenêtre est courte. Il n'y a aucune raison d'attendre.