En bref

  • Le 20 avril 2026, la CISA a ajouté 8 vulnérabilités exploitées au catalogue KEV, dont CVE-2025-32975 sur Quest KACE SMA noté CVSS 10.0.
  • Produits affectés : Quest KACE SMA, PaperCut NG, JetBrains TeamCity, Kentico Xperience, Zimbra Collaboration Suite, Cisco Catalyst SD-WAN Manager (CVE-2026-20133).
  • Échéance fédérale de remédiation fixée au 4 mai 2026 pour les agences FCEB — échéance applicable aussi aux OIV et OSE françaises par ricochet.

Les faits

La Cybersecurity and Infrastructure Security Agency a publié le 20 avril 2026 une alerte ajoutant 8 CVE à son catalogue des vulnérabilités exploitées connues, sur la base d'activités malveillantes observées en conditions réelles. Parmi les plus critiques, CVE-2025-32975 affectant Quest KACE Systems Management Appliance est notée 10.0 au CVSS : une authentification incorrecte permet à un attaquant d'usurper l'identité d'un utilisateur légitime sans aucune identification. Arctic Wolf avait rapporté dès mars 2026 une activité malveillante dans des environnements clients susceptible d'être liée à son exploitation.

Le lot inclut également CVE-2026-20133 sur Cisco Catalyst SD-WAN Manager (Help Net Security, 21 avril 2026), une 4e faille SD-WAN confirmée exploitée après le lot de 3 failles du début avril. PaperCut NG voit son bypass d'authentification (CVSS 8.2) classé exploité, tout comme des failles sur JetBrains TeamCity, Kentico Xperience et Zimbra Collaboration Suite. La CISA fixe au 4 mai 2026 la date butoir de correction pour les agences fédérales américaines, mais cette échéance sert de référence de facto pour les opérateurs sensibles européens.

Impact et exposition

Quest KACE SMA est massivement déployé dans les ETI et grands comptes pour la gestion de parc. Une compromission KACE donne à un attaquant les clés du patching, du scripting distant et de l'inventaire logiciel de l'ensemble du SI : c'est littéralement le scénario du cygne noir côté administration système. Cisco SD-WAN Manager, quant à lui, contrôle le plan de gestion d'infrastructures réseau multi-sites, donc des dizaines à des milliers de routeurs d'agences. Les produits Kentico et Zimbra exposent souvent des interfaces publiques, ce qui accélère considérablement la cinétique d'exploitation.

Recommandations

  • Patcher Quest KACE SMA en priorité absolue — CVSS 10.0 avec exploitation confirmée dans la nature.
  • Déployer les correctifs Cisco Catalyst SD-WAN Manager (CVE-2026-20133) et vérifier la version actuelle via l'interface web d'administration.
  • Mettre à jour PaperCut NG (bypass auth), JetBrains TeamCity, Kentico Xperience et Zimbra Collaboration Suite avant le 4 mai 2026.
  • Auditer les logs d'authentification des 30 derniers jours sur les produits exposés pour rechercher des connexions administrateur anormales.
  • Filtrer l'accès Internet aux consoles d'administration : aucune n'a vocation à être publique.

Alerte critique

CVE-2025-32975 (Quest KACE) est notée 10.0 au CVSS avec exploitation observée depuis mars 2026. Si votre appliance KACE est exposée et non patchée, considérez le parc qu'elle gère comme compromis. Priorisez le patching et la rotation des credentials d'administration de domaine.

Comment identifier rapidement l'exposition interne à ces 8 CVE ?

Commencez par croiser votre CMDB avec la liste des produits concernés : Quest KACE, PaperCut, JetBrains TeamCity, Kentico, Zimbra, Cisco Catalyst SD-WAN Manager. Pour chaque instance, relevez la version exacte et comparez au bulletin vendor correspondant. Un scan Nessus ou Qualys avec les plugins CISA KEV activés identifiera les versions vulnérables. Attention, certains produits comme JetBrains TeamCity sont souvent déployés sur des environnements DevOps peu supervisés par le SOC principal.

Le délai du 4 mai 2026 concerne-t-il les entreprises privées françaises ?

Techniquement non, l'échéance ne s'applique qu'aux agences fédérales américaines (FCEB). En pratique, elle définit la cinétique attendue par les assureurs cyber, par l'ANSSI dans le cadre de NIS2 et par les clients exigeants. Ne pas traiter une faille KEV dans les 14 jours est de plus en plus considéré comme une négligence professionnelle en cas d'incident avec exfiltration. Alignez-vous sur le calendrier KEV pour les systèmes critiques.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit