Les terminaux de contrôle d'accès Anviz CX2 Lite et CX7 acceptent un upload firmware non authentifié (CVE-2026-35546, CVSS 9.8) menant à une RCE complète, sans patch éditeur.
En bref
- CVE-2026-35546 : upload de firmware non authentifié sur Anviz CX2 Lite et CX7, CVSS 9.8
- Conséquence : exécution de code arbitraire et reverse shell sur les terminaux de contrôle d'accès
- Avis CISA ICSA-26-106-03, l'éditeur n'a pas répondu à la coordination
- Action urgente : isoler les terminaux du réseau public, surveiller les flux d'administration
Les faits
La CISA a publié le 17 avril 2026 l'avis ICSA-26-106-03 dévoilant la CVE-2026-35546, une vulnérabilité critique affectant les terminaux de contrôle d'accès biométrique Anviz CX2 Lite et CX7. Le défaut, noté CVSS 9.8, autorise un attaquant distant non authentifié à téléverser une archive de firmware spécialement conçue, qui s'exécute ensuite avec les privilèges du système embarqué et ouvre une session reverse shell sur l'équipement compromis. Le mécanisme de mise à jour incriminé ne vérifie ni l'identité de l'expéditeur ni la signature cryptographique du firmware accepté. Toute machine en mesure de joindre l'interface réseau d'administration peut donc reprogrammer entièrement le terminal et y implanter un firmware malveillant persistant. Selon la notice CISA, Anviz n'a pas répondu aux multiples sollicitations de coordination, ce qui signifie qu'aucun correctif officiel n'est annoncé à la date de publication. Aucun proof-of-concept public n'a été divulgué, mais le scénario d'exploitation reste trivial à reproduire pour un acteur compétent.
Les Anviz CX2 Lite et CX7 sont déployés sur des installations sensibles : sites industriels, datacenters, sièges sociaux, infrastructures critiques. Leur fonction première est de gérer le contrôle d'accès physique par badge ou biométrie, parfois adossé à une intégration SSO ou Active Directory. Une compromission du terminal permet à l'attaquant d'enregistrer de nouveaux badges autorisés, de désactiver des accès, et surtout de transformer le terminal en point d'entrée réseau dans le système d'information de la cible — y compris les segments OT lorsque le contrôle d'accès partage l'infrastructure de communication.
Impact et exposition
Le risque combine compromission cybernétique et impact physique direct. Sur le plan numérique, la prise de contrôle d'un terminal Anviz fournit un point d'appui persistant à l'intérieur du périmètre, échappant aux outils de détection EDR habituels qui ne couvrent pas les équipements embarqués propriétaires. Sur le plan physique, l'attaquant peut manipuler les listes d'accréditation, déverrouiller des portes à distance, falsifier les journaux d'horodatage des entrées et sorties, ou simplement créer un déni de service en bloquant l'accès aux locaux. L'absence de réponse coordonnée d'Anviz aggrave significativement le risque résiduel : aucun calendrier de patch n'est communiqué, et les organisations dépendantes de ces équipements doivent gérer la menace par segmentation réseau et compensation organisationnelle. Les déploiements les plus exposés sont ceux où les terminaux Anviz disposent d'une connectivité WAN directe pour la télémaintenance, configuration documentée par certains intégrateurs comme une option de simplicité opérationnelle. Le panorama IoT et OT confirme une fois de plus la fragilité structurelle des chaînes de mise à jour firmware sans signature, déjà à l'origine de campagnes attribuées à des groupes étatiques en 2024 et 2025.
Recommandations immédiates
- Isoler immédiatement les terminaux Anviz CX2 Lite et CX7 sur un VLAN dédié sans accès Internet — avis CISA ICSA-26-106-03
- Bloquer toute connexion entrante vers les ports d'administration depuis les réseaux utilisateurs et invités
- Mettre en place un filtrage par adresse MAC et par adresse IP source au niveau du commutateur d'accès
- Capturer et conserver les flux réseau autour des terminaux pour analyse forensique en cas de compromission
- Vérifier régulièrement l'intégrité du firmware en comparant le hash exposé par l'interface d'administration à la valeur officielle du constructeur
- Évaluer le remplacement à moyen terme par un équipement dont le constructeur applique un cycle de patch documenté
⚠️ Urgence
L'absence de patch éditeur et de réponse d'Anviz à la CISA placent la responsabilité de la mitigation entièrement sur les opérateurs. Les organisations exposant ces terminaux à des réseaux non maîtrisés doivent considérer la compromission comme probable et engager immédiatement une revue de configuration ainsi qu'une analyse des journaux d'accès physiques pour détecter d'éventuels enregistrements de badges illégitimes.
Comment savoir si je suis vulnérable ?
Identifiez tous les terminaux Anviz CX2 Lite et CX7 dans votre parc via le scan réseau ou l'inventaire CMDB. Connectez-vous à l'interface d'administration et notez la version de firmware affichée. À ce jour, aucune version corrigée n'est publiée par l'éditeur : tous les firmwares actuels sont concernés. Vérifiez ensuite l'exposition en testant l'accessibilité du port d'administration depuis le réseau bureautique avec nmap -p 80,443,8080 <ip-terminal>.
Que faire en attendant un patch officiel ?
La segmentation réseau stricte est la seule défense efficace. Placez les terminaux dans un VLAN d'administration accessible uniquement depuis des postes d'administration durcis. Désactivez toute connectivité Internet sortante. Si un terminal a été exposé publiquement par le passé, considérez qu'il est probablement compromis et procédez à une réinitialisation complète depuis un firmware téléchargé sur le canal officiel du constructeur, suivi d'un audit comportemental sur 30 jours.
Pour aller plus loin
Les vulnérabilités sur les équipements OT et IoT exigent une approche dédiée. Voir notre dossier sur la surface d'attaque MCP rarement auditée, l'analyse de la RCE root sur Juniper PTX, et la couverture de onze vulnérabilités Fortinet récentes. Pour cadrer une démarche structurée, consulter notre guide sur la gestion des zero-days en 2026.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2026-34197 : RCE Apache ActiveMQ Jolokia ajoutée au KEV
Apache ActiveMQ Classic est concernée par la CVE-2026-34197, une RCE via l'API Jolokia (CVSS 8.8) ajoutée au KEV CISA après exploitation active confirmée.
CVE-2026-40477 : SSTI critique Thymeleaf vers RCE Java
Thymeleaf 3.1.3 et antérieures souffrent d'un bypass de sandbox d'expressions (CVE-2026-40477, CVSS 9.0) menant à une SSTI puis à l'exécution de code Java arbitraire.
CVE-2026-20180 : RCE critique Cisco ISE (CVSS 9.9)
Cisco corrige CVE-2026-20180 (CVSS 9.9), une RCE authentifiée dans Identity Services Engine permettant l'accès root sur la plateforme NAC.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire