CVE-2026-35546 : firmware non auth Anviz CX2/CX7 (RCE 9.8)

Les faits

La CISA a publié le 17 avril 2026 l'avis ICSA-26-106-03 dévoilant la CVE-2026-35546, une vulnérabilité critique affectant les terminaux de contrôle d'accès biométrique Anviz CX2 Lite et CX7. Le défaut, noté CVSS 9.8, autorise un attaquant distant non authentifié à téléverser une archive de firmware spécialement conçue, qui s'exécute ensuite avec les privilèges du système embarqué et ouvre une session reverse shell sur l'équipement compromis. Le mécanisme de mise à jour incriminé ne vérifie ni l'identité de l'expéditeur ni la signature cryptographique du firmware accepté. Toute machine en mesure de joindre l'interface réseau d'administration peut donc reprogrammer entièrement le terminal et y implanter un firmware malveillant persistant. Selon la notice CISA, Anviz n'a pas répondu aux multiples sollicitations de coordination, ce qui signifie qu'aucun correctif officiel n'est annoncé à la date de publication. Aucun proof-of-concept public n'a été divulgué, mais le scénario d'exploitation reste trivial à reproduire pour un acteur compétent.

Les Anviz CX2 Lite et CX7 sont déployés sur des installations sensibles : sites industriels, datacenters, sièges sociaux, infrastructures critiques. Leur fonction première est de gérer le contrôle d'accès physique par badge ou biométrie, parfois adossé à une intégration SSO ou Active Directory. Une compromission du terminal permet à l'attaquant d'enregistrer de nouveaux badges autorisés, de désactiver des accès, et surtout de transformer le terminal en point d'entrée réseau dans le système d'information de la cible — y compris les segments OT lorsque le contrôle d'accès partage l'infrastructure de communication.

Impact et exposition

Le risque combine compromission cybernétique et impact physique direct. Sur le plan numérique, la prise de contrôle d'un terminal Anviz fournit un point d'appui persistant à l'intérieur du périmètre, échappant aux outils de détection EDR habituels qui ne couvrent pas les équipements embarqués propriétaires. Sur le plan physique, l'attaquant peut manipuler les listes d'accréditation, déverrouiller des portes à distance, falsifier les journaux d'horodatage des entrées et sorties, ou simplement créer un déni de service en bloquant l'accès aux locaux. L'absence de réponse coordonnée d'Anviz aggrave significativement le risque résiduel : aucun calendrier de patch n'est communiqué, et les organisations dépendantes de ces équipements doivent gérer la menace par segmentation réseau et compensation organisationnelle. Les déploiements les plus exposés sont ceux où les terminaux Anviz disposent d'une connectivité WAN directe pour la télémaintenance, configuration documentée par certains intégrateurs comme une option de simplicité opérationnelle. Le panorama IoT et OT confirme une fois de plus la fragilité structurelle des chaînes de mise à jour firmware sans signature, déjà à l'origine de campagnes attribuées à des groupes étatiques en 2024 et 2025.

Recommandations immédiates

• Isoler immédiatement les terminaux Anviz CX2 Lite et CX7 sur un VLAN dédié sans accès Internet — avis CISA ICSA-26-106-03
• Bloquer toute connexion entrante vers les ports d'administration depuis les réseaux utilisateurs et invités
• Mettre en place un filtrage par adresse MAC et par adresse IP source au niveau du commutateur d'accès
• Capturer et conserver les flux réseau autour des terminaux pour analyse forensique en cas de compromission
• Vérifier régulièrement l'intégrité du firmware en comparant le hash exposé par l'interface d'administration à la valeur officielle du constructeur
• Évaluer le remplacement à moyen terme par un équipement dont le constructeur applique un cycle de patch documenté

Les vulnérabilités sur les équipements OT et IoT exigent une approche dédiée. Voir notre dossier sur la surface d'attaque MCP rarement auditée, l'analyse de la RCE root sur Juniper PTX, et la couverture de onze vulnérabilités Fortinet récentes. Pour cadrer une démarche structurée, consulter notre guide sur la gestion des zero-days en 2026.

Analyse technique : le mécanisme d'upload non authentifié et ses conséquences

CVE-2026-35546 expose un mécanisme d'upload de firmware sans authentification dans les terminaux Anviz CX2 Lite et CX7. Sur ces équipements, le processus de mise à jour du firmware est accessible depuis l'interface d'administration réseau sans vérification d'identité : toute machine pouvant joindre l'interface d'administration peut téléverser une archive firmware arbitraire. L'absence de vérification cryptographique de la signature du firmware aggrave considérablement la vulnérabilité : non seulement l'authentification est absente, mais le terminal n'effectue aucune validation que le firmware téléversé provient d'Anviz et n'a pas été modifié. Un attaquant peut donc fabriquer un firmware personnalisé intégrant un payload malveillant — typiquement un shell inversé ou un agent de contrôle à distance — et le déployer sur n'importe quel terminal Anviz accessible depuis le réseau.

Après un upload de firmware malveillant réussi, l'attaquant dispose d'un accès root au système embarqué Linux du terminal. De cet accès, il peut modifier les listes d'accréditations de badges, créer de nouveaux badges autorisés non répertoriés dans le système de contrôle d'accès, désactiver des accès existants pour perturber les opérations, et utiliser le terminal comme pivot réseau pour accéder aux autres systèmes du réseau interne. Selon la topologie réseau de l'installation, ce pivot peut donner accès à des segments OT, à l'Active Directory de l'entreprise, ou à d'autres équipements de contrôle d'accès partageant la même infrastructure réseau.

Cartographie des installations impactées : sites industriels, datacenters et infrastructures critiques

Les terminaux Anviz CX2 Lite et CX7 sont déployés dans des contextes variés mais convergent sur un point commun : ce sont des équipements de contrôle d'accès physique sur des sites nécessitant un niveau de sécurité significatif. On les trouve dans des datacenters pour contrôler l'accès aux salles serveurs, dans des usines et sites industriels pour gérer l'accès aux zones de production, dans des sièges sociaux d'entreprises pour les badges employés, et dans certaines infrastructures critiques pour les contrôles d'accès aux salles techniques. Dans tous ces contextes, un terminal compromis ne représente pas seulement un risque de sécurité informatique mais un risque de sécurité physique direct : l'attaquant peut potentiellement accorder des accès non autorisés à des zones physiques sensibles.

L'intégration fréquente des systèmes de contrôle d'accès Anviz avec des annuaires Active Directory via des protocoles LDAP ou des SSO amplifie encore le risque cyber. Un terminal Anviz compromis disposant d'une connexion à l'Active Directory peut être utilisé pour réaliser des tentatives d'authentification depuis un point d'accès réseau privilégié, potentiellement hors du périmètre habituel de surveillance des équipes SOC qui ne monitorent pas les équipements de contrôle d'accès physique dans leurs solutions de détection. Cette lacune dans la couverture de monitoring est typique des zones grises entre sécurité physique et sécurité informatique.

Absence de correctif Anviz : implications pour la gestion du risque résiduel

L'absence de réponse d'Anviz aux multiples sollicitations de coordination de la CISA représente un défi spécifique dans la gestion de cette vulnérabilité. Contrairement aux CVE qui font l'objet d'un correctif officiel permettant de clore définitivement le risque, CVE-2026-35546 laisse les organisations avec un risque résiduel qui ne peut être éliminé par la mise à jour logicielle. Dans ce contexte, les mesures de mitigation compensatoires deviennent le seul levier disponible, et leur documentation rigoureuse est essentielle pour démontrer la diligence de l'organisation face aux auditeurs et régulateurs.

Les organisations soumises à des réglementations de sécurité strictes — NIS 2, ISO 27001, ou des cadres sectoriels spécifiques comme le Standard de Protection des Infrastructures Critiques — doivent documenter les mesures compensatoires mises en place en l'absence de correctif officiel, avec une évaluation du risque résiduel et un plan de remplacement des équipements si ce risque est jugé inacceptable. Le registre des risques doit être mis à jour pour intégrer CVE-2026-35546 sur les équipements Anviz identifiés, avec une date cible de résolution (soit par correctif officiel si Anviz répond, soit par remplacement des terminaux) et un responsable désigné pour le suivi.

Mesures de mitigation compensatoires : isolation réseau et surveillance renforcée

En l'absence de correctif officiel, l'isolation réseau des terminaux Anviz constitue la mesure de mitigation la plus efficace. La mise en place d'un VLAN dédié aux équipements de contrôle d'accès, avec des règles de pare-feu qui limitent l'accès à l'interface d'administration du firmware aux seules adresses IP des stations de gestion autorisées, empêche l'exploitation depuis le réseau général de l'entreprise. Cette segmentation réseau, si elle n'était pas déjà en place, est une bonne pratique générale pour tous les équipements OT et IoT qui devrait être implémentée indépendamment de CVE-2026-35546.

La surveillance active des flux réseau vers et depuis les terminaux Anviz permet de détecter des comportements anormaux caractéristiques d'une exploitation ou d'une tentative d'exploitation : tentatives de connexion HTTP ou HTTPS inhabituelles depuis des sources inconnues vers l'interface d'administration, volumes de trafic entrant inhabituels sur les ports d'administration (typiquement 80 ou 443), ou connexions sortantes vers des adresses IP inconnues initiées depuis les terminaux. Ces signatures de détection peuvent être configurées dans les solutions de monitoring réseau ou les SIEM pour générer des alertes en temps réel sans nécessiter d'agent sur les terminaux Anviz.

Détection forensique : indicateurs de compromission sur les terminaux Anviz

La détection d'une compromission d'un terminal Anviz CX2 Lite ou CX7 via CVE-2026-35546 peut être réalisée via plusieurs approches forensiques. La première est la vérification de l'intégrité du firmware : en comparant le hash cryptographique du firmware actuellement installé avec les hashes officiels publiés par Anviz sur son site de support, il est possible de détecter un remplacement non autorisé du firmware. Cette vérification peut être automatisée via un script qui interroge périodiquement l'API de management du terminal pour récupérer les informations de version et les compare avec une baseline approuvée.

La deuxième approche est l'analyse des journaux d'accès du terminal : les terminaux Anviz conservent généralement des logs des événements d'accès (badges acceptés, badges refusés) et des événements d'administration (connexions à l'interface web, modifications de configuration). Un examen de ces logs à la recherche d'accès administratifs non planifiés ou de connexions depuis des adresses IP non reconnues dans la fenêtre temporelle des 30 jours précédents peut révéler une exploitation passée. L'exportation et l'archivage régulier de ces logs vers un SIEM centralisé est recommandée pour conserver la capacité d'investigation forensique.

Impact sur la convergence IT/OT : une menace pour les infrastructures hybrides

CVE-2026-35546 illustre un risque structurel croissant dans les architectures hybrides IT/OT : la convergence des réseaux informatiques et des réseaux opérationnels crée des chemins d'attaque qui n'existaient pas dans les architectures séparées traditionnelles. Les terminaux de contrôle d'accès physique, historiquement isolés sur des réseaux dédiés, sont progressivement intégrés dans des infrastructures partagées avec les réseaux informatiques d'entreprise pour simplifier la gestion et réduire les coûts d'infrastructure. Cette convergence a des bénéfices opérationnels réels mais crée des surfaces d'attaque hybrides que les outils de sécurité traditionnels — conçus pour des environnements soit purement IT soit purement OT — ne couvrent pas de manière satisfaisante.

Les frameworks de sécurité adaptés à ces environnements hybrides, comme IEC 62443 pour les systèmes de contrôle industriel ou le NIST Cybersecurity Framework décliné pour les infrastructures OT, fournissent des recommandations spécifiques pour la gestion des équipements embarqués comme les terminaux de contrôle d'accès. L'application de ces frameworks — qui incluent notamment des exigences de segmentation réseau, d'authentification forte pour les accès d'administration et de gestion des actifs OT — aurait considérablement réduit l'exploitabilité de CVE-2026-35546 dans des installations correctement sécurisées, en isolant les terminaux Anviz des réseaux depuis lesquels une exploitation est possible.

Responsabilité des fabricants IoT : le cas Anviz face aux attentes réglementaires

L'absence de réponse d'Anviz aux sollicitations de la CISA met en lumière un problème systémique dans l'écosystème des fabricants d'équipements IoT et de contrôle d'accès : de nombreux fabricants, notamment ceux dont les produits sont conçus et fabriqués en dehors de l'Union Européenne, n'ont pas encore mis en place les processus de réponse aux vulnérabilités de sécurité que les réglementations européennes et américaines commencent à imposer. Le Cyber Resilience Act (CRA) européen, entré en vigueur en décembre 2024, impose désormais aux fabricants de produits avec éléments numériques vendus dans l'UE d'avoir des processus de gestion des vulnérabilités, de publier des correctifs en temps opportun et de notifier les vulnérabilités exploitées activement aux autorités compétentes.

Le non-respect de ces obligations du CRA peut conduire à l'interdiction de mise sur le marché européen des produits concernés. Les acheteurs d'équipements de contrôle d'accès et d'IoT industriel doivent désormais intégrer les pratiques de cybersécurité du fabricant — processus de réponse aux vulnérabilités, historique des CVE, fréquence des mises à jour de sécurité — dans leurs critères d'appels d'offres. Le comportement d'Anviz face à CVE-2026-35546 constitue un signal d'alerte pour les organisations qui utilisent ou envisagent d'utiliser ces équipements, justifiant une réévaluation du risque fournisseur dans le cadre de leur processus de gestion de la supply chain technologique.

Questions fréquentes sur CVE-2026-35546

Anviz a-t-il publié un correctif depuis la divulgation de la CISA ? Selon les informations disponibles à la date de publication de l'avis CISA ICSA-26-106-03, Anviz n'avait pas répondu aux sollicitations de coordination et aucun correctif officiel n'était annoncé. Il est recommandé de vérifier régulièrement le site de support Anviz et le portail CISA ICS-CERT pour suivre l'évolution de la situation, car Anviz pourrait publier un correctif avec un délai après la divulgation publique de la vulnérabilité.

Quels sont les ports réseau utilisés par l'interface d'administration vulnerable ? L'interface d'administration des terminaux Anviz CX2 Lite et CX7 est généralement accessible sur les ports standard HTTP (80) et HTTPS (443) de l'équipement. La vérification que ces ports sont inaccessibles depuis les réseaux non autorisés via les règles de pare-feu et de VLAN est la première mesure de mitigation à implémenter. Des outils de scanning réseau comme Nmap peuvent être utilisés pour vérifier l'exposition de ces terminaux depuis différents segments réseau et s'assurer que la segmentation mise en place est effective.

Planification du remplacement des équipements Anviz : critères de sélection des alternatives

Pour les organisations qui évaluent le remplacement des terminaux Anviz compromis ou vulnérables, la sélection d'alternatives sécurisées doit intégrer des critères de cybersécurité rigoureux en plus des critères fonctionnels habituels. Les fabricants d'équipements de contrôle d'accès physique qui respectent les standards de sécurité modernes publient un politique de divulgation des vulnérabilités (Vulnerability Disclosure Policy), maintiennent un historique de correctifs de sécurité accessibles au public, et s'engagent contractuellement sur des délais de publication de correctifs pour les vulnérabilités critiques. L'appartenance au programme CVD (Coordinated Vulnerability Disclosure) de l'ICS-CERT ou des certifications de sécurité comme la certification CSPN de l'ANSSI pour les équipements utilisés dans des contextes sensibles sont des indicateurs positifs à rechercher.

Les équipements qui implémentent l'authentification mutuelle TLS pour les communications d'administration, la vérification cryptographique des signatures de firmware avant installation, et le chiffrement des communications entre les terminaux et les serveurs de gestion offrent structurellement une meilleure résistance aux classes de vulnérabilités illustrées par CVE-2026-35546. La disponibilité d'une API de gestion documentée permettant l'intégration dans les systèmes de monitoring SIEM et la récupération des logs d'audit via des protocoles standards (Syslog, SNMP, ou API REST) est également un critère de sécurité opérationnelle important pour maintenir la visibilité sur les événements d'accès.

Coordination avec les équipes de sécurité physique : un impératif dans les incidents OT

La réponse à CVE-2026-35546 illustre la nécessité d'une coordination formalisée entre les équipes de cybersécurité et les équipes de sécurité physique dans les organisations. Un incident impliquant des terminaux de contrôle d'accès physique a des implications qui débordent largement le périmètre de la sécurité informatique : la manipulation des listes d'accréditation peut créer des risques pour la sécurité des personnes et des installations, et la désactivation non autorisée des accès peut perturber les opérations de manière grave dans des contextes industriels ou médicaux. La mise en place d'une procédure d'escalade commune entre les équipes SOC, les équipes de sécurité physique et les équipes opérationnelles garantit que les incidents impliquant des équipements hybrides IT/OT sont traités avec la coordination inter-équipes nécessaire.

Cette coordination doit être exercée régulièrement via des simulations d'incidents combinant des composantes cyber et physiques. Un scénario de tabletop exercise incluant la compromission d'un terminal de contrôle d'accès, la manipulation des listes d'accréditation et la détection de l'incident par les équipes de sécurité physique permet d'identifier les lacunes dans les procédures de réponse et de former les équipes concernées avant qu'un incident réel ne se produise. Ces exercices contribuent également à légitimer les investissements en cybersécurité pour les équipes de direction qui peuvent avoir du mal à percevoir la connexion entre un terminal de badge et un risque de cybersécurité significatif. Les organisations concernées sont encouragées à intégrer les critères de sécurité des fabricants IoT dans leurs processus d'achat et à maintenir un inventaire actualisé de tous leurs équipements de contrôle d'accès physique avec leur version de firmware et leur statut de patch, dans le cadre d'une gouvernance de la supply chain technologique cohérente avec les exigences NIS 2 et le Cyber Resilience Act.