En bref

  • La CISA a ajouté CVE-2026-28318 à son catalogue Known Exploited Vulnerabilities le 5 juin 2026, confirmant une exploitation active de la faille dans SolarWinds Serv-U.
  • La vulnérabilité, classée CWE-400 (consommation non contrôlée de ressources), permet à un attaquant non authentifié de crasher le service Serv-U via une requête POST malveillante utilisant l'en-tête Content-Encoding: deflate.
  • Les agences fédérales américaines doivent appliquer le patch (Serv-U 15.5.4 Hotfix 1) avant le 19 juin 2026 — toutes les organisations utilisant Serv-U sont fortement encouragées à faire de même sans délai.

SolarWinds de nouveau sous pression : Serv-U activement exploité

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté CVE-2026-28318 à son catalogue Known Exploited Vulnerabilities (KEV) le 5 juin 2026, citant des preuves d'exploitation active dans la nature. Cette faille affecte SolarWinds Serv-U, le logiciel de transfert de fichiers multi-protocoles largement déployé dans les entreprises et les administrations. La publication dans le catalogue KEV déclenche automatiquement l'obligation de remédiation sous BOD 22-01 (Binding Operational Directive) pour toutes les agences civiles fédérales américaines (FCEB), avec une date limite fixée au 19 juin 2026.

La vulnérabilité CVE-2026-28318 est classifiée comme une faiblesse de type CWE-400 (Uncontrolled Resource Consumption). Le mécanisme d'attaque est techniquement élégant dans sa simplicité : un attaquant non authentifié envoie une requête POST malveillante au service Serv-U en utilisant l'en-tête HTTP Content-Encoding: deflate. Cet en-tête indique au serveur que le corps de la requête est compressé au format deflate. La faille réside dans le fait que Serv-U tente de décompresser ce contenu sans imposer de limite sur les ressources consommées, provoquant une consommation excessive de CPU et de mémoire jusqu'au crash du service. Selon Help Net Security, l'attaque ne nécessite aucune authentification préalable, rendant n'importe quelle instance Serv-U exposée sur le réseau vulnérable.

L'impact immédiat de l'exploitation est un déni de service (DoS) : le service Serv-U devient indisponible, interrompant tous les transferts de fichiers en cours et bloquant l'accès aux utilisateurs légitimes. Dans les organisations qui utilisent Serv-U comme solution principale de transfert de fichiers sécurisé — notamment pour les échanges avec des partenaires, la transmission de données financières, ou le partage de fichiers sensibles — cette interruption peut avoir des conséquences opérationnelles significatives. D'après SecurityWeek, la CISA ne dispose pas encore d'information confirmant l'exploitation de cette faille spécifiquement dans le cadre de campagnes de ransomware, mais l'ajout au catalogue KEV témoigne d'une exploitation opportuniste active.

SolarWinds a publié un correctif pour cette vulnérabilité sous la forme d'un hotfix : Serv-U version 15.5.4 Hotfix 1. Toutes les versions antérieures de Serv-U sont considérées comme vulnérables. La mise à jour est disponible via le portail de téléchargement officiel SolarWinds. Cybersecurity News souligne que l'application du hotfix est une opération relativement peu invasive : il ne s'agit pas d'une mise à jour majeure de version mais d'un correctif ciblé qui peut être déployé avec une interruption minimale du service.

Le contexte historique de SolarWinds rend cette nouvelle particulièrement sensible. La société texane est restée sous surveillance intense de la communauté de la sécurité depuis la découverte en décembre 2020 de la campagne d'attaque sophistiquée attribuée à APT29 (Cozy Bear, lié au renseignement russe SVR), qui avait compromis la chaîne de distribution du logiciel Orion et infecté des milliers d'organisations mondiales, dont plusieurs agences gouvernementales américaines. Depuis cet incident — considéré comme l'une des opérations d'espionnage les plus significatives de l'histoire de la cybersécurité —, chaque nouvelle vulnérabilité dans les produits SolarWinds fait l'objet d'une attention particulière et d'une réponse accélérée de la part des équipes de sécurité.

La CISA, en publiant cet avertissement, s'adresse non seulement aux agences fédérales mais explicitement à l'ensemble des organisations utilisant Serv-U. D'après Cyberpress et SecurityWeek, l'agence américaine « urge fortement » toutes les organisations, publiques et privées, à traiter cette vulnérabilité avec une haute priorité même si elles ne sont pas soumises à la directive BOD 22-01. Dans les environnements où Serv-U est exposé directement sur Internet — ce qui est fréquent pour un outil de transfert de fichiers destiné aux échanges avec l'extérieur — le risque d'exploitation est maximal.

Il est important de noter que CVE-2026-28318 est une faille de déni de service, pas d'exécution de code à distance. La compromission de la confidentialité des données via cette seule vulnérabilité n'est pas directement possible. Cependant, dans une chaîne d'attaque sophistiquée, un DoS peut servir d'outil de disruption pour masquer d'autres activités malveillantes, forcer un basculement vers des systèmes de secours moins bien sécurisés, ou générer la confusion nécessaire à d'autres étapes d'une attaque coordonnée. Les organisations qui ont déployé Serv-U en haute disponibilité doivent également vérifier que les mécanismes de failover ne peuvent pas être exploités dans ce scénario.

Pour les organisations qui ne peuvent pas appliquer le patch immédiatement, des mesures d'atténuation temporaires méritent d'être envisagées. La restriction de l'accès au service Serv-U via des règles de pare-feu ou des listes d'autorisation IP, la mise en place d'une inspection des requêtes HTTP au niveau d'un WAF (Web Application Firewall), et la surveillance renforcée des logs de service pour détecter des patterns de requêtes POST anormaux constituent les premières lignes de défense. Cybernews recommande également d'activer des alertes sur les redémarrages inattendus du service Serv-U, qui pourraient indiquer des tentatives d'exploitation en cours.

SolarWinds, un acteur sous surveillance permanente, et la fragilité des outils MFT

Cette nouvelle vulnérabilité dans SolarWinds Serv-U s'inscrit dans un contexte plus large de fragilité des solutions de transfert de fichiers managés (MFT — Managed File Transfer). Ces logiciels, souvent déployés à la frontière du réseau pour faciliter les échanges avec des partenaires extérieurs, cumulent deux facteurs de risque majeurs : une exposition réseau directe et un traitement de données particulièrement sensibles (données financières, données personnelles, documents contractuels). Les outils MFT sont devenus une cible de prédilection pour les groupes de ransomware, comme l'ont démontré les exploitations massives de MOVEit en 2023, GoAnywhere en 2023, et Cleo en 2024-2025.

La maturité de la posture de sécurité de SolarWinds face à ces enjeux est un sujet de débat continu. Depuis la compromission de la supply chain en 2020, l'entreprise a considérablement renforcé son programme de sécurité, notamment via son programme Secure by Design et des revues de code plus systématiques. Mais la découverte régulière de nouvelles vulnérabilités dans ses produits illustre la difficulté de sécuriser des logiciels complexes exposés à Internet. La transparence dans la communication des correctifs et la rapidité de la réponse — SolarWinds a publié un hotfix avant l'ajout au catalogue KEV de la CISA — témoignent d'une amélioration réelle des pratiques.

Pour les équipes de sécurité, l'ajout de CVE-2026-28318 au catalogue KEV doit déclencher une vérification systématique de l'inventaire des solutions Serv-U dans leur environnement. Dans les grandes organisations, Serv-U peut être déployé par des équipes métiers sans que la DSI ou le RSSI en ait une visibilité complète — un problème classique de shadow IT dans les outils de transfert de fichiers. La cartographie des expositions Serv-U, incluant les instances potentiellement oubliées ou héritées, est une première étape indispensable avant toute réponse de patch.

Du point de vue réglementaire, les organisations européennes soumises au RGPD, à NIS2 ou à DORA doivent prendre en compte que Serv-U est fréquemment utilisé pour le transfert de données à caractère personnel ou de données financières sensibles. Un incident d'indisponibilité ou, dans une hypothèse plus grave, une compromission liée à un enchaînement de vulnérabilités incluant CVE-2026-28318, pourrait déclencher des obligations de notification à la CNIL ou aux régulateurs sectoriels. La documentation des mesures prises face à cette vulnérabilité, incluant la date d'application du patch, constitue une bonne pratique de conformité dans ce contexte.

Ce qu'il faut retenir

  • Appliquer immédiatement SolarWinds Serv-U 15.5.4 Hotfix 1 — délai obligatoire au 19 juin pour les agences fédérales américaines, recommandé sans délai pour toutes les organisations.
  • CVE-2026-28318 est une faille DoS sans authentification : n'importe quelle instance Serv-U exposée sur le réseau est à risque, indépendamment des privilèges des utilisateurs.
  • Profiter de cette mise à jour pour auditer l'inventaire des instances Serv-U dans l'organisation, y compris les déploiements shadow IT, et vérifier l'exposition réseau de chaque instance.

CVE-2026-28318 permet-elle un accès aux données stockées dans Serv-U ?

Non, pas directement. CVE-2026-28318 est une faille de déni de service qui provoque le crash du service, pas une vulnérabilité d'exécution de code ou d'accès non autorisé aux données. En revanche, dans une chaîne d'attaque combinant plusieurs failles, un DoS peut servir à désorganiser la défense ou forcer un basculement vers des systèmes moins sécurisés. Le patch reste indispensable même en l'absence d'exposition de données directe.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact