En bref

  • CISA a ajouté le 25 avril 2026 quatre vulnérabilités au catalogue KEV, exploitées activement.
  • SimpleHelp (CVE-2024-57726, CVSS 9.9), Samsung MagicINFO 9 Server (CVE-2024-7399, CVSS 8.8), D-Link DIR-823X (CVE-2025-29635, CVSS 7.5) et CVE-2024-57728 (CVSS 7.2) sont visées.
  • Les agences fédérales américaines ont jusqu'au 8 mai 2026 pour patcher.

Ce qui s'est passé

Le 25 avril 2026, l'agence américaine de cybersécurité CISA a ajouté quatre vulnérabilités à son catalogue Known Exploited Vulnerabilities, citant des preuves d'exploitation active dans la nature. La principale est CVE-2024-57726 (CVSS 9.9), une faille de défaut d'autorisation dans la solution SimpleHelp RMM qui permet à un technicien à faibles privilèges de créer des clés API à droits excessifs et d'escalader jusqu'au rôle d'administrateur du serveur. S'y ajoutent CVE-2024-57728 (CVSS 7.2), un path traversal SimpleHelp permettant l'upload de fichiers arbitraires via une archive zip piégée, CVE-2024-7399 (CVSS 8.8), un autre path traversal sur Samsung MagicINFO 9 Server, et CVE-2025-29635 (CVSS 7.5), une injection de commande affectant les routeurs D-Link DIR-823X en fin de vie. Selon les rapports de Field Effect et Sophos relayés par The Hacker News, les failles SimpleHelp ont été exploitées comme porte d'entrée pour des opérations ransomware DragonForce, avec exfiltration et double extorsion sur plusieurs clients MSP nord-américains depuis le début de l'année.

Les trois vulnérabilités SimpleHelp sont corrigées dans la version 5.5.8 et ultérieures, publiée par l'éditeur en début d'année 2025. Pour les D-Link DIR-823X, le matériel n'étant plus supporté, CISA recommande purement et simplement le remplacement. La deadline fédérale fixée au 8 mai 2026 ne s'applique stricto sensu qu'aux agences gouvernementales américaines, mais le KEV sert de référence opérationnelle pour les RSSI partout dans le monde.

Pourquoi c'est important

Les solutions RMM comme SimpleHelp sont des cibles privilégiées : compromettre une console RMM revient à compromettre tous les postes qu'elle supervise, parfois plusieurs centaines pour un seul MSP. Les opérateurs ransomware l'ont compris, et la chaîne d'attaque DragonForce documentée ces derniers mois confirme une industrialisation de ce vecteur. Pour les MSP français qui utilisent SimpleHelp, l'urgence est double : appliquer la 5.5.8 sans délai, et auditer les clés API existantes pour repérer celles qui auraient été créées par un compte technicien standard avec des permissions élargies.

Les administrations soumises à la directive NIS2 doivent par ailleurs intégrer ces CVE à leur registre de vulnérabilités exploitées et notifier les autorités le cas échéant. La présence simultanée de quatre CVE actives sur des produits aussi disparates (RMM, signage numérique, routeur SOHO) illustre le constat de l'ANSSI sur l'élargissement de la surface d'attaque exploitée par les groupes affiliés ransomware.

Ce qu'il faut retenir

  • Quatre CVE ajoutées au KEV CISA le 25 avril 2026, toutes exploitées en conditions réelles.
  • SimpleHelp 5.5.7 et antérieurs sont la priorité absolue : passer en 5.5.8 immédiatement.
  • D-Link DIR-823X étant en fin de vie, seul le remplacement protège contre CVE-2025-29635.

Comment savoir si ma console SimpleHelp a déjà été compromise ?

Auditez la table des clés API et identifiez celles créées par un compte non-administrateur avec un scope dépassant les besoins documentés du technicien. Croisez les logs d'authentification et les uploads de fichiers zip inhabituels avec les indicateurs de compromission DragonForce publiés par Sophos.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact