Accueil Actualités Détails
Les États-Unis exigent la correction de la vulnérabilité SolarWinds Serv-U avant le 19 juin
2026-06-15 14:59
Favoris

fr.wedoany.com Rapport : L’Agence de cybersécurité et de sécurité des infrastructures des États-Unis (CISA) a confirmé que des attaquants exploitent une vulnérabilité (CVE-2026-28318) pouvant entraîner le crash du serveur de transfert de fichiers SolarWinds Serv-U. L’agence a ordonné aux agences civiles fédérales américaines de corriger cette vulnérabilité avant le 19 juin 2026, en installant un correctif ou en mettant en œuvre des mesures d’atténuation.

Vulnérabilité Serv-U CVE-2026-28318

CVE-2026-28318 est une vulnérabilité de consommation de ressources non contrôlée, pouvant être déclenchée par un attaquant distant non authentifié. Ce défaut réside dans la manière dont le service Serv-U traite les requêtes HTTP POST contenant l’en-tête Content-Encoding: deflate. En envoyant des requêtes spécialement conçues, un attaquant peut forcer Serv-U à consommer des ressources excessives, provoquant un crash du service et entraînant un état de déni de service. Cette vulnérabilité a été divulguée par SolarWinds le 3 juin, après la publication du correctif Serv-U 15.5.4 Hotfix 1. SolarWinds indique que les clients ayant déjà téléchargé et installé Serv-U 15.5.4 doivent également télécharger et installer Serv-U 15.5.4 Hotfix 1. Alternativement, les utilisateurs peuvent utiliser un pare-feu d’application web pour limiter l’accès au serveur aux seules adresses connues et bloquer les requêtes POST contenant content-encoding, car cette fonctionnalité n’est pas nécessaire au service.

Une vulnérabilité d’exécution de code à distance (CVE-2021-35211) affectant le logiciel SolarWinds Serv-U avait auparavant été exploitée comme une vulnérabilité zero-day par des attaquants présumés chinois pour des activités d’espionnage, puis par le gang de ransomware Cl0p. En 2022, une vulnérabilité de validation d’entrée (CVE-2021-35247) a été exploitée dans le cadre d’attaques liées à Log4j. Il y a deux ans, CVE-2024-28995 a également été exploitée par des attaquants. La CISA n’a pas encore fourni de détails sur l’exploitation de CVE-2026-28318 dans la nature, et rien n’indique actuellement que cette vulnérabilité soit exploitée par des gangs de ransomware.

SolarWinds Serv-U est une solution auto-hébergée permettant aux organisations de transférer des fichiers en toute sécurité via le réseau. Elle est souvent utilisée par des organisations dans des secteurs réglementés tels que la santé, la finance et le gouvernement, qui nécessitent une souveraineté des données et des pistes d’audit. Bien que les attaquants préfèrent exploiter des vulnérabilités permettant de compromettre complètement un déploiement Serv-U, les vulnérabilités de déni de service peuvent être utilisées pour perturber les opérations d’une organisation ou détourner l’attention des défenseurs d’autres activités furtives.

Texte compilé par Wedoany. Toute citation par IA doit mentionner la source « Wedoany ». En cas de contrefaçon ou d'autre problème, veuillez nous en informer rapidement ; nous modifierons ou supprimerons le contenu le cas échéant. Courriel : news@wedoany.com

États-Unis
Information et communicationIngénierie de la confidentialité des informations et de la sécurité des données
Préc:INX International Ink Co. des États-Unis collabore avec Albert Invent pour accélérer la découverte de formulations par IA
Suiv:Le ransomware Qilin exploite une vulnérabilité zero-day de Check Point VPN pour attaquer plusieurs organisations
Produits Associés
Demander un devis
Stockage intelligent
Jiangsu Zhongtian Technology Co., Ltd.
Demander un devis
Surveillance intelligente
Shenzhen Invt Electric Co., Ltd.
Demander un devis /unit
Tablette PC industrielle robuste 10 pouces Win10 Win11 Pro Intel N100 16+512 Go IP67 4G avec code-barres NFC RJ45 et station d'accueil
Highton Electronics Co., Ltd.
Demander un devis
Véhicule sans conducteur à caisse X3 Xinshiqi
Neolix Beijing Technology Co., Ltd.
Demander un devis
Lidar à aérosols portable LGJ-01
Anhui Landun Photoelectron Co., Ltd.
Demander un devis
Système de supervision intelligente en boucle fermée pour la sécurité du transport routier
Beijing Bower Logistics Co., Ltd.
Demander un devis
Fibre optique monomode à dispersion non décalée à bande passante étendue G.652.D
HONGAN GROUP CO. LTD
Demander un devis
Système de surveillance intelligente pour bande transporteuse
LUO YANG WIRE ROPE INSPECTION TECHNOLOGY CO., LTD.
Demander un devis
Commutateur industriel entièrement national
Shenzhen Yuhang Communication Technology Co., Ltd.
Demander un devis
Projet d’installation mécanique et électrique pour l’industrialisation de matériaux semiconducteurs composés haut de gamme et de puces
Wuhan Huakang Century Clean Technology Co., Ltd.
Demander un devis
Plateforme de services d'IA
YUNDING TECHNOLOGY CO., LTD.
Demander un devis
Solution SIS pour l’instrumentation de sécurité
Beijing Consen Automation Technology Co., Ltd.
Recommandés
La société singapourienne de technologie d’intelligence artificielle Univers lance une plateforme d’IA physique gérant plus de mille GW d’actifs
2026-06-17
GFiber s’associe à Quext, fournisseur de technologies immobilières intelligentes, pour lancer la fibre optique à 3 gigabits à Pacifica Place, en Californie
2026-06-17
L'opérateur de télécommunications angolais Mercury signe un accord satellite de plusieurs millions de dollars avec Eutelsat
2026-06-17
Unity, la société américaine de moteurs de jeux, offre officiellement son support pour les lunettes XR
2026-06-17
L'entreprise sud-coréenne d'IA et d'analyse de big data S2W s'associe à E-Papyrus pour lancer Streamdocs AI, un justificatif électronique basé sur l'IA
2026-06-17
GS Neotek (Corée du Sud) et Tencent Cloud (Chine) signent un accord pour promouvoir conjointement les services CDN et cloud mondiaux
2026-06-17
AMD annonce un rachat majeur pour renforcer ses technologies d'optimisation mémoire
2026-06-17
Google Cloud lance une plateforme d’opérations de sécurité en Corée du Sud, réduisant les enquêtes à une minute
2026-06-17
L'Agence coréenne de promotion de l'Internet et de la sécurité (KISA) sélectionne 6 consortiums pour lancer un projet de système national de cybersécurité d'un montant de 4,5 milliards de wons
2026-06-17
L’entreprise américaine d’intelligence artificielle générative Anthropic recrute un ancien cadre de Meta pour diriger la chaîne d’approvisionnement des centres de données
2026-06-17
Derniers Bulletins
1
Achèvement de la construction de toutes les plates-formes du projet de phase II du plus grand champ pétrolier mondial de roches métamorphiques
2
La plateforme russe de réunions en ligne Mymeet.ai ouvre le protocole MCP pour connecter les réunions aux agents IA
3
L’équipe russe Deckhouse publie Stronghold 1.18, renforçant la sécurité des clés et les capacités d’audit
4
transcosmos et Kyoei lancent SmartOrderLink
5
Le chinois Longsys lance la puce WM8500 pour une compression 2:1 des SSD de 128 Go
6
La Chine prévoit d'investir 2 000 milliards de yuans pour construire un réseau national de calcul d'IA, avec pour objectif une réalisation d'ici 2028
7
Bull et Foxconn produiront des systèmes d’IA en République tchèque et en France, utilisant NVIDIA Vera Rubin
8
Une équipe chinoise développe le système d’optimisation de compilation intelligent OSCAR pour accélérer les puces nationales
9
Toku et Cobre lancent une solution de réception de paiements en temps réel via SPEI au Mexique
10
ABB (Suisse) et Samsung (Corée du Sud) lancent une solution intégrée pour le bâtiment intelligent et l'Internet des objets en entreprise