Une autre série de failles critiques du Web Help Desk montre à quel point le code existant de SolarWinds et les violations passées continuent de hanter les responsables informatiques et de la sécurité.
SolarWinds révèle une fois de plus des failles de sécurité dans l’un de ses produits largement utilisés. La société a publié des mises à jour pour corriger six vulnérabilités critiques de contournement d’authentification et d’exécution de commandes à distance dans son logiciel informatique Web Help Desk (WHD).
Ces failles pourraient permettre aux attaquants de contourner l’authentification, d’effectuer l’exécution de code à distance (RCE) et d’accéder à certaines fonctionnalités qui devraient être bloquées. Sur ces six, quatre sont classées « critiques » (9,8 sur 10 sur l’échelle de gravité CVE), tandis que les autres sont « élevées » (gravité 7,5 et 8,1).
Étant donné que WHD a été activement exploité dans le passé, il est conseillé aux administrateurs de corriger immédiatement leurs serveurs vulnérables en effectuant une mise à niveau vers Web Help Desk 2026.1.
« Nous savons déjà ce qui se passe si vous compromettez SolarWinds », a déclaré David Shipley de Beauceron Security. « Il existe un risque énorme en aval. Il est essentiel que les problèmes soient corrigés, mis à jour et résolus le plus rapidement possible. »
« RCE » : les trois lettres qu’aucun responsable de la sécurité ne veut entendre
SolarWinds affirme compter plus de 300 000 clients dans le monde, dont une grande partie du Fortune 500 et de grandes agences gouvernementales et de défense. Le produit WHD de la société est populaire parmi ces organisations.
Les vulnérabilités ont été découvertes par des chercheurs indépendants de watchTowr et Horizon3.ai. Ils comprennent :
- Vulnérabilités d’exécution de code à distance et de désérialisation de données CVE-2025-40551 (critique) et CVE-2025-40553 (critique) ;
- Failles de sécurité d’authentification et de contournement CVE-2025-40552 (critique), CVE-2025-40554 (critique), CVE-2025-40536 (élevé) et CVE-2025-40537 (élevé).
CVE-2025-40551 et CVE-2025-40553 rendent WHD vulnérable à une déséralisation de données non fiables qui pourrait permettre à des attaquants d’exécuter des commandes sur la machine hôte. La faille pourrait être exploitée sans authentification.
Les deux autres vulnérabilités critiques, CVE-2025-40552 et CVE-2025-40554, sont des contournements d’authentification qui, s’ils sont exploités, pourraient permettre à des attaquants d’invoquer des actions spécifiques au sein de Web Help Desk qui auraient dû être automatiquement protégées par authentification.
« Ce sont trois lettres que vous ne voulez jamais entendre : ‘J’ai obtenu le RCE » », a déclaré Shipley de Beauceron, soulignant que la désérialisation des données peut révéler des secrets d’entreprise. « C’est le pire. Vous ne voulez vraiment, vraiment, vraiment pas de RCE. »
Les quatre bogues critiques sont généralement très fiables à exploiter en raison de leurs failles logiques de désérialisation et d’authentification, a noté Ryan Emmons, chercheur en sécurité chez Rapid7. « Pour les attaquants, c’est une bonne nouvelle, car cela signifie éviter de nombreux travaux de développement d’exploits sur mesure, comme vous le verriez avec d’autres classes de bogues moins fiables. »
Au lieu de cela, les attaquants peuvent utiliser une charge malveillante standardisée sur de nombreuses cibles vulnérables, a noté Emmons. « Si l’exploitation réussit, les attaquants prennent le contrôle total du logiciel et de toutes les informations qu’il stocke, ainsi que la possibilité potentielle de se déplacer latéralement vers d’autres systèmes. »
Parallèlement, la vulnérabilité de haute gravité CVE-2025-40536 permettrait aux acteurs malveillants de contourner les contrôles de sécurité et d’accéder à certaines fonctionnalités qui devraient être réservées uniquement aux utilisateurs authentifiés. Enfin, CVE-2025-40537 est une vulnérabilité d’informations d’identification codée en dur qui, « dans certaines situations », pourrait donner accès à des fonctions administratives.
Comment les entreprises doivent réagir
SolarWinds fournit des instructions détaillées pour la mise à niveau des serveurs vulnérables vers Web Help Desk 2026.1. Les équipes de sécurité doivent être vigilantes là-dessus, soulignent les analystes.
Emmons a indiqué que les choses les plus importantes que les défenseurs peuvent faire à l’heure actuelle sont de mettre à niveau vers la dernière version en cas d’urgence et d’enquêter sur toute activité anormale sur les serveurs qui auraient pu être ciblés.
« Il s’agit de bugs pour lesquels il ne faudra probablement pas longtemps pour développer des exploits militaires, donc le temps presse pour obtenir le meilleur résultat », a-t-il souligné.
Les problèmes de SolarWinds continuent
Ces vulnérabilités reflètent une tendance malheureuse pour SolarWinds, dont le WHD a été attaqué à plusieurs reprises. Plus récemment, en septembre, l’éditeur de logiciels a corrigé un deuxième contournement de correctif (CVE-2025-26399) pour une faille WHD RCE qui avait été signalée un an plus tôt par la Cybersecurity and Infrastructure Security Agency (CISA) comme étant activement exploitée. Également en 2024, l’agence fédérale a dénoncé une faille d’identification codée en dur dans WHD.
« C’est comme ‘pas encore' », a déclaré Shipley. « Tout le monde a cette réaction viscérale et émotionnelle basée sur ce qui leur est arrivé il y a cinq ans. »
Les violations majeures ont un « rayon d’explosion de marque, une demi-vie de marque », a-t-il noté, et cela peut faire revivre des « traumatismes passés » pour les responsables informatiques. SolarWinds est familier aux attaquants, qui réalisent qu’il s’agit d’une marque qui pourrait s’avérer payante.
« Tout dépend de l’impact continu, du retour sur investissement », a-t-il déclaré. Les acteurs malveillants comprennent qu’ils disposent d’une fenêtre d’attaque étroite et souhaitent maximiser leurs chances d’exfiltration de données ou de rançon. Et s’il s’agit d’acteurs étatiques-nations, l’objectif est de créer « un maximum de dégâts ».
« C’est une forme perverse de notoriété de marque dont on ne veut jamais », a déclaré Shipley.
Bien que cet incident soit une mauvaise nouvelle, la bonne nouvelle est qu’il ne s’agit pas de la même erreur, a-t-il noté. De plus, en termes de RCE, SolarWinds n’a pas été aussi impacté que Cisco et Fortinet, ce dernier ayant été critiqué pour ses correctifs « silencieux ».
Les fournisseurs doivent aller au-delà de la couche de symptômes et s’attaquer à la cause profonde des vulnérabilités dans la logique de programmation, a-t-il déclaré, soulignant : « ils bouchent le trou, mais ne comprennent pas pourquoi ils continuent à avoir des trous ».
En fin de compte, a-t-il déclaré, « c’est une situation insoutenable pour les responsables informatiques. Nous atteignons le point de rupture ». Aux États-Unis, la cybersécurité devrait être une priorité réglementaire ; alors que c’était un domaine d’intérêt pour l’administration précédente, il y a eu un « revirement complet » sous le régime actuel.
« La seule façon de sortir de ce pétrin est d’avoir un meilleur code », a noté Shipley. Mais « nous sommes désormais condamnés au code hérité (plus à tout ce que le code d’ambiance ajoute au mélange). Les digues vont bientôt se briser. Nous allons avoir notre code Katrina moment », a-t-il déclaré.
