CVE-2025-37164 et CVE-2009-0556 : CISA ajoute deux vulnérabilités critiques au catalogue KEV
Célestine Rochefour
La CISA (Cybersecurity and Infrastructure Security Agency) vient d’ajouter deux vulnérabilités critiques à son catalogue des vulnérabilités connues et exploitées (KEV) début 2026. Il s’agit d’un problème de sécurité majeur affectant les logiciels Microsoft PowerPoint et HPE OneView, qui requiert une attention immédiate des équipes informatiques. Ces ajouts interviennent alors que le paysage des menaces évolue rapidement, avec une augmentation de 35 % des attaques par rançongiciel ciblant les infrastructures de gestion en 2025, selon les rapports de l’ANSSI.
Ces deux vulnérabilités, bien que de nature et d’âge différents, présentent un risque élevé d’exécution de code à distance. L’une est une faille récente et critique dans une solution HPE, l’autre est une faille âgée de 16 ans dans PowerPoint qui refuse de disparaître. Cette situation illustre la complexité de la gestion des correctifs dans des environnements hétérogènes.
Comprendre la vulnérabilité critique HPE OneView (CVE-2025-37164)
La première faille ajoutée au catalogue, référencée CVE-2025-37164, concerne le logiciel HPE OneView. Il s’agit d’une vulnérabilité d’injection de code (Code Injection) recevant un score de sévérité CVSS de 10.0, le maximum absolu.
Nature de la menace
Cette vulnérabilité permet à un attaquant distant non authentifié d’effectuer une exécution de code à distance (Remote Code Execution - RCE). Concrètement, cela signifie qu’un adversaire n’ayant aucun identifiant valide peut potentiellement prendre le contrôle total de l’instance HPE OneView.
Contexte et exploitation
L’ajout de cette vulnérabilité par la CISA fait suite à la publication d’un Proof of Concept (PoC) par Rapid7 le 19 décembre 2025. La mise en ligne de ce code exploit a probablement accéléré les tentatives d’attaque, obligeant la CISA à réagir rapidement. HPE a reconnu le problème et a publié un correctif (hotfix) de sécurité.
Couverture et incertitudes
Bien que l’avis de sécurité de HPE indique que toutes les versions jusqu’à la v10.20 sont affectées, les analystes de Rapid7 ont émis une hypothèse plus nuancée. Selon leurs recherches :
- Seule la version 6.x de HPE OneView for VMs serait vulnérable.
- Toutes les versions non patchées de HPE OneView for HPE Synergy seraient concernées.
Cette incertitude souligne l’importance d’une analyse approfondie de l’environnement spécifique. De plus, un module Metasploit a été publié, rendant l’exploitation accessible même à des attaquants moins expérimentés.
La persistance des failles anciennes : le cas PowerPoint (CVE-2009-0556)
Le second ajout est un rappel saisissant de la longévité des vulnérabilités logicielles. Le CVE-2009-0556 est une faille d’injection de code présente dans Microsoft Office PowerPoint 2000 SP3, 2002 SP3, 2003 SP3 et PowerPoint dans Office 2004 pour Mac. Avec ses 16 ans, cette faille illustre la difficulté d’éradiquer complètement les vulnérabilités des systèmes hérités.
Mécanisme technique
La vulnérabilité réside dans le traitement des fichiers PowerPoint malformés. Plus précisément, elle concerne l’atome OutlineTextRefAtom. Si ce champ contient une valeur d’index invalide, cela provoque une corruption de la mémoire (memory corruption). L’attaquant peut alors exécuter du code arbitraire sur la machine de la victime.
Historique d’exploitation
Le NVD (National Vulnerability Database) confirme que cette faille a été exploitée dans la nature dès avril 2009 via la menace Exploit:Win32/Apptom.gen. Le bulletin de sécurité original de Microsoft (MS09-017) détaillait déjà les risques : prise de contrôle totale du système, installation de programmes, modification ou suppression de données. Pour comprendre comment ces attaques peuvent compromettre votre identité, consultez notre guide sur la matière noire d’identité.
Pourquoi réapparaît-elle en 2026 ?
La CISA ajoute régulièrement de vieilles vulnérabilités à son catalogue KEV. Cela signifie qu’elles sont encore utilisées par des groupes de cybercriminels dans des attaques actives. C’est un signal fort pour les organisations qui négligent la mise à jour de logiciels vieillissants ou qui maintiennent des environnements de compatibilité non patchés.
L’importance du catalogue KEV et la gestion des vulnérabilités
Le catalogue Known Exploited Vulnerabilities (KEV) de la CISA est devenu une référence incontournable pour la sécurité informatique. Il ne liste pas toutes les vulnérabilités, mais uniquement celles qui présentent un risque avéré d’exploitation actif.
Pourquoi suivre le catalogue KEV ?
- Priorisation des correctifs : Il permet aux administrateurs de se concentrer sur les menaces réelles plutôt que sur les scores théoriques.
- Anticipation des menaces : L’ajout d’une faille signifie souvent qu’elle est utilisée dans des campagnes de phishing ou d’attaque par rançongiciel.
- Conformité : Pour les entités gouvernementales et leurs sous-traitants aux États-Unis, la correction des vulnérabilités KEV est obligatoire dans des délais précis (souvent 21 jours). Bien que ce guide vise le marché français, l’ANSSI recommande une démarche similaire de priorisation stricte.
Bilan de 2025 et début 2026
Après l’ajout de 245 vulnérabilités en 2025, ces deux premiers ajouts de 2026 confirment la tendance : les éditeurs logiciels, qu’ils soient grand public comme Microsoft ou spécialisés comme HPE, doivent gérer des failles de sécurité sur l’ensemble de leur portefeuille, y compris sur des produits anciens ou complexes.
Stratégie de mitigation et étapes pratiques pour les DSI
Face à ces menaces, les responsables de la sécurité des systèmes d’information (RSSI) et les équipes opérationnelles doivent agir méthodiquement. Voici une approche structurée pour sécuriser les environnements impactés.
Évaluation de l’impact
La première étape consiste à identifier la présence des produits vulnérables dans le parc informatique.
Liste des actifs à vérifier :
- HPE OneView : Vérifier la version installée (surtout les branches 5.20 à 10.20) et identifier s’il s’agit de OneView for VMs ou OneView for Synergy.
- Microsoft Office/PowerPoint : Identifier les postes utilisant des versions obsolètes (2000, 2002, 2003, 2004 Mac) ou des systèmes d’exploitation Windows anciens. Même si ces versions ne sont plus supportées par Microsoft, des correctifs tiers ou des virtualisations peuvent être en place.
Application des correctifs (Patching)
| Produit | Vulnérabilité | Action requise | Priorité |
|---|---|---|---|
| HPE OneView | CVE-2025-37164 | Appliquer le security hotfix fourni par HPE. Attention à la réapplication après mise à niveau majeure (v6.60 -> v7.00). | Critique |
| Microsoft PowerPoint | CVE-2009-0556 | Mettre à jour vers une version moderne d’Office. Si les anciennes versions sont indispensables, isoler ces postes du réseau. | Élevée |
Mesures de compensation
Si le correctif n’est pas immédiatement applicable (par exemple pour des raisons de compatibilité logicielle), des mesures de compensation doivent être mises en place :
- Segmentation réseau : Isoler les serveurs HPE OneView sur un VLAN de gestion sécurisé, accessible uniquement par des adresses IP administratives.
- Analyse comportementale : Utiliser des solutions EDR (Endpoint Detection and Response) pour surveiller toute activité suspecte sur les postes hébergeant de vieux logiciels.
- Protection contre les attaques ciblées : Se familiariser avec les techniques d’ingénierie sociale comme décrit dans le guide de protection contre l’attaque ClickFix.
Note de l’expert : “Dans la pratique, nous observons souvent que les failles critiques comme CVE-2025-37164 sont exploitées pour déployer des rançongicides. L’isolation rapide du serveur de gestion est souvent plus efficace qu’un pare-feu applicatif de dernière minute. Ces attaques s’inscrivent souvent dans des campagnes plus larges d’arnaques cryptocurrency 2026 où les escrocs abusent de services légitimes comme Telegra.ph et Google Forms.”
Conclusion : Une vigilance accrue requise en 2026
L’ajout simultané d’une faille critique récente (CVE-2025-37164) et d’une faille ancienne mais toujours active (CVE-2009-0556) sert de leçon aux entreprises françaises. La sécurité ne se limite pas à patcher les dernières versions ; elle exige une gestion rigoureuse de l’ensemble du cycle de vie des logiciels.
La menace pesant sur HPE OneView est particulièrement dangereuse car elle touche une solution de gestion d’infrastructure centrale. Une compromission pourrait donner à un attaquant une visibilité étendue sur l’environnement IT. De même, la persistance de failles PowerPoint de 2009 prouve que l’oubli n’est pas une stratégie de sécurité.
Action immédiate recommandée : Lancez un audit de votre parc pour identifier ces deux vulnérabilités. Si HPE OneView est utilisé, appliquez le hotfix sans délai. Pour PowerPoint, assurez-vous que les utilisateurs ne manipulent pas de fichiers provenant de sources inconnues et planifiez la mise à niveau des environnements obsolètes.
La cybersécurité en 2026 repose sur une discipline de fer : la visibilité totale des actifs et la réactivité face aux alertes de la CISA et de l’ANSSI.