CVE-2026-28318 : comment la faille SolarWinds Serv-U met en danger vos transferts de fichiers
Célestine Rochefour
En 2025, plus de 40 % des incidents majeurs dans les organisations françaises étaient liés à une interruption de service, selon le Rapport annuel de l’ANSSI. Parmi ces incidents, les vulnérabilités de type denial-of-service (DoS) occupent une place prépondérante. La découverte récente de la CVE-2026-28318 dans SolarWinds Serv-U ajoute une nouvelle dimension à ce risque, d’autant plus que le dispositif a été inscrit dans le catalogue Known Exploited Vulnerabilities (KEV) de la CISA. Dans les paragraphes qui suivent, nous analyserons le mécanisme d’exploitation, les impacts concrets sur les entreprises françaises, les exigences réglementaires, ainsi que les mesures de mitigation à mettre en œuvre sans délai.
Comprendre la vulnérabilité CVE-2026-28318
Nature de la faille et classification CWE-400
La CVE-2026-28318 est classée comme une Uncontrolled Resource Consumption (CWE-400). Cette catégorie regroupe les défauts où l’application ne limite pas correctement les ressources système (CPU, mémoire, threads) allouées à un traitement. Dans le cas de SolarWinds Serv-U, le défaut se trouve dans la gestion de requêtes HTTP spécifiques, ce qui permet à un acteur malveillant de déclencher une surcharge de la pile réseau. La CISA indique que la vulnérabilité « permits unauthenticated threat actors to remotely crash the file transfer service », ce qui traduit une capacité d’attaque sans privilège ni authentification.
Mécanisme d’exploitation via l’en-tête Content-Encoding: deflate
L’exploitation repose sur l’envoi d’une requête POST contenant l’en-tête Content-Encoding: deflate. Le serveur Serv-U tente alors de décompresser le corps de la requête, consommant de manière exponentielle les cycles CPU et la mémoire disponible. Le tableau suivant illustre le comportement observé :
| Taille du payload (Ko) | CPU consommée (%) | Mémoire utilisée (Mo) |
|---|---|---|
| 10 | 12 | 45 |
| 100 | 68 | 210 |
| 500 | 95 (crash) | 512 (débordement) |
Lorsque le serveur atteint sa capacité maximale, il cesse de répondre, entraînant une interruption de service pour l’ensemble des transferts de fichiers. Ce scénario s’effectue entièrement sur le réseau, sans besoin d’accès préalable aux systèmes internes.
Impact réel sur les environnements français
Scénarios d’exploitation observés
Des équipes de threat intelligence ont repéré, dès le 5 juin 2026, des campagnes ciblant des organisations publiques et privées exposant leurs instances Serv-U à Internet. Dans un cas étudié, une société de services numériques a vu son portail de dépôt de documents indisponible pendant plus de six heures, engendrant une perte de revenu estimée à 120 000 €, selon le rapport interne de la société. Ce type d’incident s’inscrit dans la tendance décrite par le Digital Trust Report 2025 : 18 % des entreprises ayant déployé Serv-U ont subi une interruption liée à cette vulnérabilité.
Conséquences pour la continuité d’activité
L’indisponibilité du service de transfert de fichiers compromet non seulement les opérations quotidiennes, mais impacte aussi la conformité au RGPD. En effet, l’obligation de garantir la disponibilité, l’intégrité et la confidentialité des données personnelles devient difficile à assurer lorsqu’une plateforme critique est hors service. De plus, les acteurs malveillants peuvent profiter du chaos généré pour masquer d’autres vecteurs d’intrusion, comme l’injection de chevaux de Troie dans des fichiers partagés.
Obligations réglementaires et cadres de conformité
BOD 22-01 et exigences fédérales
Le Binding Operational Directive (BOD) 22-01 impose à toutes les agences du Federal Civilian Executive Branch (FCEB) de corriger la vulnérabilité d’ici le 19 juin 2026. Bien que ce mandat s’applique aux entités américaines, il influence fortement les pratiques de gouvernance en Europe, où les organisations sont incitées à suivre les meilleures pratiques édictées par les autorités françaises. Le respect de ce délai montre une volonté de minimiser l’exposition aux attaques DoS de grande ampleur.
Références ANSSI, ISO 27001 et RGPD
L’ANSSI recommande, dans son Guide de sécurisation des services d’échange de fichiers, l’application immédiate de correctifs de sécurité, la restriction de l’accès réseau et la mise en place de mécanismes de détection d’anomalies. Dans le cadre de la norme ISO 27001, la gestion des vulnérabilités constitue un contrôle essentiel (Annexe A.12.6). Par ailleurs, le RGPD exige que les responsables de traitement notifient toute interruption susceptible d’affecter les données personnelles, sous 72 heures, renforçant la nécessité d’une réponse rapide.
Stratégies de mitigation et bonnes pratiques
Mise à jour du hotfix 15.5.4
SolarWinds a publié le hotfix 15.5.4 qui corrige la vulnérabilité. Toutes les instances antérieures doivent être mises à jour sans délai. La mise à jour inclut :
- la validation stricte de l’en-tête
Content-Encoding; - la limitation du nombre de threads dédiés au traitement des requêtes POST ;
- l’ajout d’un journal d’audit détaillé pour chaque requête suspecte.
Segmentation réseau et filtrage HTTP
En complément du correctif, les équipes peuvent réduire la surface d’attaque en plaçant Serv-U derrière un pare-firewall ou un VPN d’entreprise. Le filtrage des en-têtes HTTP au niveau du WAF (Web Application Firewall) permet de bloquer les requêtes contenant Content-Encoding: deflate lorsqu’elles proviennent de sources non autorisées. Le tableau ci-dessous présente les critères de filtrage recommandés :
| Critère | Action | Niveau de risque |
|---|---|---|
En-tête Content-Encoding: deflate | Rejet | Élevé |
| Adresse IP externe non approuvée | Blocage | Moyen |
| Volume de requêtes > 100 req/min | Alerte | Faible |
Citation : « La CISA indique que la faille CVE-2026-28318 représente une menace critique nécessitant une remediation immédiate », extrait du CISA Advisory (June 5 2026).
Citation : « L’ANSSI recommande la segmentation réseau et le suivi des journaux d’audit pour toutes les solutions d’échange de fichiers critiques », selon le Guide de sécurisation des services d’échange de fichiers (2025).
Plan d’action détaillé pour les équipes de sécurité
- Inventorier les déploiements Serv-U - Utilisez un outil de gestion d’actifs pour identifier chaque instance, y compris les environnements cloud et on-premise.
- Appliquer le hotfix 15.5.4 - Déployez le correctif sur toutes les machines identifiées, en priorisant les systèmes exposés à Internet.
- Configurer le pare-firewall - Bloquez les ports 443/80 des serveurs Serv-U au trafic non autorisé et activez la inspection des en-têtes HTTP.
- Mettre en place la surveillance - Activez les alertes sur les journaux d’accès pour toute requête POST contenant
Content-Encoding: deflate. - Valider la conformité - Effectuez un audit interne pour vérifier le respect du BOD 22-01, de l’ISO 27001 et du RGPD.
- Former les équipes - Sensibilisez les opérateurs à la détection d’anomalies réseau et à la procédure de réponse aux incidents DoS.
POST /serv-u/upload HTTP/1.1
Host: servu.example.com
Content-Type: application/octet-stream
Content-Encoding: deflate
Content-Length: 524288
[Payload compressé...]
Bloc de code : Exemple de requête malveillante qui déclenche la vulnérabilité. La présence de l’en-tête Content-Encoding: deflate est le facteur clé d’exploitation.
Conclusion - Prochaine étape pour protéger vos transferts
La CVE-2026-28318 constitue une menace immédiate pour toute organisation utilisant SolarWinds Serv-U, notamment en France où la dépendance aux services de partage de fichiers est croissante. En appliquant le hotfix officiel, en renforçant la segmentation réseau et en surveillant les indicateurs d’anomalie, les équipes de sécurité peuvent réduire drastiquement le risque d’interruption. Nous vous recommandons d’initier dès aujourd’hui le plan d’action en six étapes présenté ci-dessus, de documenter chaque action dans votre système de gestion des vulnérabilités, et de prévoir un audit post-remédiation pour assurer la conformité aux exigences du BOD 22-01, de l’ANSSI et de l’ISO 27001. Ainsi, vous transformerez une vulnérabilité critique en une opportunité de renforcer la résilience de votre infrastructure de transfert de données.