SQL Injection critique dans Devolutions Server : vulnérabilités exposant vos données sensibles
Célestine Rochefour
Une faille SQL Injection critique menace les données sensibles de Devolutions Server
Dans le paysage de cybersécurité en constante évolution de 2025, une série de vulnérabilités vient d’être découverte dans Devolutions Server, plateforme essentielle pour de nombreuses organisations gérant des comptes privilégiés, mots de passe et données d’authentification sensibles. L’alerte de sécurité DEVO-2025-0018 publiée par Devolutions révèle plusieurs failles, dont une SQL Injection particulièrement critique qui pourrait permettre aux attaquants d’extraire directement des informations confidentielles de la base de données du système. Selon les analyses, les versions 2025.2.20 et antérieures, ainsi que les versions 2025.3.8 et antérieures de Devolutions Server sont concernées par ces vulnérabilités. Ce constat souligne l’importance cruciale de maintenir ses systèmes à jour et de comprendre les enjeux liés aux attaques par injection SQL.
La vulnérabilité SQL Injection critique CVE-2025-13757
La plus grave des failles identifiées, notée 9.4 (Critique) selon le système de notation CVSS 4.0, concerne une faiblesse d’injection SQL dans les « journaux d’utilisation récente » de la plateforme. Cette vulnérabilité se manifeste lorsque le système tente de trier l’historique d’utilisation à travers un paramètre nommé DateSortField. Le logiciel ne valide pas suffisamment les entrées fournies par l’utilisateur dans ce champ, permettant à un utilisateur authentifié d’injecter des commandes SQL malveillantes directement dans la base de données.
Cette faille, référencée sous CVE-2025-13757, représente une menace sérieuse pour les environnements où Devolutions Server stocke des informations à haute valeur comme les identifiants d’accès, les clés d’accès et les données de comptes privilégiés. Un attaquant connecté pourrait ainsi extraire ou modifier ces informations sensibles, révélant des données qui devraient rester inaccessibles. Selon les experts de la cybersécurité, cette problématique est considérée comme l’une des plus dangereuses jamais rapportées pour cette plateforme.
En pratique, l’exploitation de cette vulnérabilité pourrait mener à des conséquences désastreuses pour les entreprises. Les attaquants pourraient non seulement consulter les informations sensibles stockées dans la base de données, mais aussi les modifier ou les supprimer, causant ainsi des dommages opérationnels significatifs. La découverte de cette faille a été créditée à JaGoTu de DCIT a.s., une équipe de recherche spécialisée dans la sécurité des applications.
Comment l’attaque par injection SQL se matérialise-t-elle ?
L’attaque par injection SQL exploite une faille de validation des entrées utilisateur. Dans le cas de Devolutions Server, le paramètre DateSortField n’est pas correctement protégé, permettant à un attaquant d’injecter du code SQL malveillant. Lorsque le système traite cette entrée, le code SQL exécuté n’est plus celui prévu par les développeurs, mais celui injecté par l’attaquant.
Prenons un exemple concret : un attaquant pourrait soumettre une valeur comme « ; DROP TABLE utilisateurs; – » comme paramètre de tri. Le système exécuterait alors le code SQL original, suivi de la commande de suppression de table, puis ignorerait le reste de la requête grâce au commentaire SQL. Dans le cas de Devolutions Server, l’impact serait encore plus grave car l’attaquant pourrait extraire des données sensibles plutôt que simplement détruire des tables.
Les enjeux des attaques par injection SQL sont particulièrement élevés dans le contexte de Devolutions Server, car cette plateforme centralise la gestion des accès privilégiés. Une compromission de cette base de données équivaut à une porte dérobée vers l’ensemble des ressources critiques de l’entreprise. Selon une étude récente, 98% des applications web testées présentent une vulnérabilité liée à l’injection SQL, démontrant l’ampleur du problème.
Les deux vulnérabilités de gravité moyenne identifiées
Aux côtés de CVE-2025-13757, la même équipe de recherche a identifié deux autres faiblesses de sécurité : CVE-2025-13758 et CVE-2025-13765, toutes deux classées comme de gravité moyenne. Bien que moins critiques, ces vulnérabilités restent significatives dans les environnements exigeant une confidentialité stricte.
CVE-2025-13758 : Fuites de données dans les requêtes partielles
La première de ces vulnérabilités concerne certains types d’entrées qui incluent inappropriément les mots de passe dans la requête initiale d’informations générales sur les éléments. Normalement, les informations d’identification telles que les mots de passe ne sont transmises que par le biais d’une requête protégée /sensitive-data lorsqu’un utilisateur y accède intentionnellement.
Cependant, certaines entrées exposaient prématurément les données d’identification, augmentant le risque de divulgation non autorisée. Cette vulnérabilité obtient un score CVSS de 5.1 et affecte également les mêmes versions de produits listées dans l’avis de sécurité. Dans la pratique, un attaquant pourrait intercepter ces requêtes et obtenir des accès à des systèmes sensibles sans même nécessiter des privilèges élevés.
CVE-2025-13765 : Contrôle d’accès incorrect dans la configuration du service email
La seconde faille à risque moyen, notée 4.9 selon CVSS, implique un contrôle d’accès incorrect dans l’API de configuration du service email de la plateforme. Lorsque plusieurs services email étaient configurés, les utilisateurs dépourvus de privilèges administratifs pouvaient toujours récupérer les mots de passe des services email, compromettant ainsi le modèle de contrôle d’accès du système.
Cette faille met en lumière l’importance des contrôles d’accès granulaires dans les applications d’entreprise. Dans un scénario réel, un employé avec des privilèges limités pourrait accéder aux configurations email de toute l’entreprise, y compris les mots de passe et les informations d’authentification, simplement en manipulant l’API de configuration. En France, le règlement général sur la protection des données (RGPD) impose des sanctions sévères en cas de fuite de données personnelles, ce qui rend ce type de vulnérabilité particulièrement préoccupant.
Mise en œuvre : Les étapes essentielles pour sécuriser votre environnement
Face à ces vulnérabilités, Devolutions recommande l’installation immédiate des versions corrigées pour remédier aux trois failles de sécurité. L’avis de sécurité instructe les clients à mettre à niveau Devolutions Server vers les versions suivantes :
- Version 2025.2.21 ou supérieure
- Version 2025.3.9 ou supérieure
L’application de ces mises à jour est essentielle pour bloquer les tentatives d’injection SQL, prévenir l’exposition non autorisée des informations d’identification et restaurer les protections appropriées de contrôle d’accès. Sans ces correctifs, les organisations restent vulnérables à l’exfiltration de données, à la récupération non autorisée de mots de passe et à l’escalade incorrecte des privilèges utilisateur.
Plan d’action immédiat pour les administrateurs système
Vérification des versions installées : Commencez par identifier quelle version de Devolutions Server est actuellement utilisée dans votre infrastructure.
Planification de la maintenance : Programmez une fenêtre de maintenance pour appliquer les mises à jour, en informant les utilisateurs potentiels de l’interruption de service.
Sauvegarde préalable : Effectuez une sauvegarde complète de la base de données et des configurations avant d’appliquer les mises à jour.
Application des correctifs : Installez les mises à jour vers les versions recommandées (2025.2.21+ ou 2025.3.9+).
Tests de validation : Vérifiez que toutes les fonctionnalités de Devolutions Server fonctionnent correctement après la mise à jour.
Surveillance renforcée : Maintenez une surveillance accrue des journaux d’activité pour détecter d’éventuelles tentatives d’exploitation résiduelles.
Bonnes pratiques pour prévenir les attaques par injection SQL
Au-delà des correctifs immédiats, l’adoption de bonnes pratiques de développement est essentielle pour prévenir les vulnérabilités d’injection SQL à l’avenir :
- Validation des entrées : Implémentez une validation stricte de toutes les entrées utilisateur avant traitement.
- Requêtes paramétrées : Utilisez des requêtes paramétrées plutôt que la concaténation directe de chaînes dans les requêtes SQL.
- Moins de privilèges : Accordez aux comptes de base de données uniquement les privilèges nécessaires.
- Mises à jour régulières : Maintenez tous les logiciels et bibliothèques à jour avec les derniers correctifs de sécurité.
- Analyses de code : Intégrez des analyses statiques et dynamiques de code dans votre processus de développement pour détecter les vulnérabilités précocement.
Impact stratégique et conformité réglementaire
L’identification des vulnérabilités CVE-2025-13757, CVE-2025-13758 et CVE-2025-13765 confirme la nécessité d’un correctif immédiat sur tous les déploiements de Devolutions Server concernés. Ces failles exposant des informations d’identification sensibles et des voies d’accès privilégiées, les systèmes non corrigés font face à des risques mesurables pour la confidentialité et les opérations.
En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a récemment rappelé l’importance de la gestion des vulnérabilités dans les systèmes d’information, notamment pour les outils de gestion d’accès privilégiés. La non-conformité avec les recommandations de sécurité peut entraîner des conséquences juridiques et financières significatives, notamment en vertu du RGPD.
« La rapidité de réponse aux vulnérabilités critiques est un indicateur clé de la maturité en matière de cybersécurité des organisations. Dans le cas de Devolutions Server, le retard dans l’application des correctifs pourrait avoir des répercussions sur la continuité des opérations et la confiance des clients. »
— Responsable de la sécurité de l’information dans un grand groupe français
Tableau comparatif des risques associés aux vulnérabilités
| Vulnérabilité | Gravité (CVSS) | Impact potentiel | Solutions immédiates |
|---|---|---|---|
| CVE-2025-13757 | 9.4 (Critique) | Exfiltration complète de données sensibles, modification ou suppression de données | Mise à jour immédiate vers 2025.2.21+ ou 2025.3.9+ |
| CVE-2025-13758 | 5.1 (Moyen) | Fuite de mots de passe dans les requêtes partielles, compromission d’accès | Mise à jour immédiate vers 2025.2.21+ ou 2025.3.9+ |
| CVE-2025-13765 | 4.9 (Moyen) | Accès non autorisé aux configurations email et mots de passe de services | Mise à jour immédiate vers 2025.2.21+ ou 2025.3.9+ |
Conclusion : Agir vite pour sécuriser vos données sensibles
La découverte de ces vulnérabilités dans Devolutions Server souligne l’importance cruciale de la veille en matière de sécurité et de la promptitude dans l’application des correctifs. L’injection SQL critique identifiée représente une menace sérieuse pour les organisations utilisant cette plateforme, car elle expose directement des données sensibles qui devraient rester confidentielles.
Les entreprises concernées doivent appliquer les mises à jour recommandées sans délai et renforcer leur surveillance continue des vulnérabilités. Au-delà de la réponse immédiate, cette situation devrait inciter les organisations à revoir leurs pratiques de gestion des risques liés aux logiciels et à adopter une approche proactive de la sécurité.
Dans un contexte où les attaques ciblées sur les solutions de gestion d’accès privilégiés se multiplient, la vigilance reste la meilleure défense. N’attendez pas qu’une faille soit exploitée pour agir - la sécurité de vos données sensibles dépend de la rapidité de votre réponse face à ces menaces persistantes.