3. mai 2026 | Imprimer l'article | |

CISA KEV avril 2026 : Samsung MagicINFO, SimpleHelp et D-Link exploités activement

6 Min. de lecture

La CISA a ajouté huit nouvelles entrées à son Catalogue des Vulnérabilités Connues Exploitées au cours d’une semaine, fin avril 2026. Trois systèmes se distinguent : le serveur Samsung MagicINFO 9, SimpleHelp Remote Support et les modèles de routeurs D-Link. Dans chacun de ces cas, une exploitation active a été documentée par des botnets ou des groupes de ransomware. Pour les équipes IT de la région DACH, la date limite pour les correctifs arrive le 8 mai 2026.

Les points clés en bref

  • 8 nouveaux CVE, 3 systèmes critiques. Fin avril 2026, la CISA a déposé l’un des lots de CVE les plus fournis depuis le premier trimestre. Samsung MagicINFO, SimpleHelp et les routeurs D-Link ont confirmé une exploitation active dans le monde réel.
  • Botnet et ransomware directement impliqués. Pour Samsung MagicINFO, l’utilisation de variantes Mirai pour le recrutement de DDoS a été démontrée. Les vulnérabilités de SimpleHelp ont été exploitées pour le staging de ransomwares.
  • Date limite des correctifs : 8 mai 2026. La CISA impose aux agences fédérales américaines une deadline fixe jusqu’au 8 mai. Les entreprises de la région DACH soumises à la norme NIS2 devraient utiliser cette même date comme référence.
  • Appareils EOL dans le champ d’application. Plusieurs modèles de routeurs D-Link inclus dans ce lot de CVE ne recevront plus de correctifs. Mesure immédiate : prioriser la segmentation du réseau et l’approvisionnement en équipements de remplacement.

Qu’est-ce que le Catalogue des CVE de la CISA ? Le Catalogue des Vulnérabilités Connues Exploitées de la CISA est une liste de CVE gérée par l’Agence américaine pour la cybersécurité et la sécurité des infrastructures, qui présente des exemples d’exploitation active dans des attaques réelles. Ce catalogue sert de liste obligatoire de correctifs pour les agences fédérales américaines et constitue un outil de priorisation de facto pour les équipes de sécurité à travers le monde.

En lien : Fortinet CVE-2026-35616 : deux vulnérabilités critiques dans FortiClient EMS

Samsung MagicINFO : le passage de chemin devient un accès vers les botnets

Samsung MagicINFO 9 Server est une plateforme de gestion de l’affichage numérique utilisée dans des hôtels, des hôpitaux, des centres commerciaux et dans les halls d’entreprise à travers le monde. Le CVE-2024-7399 est une vulnérabilité de passage de chemin avec un score CVSS de 8,8, qui permet à des utilisateurs authentifiés d’écrire n’importe quel fichier sur le serveur – y compris des composants web-shell exécutables.

Ce qui distingue l’entrée de la CISA fin avril 2026 par rapport aux précédentes alertes : la Shadowserver Foundation et d’autres opérateurs de honeypot ont documenté un trafic de scan actif ainsi que des exploits réussis grâce à des variantes de botnets basées sur Mirai. Les attaquants utilisent principalement les serveurs MagicINFO pour générer de la capacité DDoS, secondairement comme point de pivoting vers d’autres segments de réseau voisins.

Pour les équipes IT de la région DACH : Samsung a déjà fourni des correctifs pour toutes les versions concernées de MagicINFO 9. La question cruciale est de savoir si les serveurs MagicINFO sont accessibles directement depuis Internet dans le réseau propre. Dans de nombreuses installations, c’est le cas – la plateforme gère les écrans via HTTP/HTTPS et est souvent déployée sans protection VPN.

SimpleHelp : un contournement d’authentification ouvre la voie aux rançongiciels

SimpleHelp est une solution de support à distance, largement utilisée dans le segment des PME et chez les prestataires de services gérés comme une alternative moins coûteuse à TeamViewer ou AnyDesk. Trois vulnérabilités ont été signalées et exploitées début 2025 : CVE-2024-57727 (traversal de chemin avant l’authentification), CVE-2024-57728 (téléversement arbitraire de fichiers) et CVE-2024-57729 (escalade de privilèges pour les comptes techniques).

La combinaison de ces trois CVE est particulièrement problématique : un attaquant peut, grâce à CVE-2024-57727, accéder aux fichiers de configuration, en extraire les identifiants d’accès, puis, via CVE-2024-57729, s’escaler jusqu’à un compte administrateur. Des équipes CIRT de plusieurs agences américaines ont documenté cette chaîne d’attaque lors d’interventions actives de réponse aux incidents en avril 2026 – l’exploitation a été identifiée comme une étape préparatoire au déploiement de rançongiciels.

Le risque spécifique pour les MSP : si les serveurs SimpleHelp servent de point central d’accès à distance aux systèmes clients, un attaquant ayant réussi à compromettre ces serveurs pourrait potentiellement obtenir l’accès à tous les postes distants gérés. L’inscription de ces vulnérabilités dans la base de données CISA renforce la pression pour identifier immédiatement les installations non patchées de SimpleHelp.

Chiffres et faits : KEV CISA avril 2026

8

nouveaux entrées KEV durant la dernière semaine d’avril 2026

3

vulnérabilités SimpleHelp combinables dans une même chaîne d’attaque

08.05.

date limite de patch pour les agences fédérales américaines (CISA BOD 22-01)

Appareils D-Link en fin de vie : pas de patch, agir immédiatement

Plusieurs modèles D-Link de la série d’avril relèvent de la catégorie « fin de vie ». D-Link a explicitement annoncé qu’il ne fournira plus de mises à jour de sécurité pour ces appareils. L’inscription de ces vulnérabilités dans la base de données CISA n’y change rien – la seule solution sûre consiste à mettre hors service ces équipements ou à les isoler strictement sur des segments de réseau distincts.

Dans les réseaux DACH, les équipements D-Link apparaissent fréquemment comme des composants de périmètre bon marché, maintenus en service sans modification depuis des années. Ce schéma est bien connu des précédents cas de réponse aux incidents : un routeur obsolète sur le réseau extérieur utilisé comme point d’accès initial, d’où les attaquants se propagent vers le réseau interne. L’article 21 de la directive NIS2 oblige les entreprises DACH à gérer les risques liés aux composants du réseau – et les équipements en fin de vie dont l’exploitation active est avérée sont expressément visés par cette obligation.

Matrice de priorisation pour les équipes IT DACH jusqu’au 8 mai

Patcher immédiatement (critique)

  • Serveur Samsung MagicINFO 9 – toutes les versions antérieures au correctif
  • Serveur SimpleHelp – toutes les versions antérieures à 5.3.9 / 5.4.10
  • Tous les appareils D-Link avec des CVE connues issues de la série KEV
  • Vérifier les appareils exposés : directement connectés à Internet ?

Mesures immédiates sans patch

  • D-Link en fin de vie : segmentation du réseau, pas d’accès direct à Internet
  • SimpleHelp : vérifier les logs pour détecter toute activité de staging (derniers 30 jours)
  • MagicINFO : scanner les répertoires du serveur à la recherche de web shells
  • Prestataires de services gérés : contrôler toutes les infrastructures clientes pour vérifier la version de SimpleHelp

Source des faits : catalogue des vulnérabilités connues et exploitées de CISA, Shadowserver Foundation avril 2026, base de données CVE du NVD.

Questions fréquentes

La date limite de correctifs de la CISA s’applique-t-elle également aux entreprises de la région DACH ?

La directive opérationnelle contraignante 22-01 de la CISA n’est formellement obligatoire que pour les agences fédérales américaines. Elle n’a pas d’effet juridique direct pour les entreprises de la région DACH. Dans les faits, cependant, les obligations liées à la NIS2 (§ 21 NIS2UmsuCG) et les exigences du BSI-IT-Grundschutz suivent une logique comparable : les vulnérabilités connues et exploitées doivent être corrigées à un rythme proportionné au risque. La date limite fixée par la CISA peut servir de référence éprouvée, notamment lorsque vos propres politiques ne prévoient pas de délais spécifiques.

Comment vérifier si SimpleHelp est concerné dans notre environnement ?

Deux axes de vérification : premièrement, confirmez la version – les CVE critiques affectent SimpleHelp avant la version 5.3.9 (pour la branche 5.3.x) et avant la 5.4.10 (pour la branche 5.4.x). Deuxièmement, examinez les journaux – des activités suspectes liées à la CVE-2024-57727 se manifestent par des requêtes HTTP inhabituelles sur le chemin /interface/interface.html, avec des motifs de traversal de répertoire tels que ../../. Une alerte SIEM basée sur ces motifs pour les derniers 30 jours constitue un contrôle rapide pertinent.

Que faire si l’appareil D-Link concerné ne peut pas être remplacé ?

Mesures transitoires pragmatiques : retirez l’appareil du chemin Internet direct et placez-le derrière un équipement UTM/pare-feu correctement patché. Isolez l’interface de gestion sur un VLAN de gestion séparé et non routé. Imposez l’accès distant à l’appareil via VPN plutôt qu’en accès direct. Ces mesures réduisent significativement la surface d’attaque, mais ne remplacent pas, à long terme, le renouvellement de l’équipement.

Combien d’entrées KEV la CISA a-t-elle publiées jusqu’à présent en 2026 ?

À fin avril 2026, la CISA a publié plus de 80 nouvelles entrées KEV en 2026. Le rythme est légèrement supérieur à celui de la même période en 2025. Le lot actuel d’avril figure parmi les ajouts individuels les plus importants de cette année. Le site web de la CISA (cisa.gov/known-exploited-vulnerabilities-catalog) répertorie toutes les entrées avec leur date d’ajout et la date limite de correction.

Source image principale : Pexels / Pavel Danilyuk (px:7658364)

Imprimer l'article
Benedikt Langer

À propos de l'auteur: Benedikt Langer

Plus d'articles de

Aussi disponible en

Un magazine de Evernine Media GmbH