{"id":13935,"date":"2026-05-03T12:45:52","date_gmt":"2026-05-03T12:45:52","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/05\/03\/cisa-kev-april-2026-samsung-magicinfo-simplehelp-und-d-link\/"},"modified":"2026-05-24T16:59:54","modified_gmt":"2026-05-24T16:59:54","slug":"cisa-kev-avril-2026-samsung-magicinfo-simplehelp-et-d-link-exploites-activement","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/fr\/2026\/05\/03\/cisa-kev-avril-2026-samsung-magicinfo-simplehelp-et-d-link-exploites-activement\/","title":{"rendered":"CISA KEV avril 2026 : Samsung MagicINFO, SimpleHelp et D-Link exploit\u00e9s activement"},"content":{"rendered":"<p style=\"color:#69d8ed;font-size:0.9em;margin:0 0 16px;padding:0;\">6 Min. de lecture<\/p>\n<p><strong>La CISA a ajout\u00e9 huit nouvelles entr\u00e9es \u00e0 son Catalogue des Vuln\u00e9rabilit\u00e9s Connues Exploit\u00e9es au cours d\u2019une semaine, fin avril 2026. Trois syst\u00e8mes se distinguent : le serveur Samsung MagicINFO 9, SimpleHelp Remote Support et les mod\u00e8les de routeurs D-Link. Dans chacun de ces cas, une exploitation active a \u00e9t\u00e9 document\u00e9e par des botnets ou des groupes de ransomware. Pour les \u00e9quipes IT de la r\u00e9gion DACH, la date limite pour les correctifs arrive le 8 mai 2026.<\/strong><\/p>\n<div style=\"background:#003340;color:#fff;padding:32px 36px;margin:32px 0;border-radius:8px;\">\n<p style=\"margin:0 0 18px 0;font-size:0.95em;font-weight:800;text-transform:uppercase;letter-spacing:0.2em;color:#69d8ed;border-bottom:2px solid rgba(105,216,237,0.25);padding-bottom:12px;\">Les points cl\u00e9s en bref<\/p>\n<ul style=\"margin:0;padding-left:22px;color:rgba(255,255,255,0.92);line-height:1.6;\">\n<li style=\"margin-bottom:12px;color:rgba(255,255,255,0.92);\"><strong style=\"color:#69d8ed;\">8 nouveaux CVE, 3 syst\u00e8mes critiques.<\/strong> Fin avril 2026, la CISA a d\u00e9pos\u00e9 l\u2019un des lots de CVE les plus fournis depuis le premier trimestre. Samsung MagicINFO, SimpleHelp et les routeurs D-Link ont confirm\u00e9 une exploitation active dans le monde r\u00e9el.<\/li>\n<li style=\"margin-bottom:12px;color:rgba(255,255,255,0.92);\"><strong style=\"color:#69d8ed;\">Botnet et ransomware directement impliqu\u00e9s.<\/strong> Pour Samsung MagicINFO, l\u2019utilisation de variantes Mirai pour le recrutement de DDoS a \u00e9t\u00e9 d\u00e9montr\u00e9e. Les vuln\u00e9rabilit\u00e9s de SimpleHelp ont \u00e9t\u00e9 exploit\u00e9es pour le staging de ransomwares.<\/li>\n<li style=\"margin-bottom:12px;color:rgba(255,255,255,0.92);\"><strong style=\"color:#69d8ed;\">Date limite des correctifs : 8 mai 2026.<\/strong> La CISA impose aux agences f\u00e9d\u00e9rales am\u00e9ricaines une deadline fixe jusqu\u2019au 8 mai. Les entreprises de la r\u00e9gion DACH soumises \u00e0 la norme NIS2 devraient utiliser cette m\u00eame date comme r\u00e9f\u00e9rence.<\/li>\n<li style=\"color:rgba(255,255,255,0.92);\"><strong style=\"color:#69d8ed;\">Appareils EOL dans le champ d\u2019application.<\/strong> Plusieurs mod\u00e8les de routeurs D-Link inclus dans ce lot de CVE ne recevront plus de correctifs. Mesure imm\u00e9diate : prioriser la segmentation du r\u00e9seau et l\u2019approvisionnement en \u00e9quipements de remplacement.<\/li>\n<\/ul>\n<\/div>\n<p><strong>Qu\u2019est-ce que le Catalogue des CVE de la CISA ?<\/strong> Le Catalogue des Vuln\u00e9rabilit\u00e9s Connues Exploit\u00e9es de la CISA est une liste de CVE g\u00e9r\u00e9e par l\u2019Agence am\u00e9ricaine pour la cybers\u00e9curit\u00e9 et la s\u00e9curit\u00e9 des infrastructures, qui pr\u00e9sente des exemples d\u2019exploitation active dans des attaques r\u00e9elles. Ce catalogue sert de liste obligatoire de correctifs pour les agences f\u00e9d\u00e9rales am\u00e9ricaines et constitue un outil de priorisation de facto pour les \u00e9quipes de s\u00e9curit\u00e9 \u00e0 travers le monde.<\/p>\n<p style=\"font-size:0.88em;color:#666;margin:20px 0 32px 0;border-top:1px solid #e5e5e5;border-bottom:1px solid #e5e5e5;padding:10px 0;\">En lien : <a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/05\/03\/fortinet-cve-2026-35616-forticlient-ems-kritische-luecken\/\">Fortinet CVE-2026-35616 : deux vuln\u00e9rabilit\u00e9s critiques dans FortiClient EMS<\/a><\/p>\n<h2 style=\"margin-top:48px;margin-bottom:20px;\">Samsung MagicINFO : le passage de chemin devient un acc\u00e8s vers les botnets<\/h2>\n<p>Samsung MagicINFO 9 Server est une plateforme de gestion de l\u2019affichage num\u00e9rique utilis\u00e9e dans des h\u00f4tels, des h\u00f4pitaux, des centres commerciaux et dans les halls d\u2019entreprise \u00e0 travers le monde. Le CVE-2024-7399 est une vuln\u00e9rabilit\u00e9 de passage de chemin avec un score CVSS de 8,8, qui permet \u00e0 des utilisateurs authentifi\u00e9s d\u2019\u00e9crire n\u2019importe quel fichier sur le serveur \u2013 y compris des composants web-shell ex\u00e9cutables.<\/p>\n<p>Ce qui distingue l\u2019entr\u00e9e de la CISA fin avril 2026 par rapport aux pr\u00e9c\u00e9dentes alertes : la Shadowserver Foundation et d\u2019autres op\u00e9rateurs de honeypot ont document\u00e9 un trafic de scan actif ainsi que des exploits r\u00e9ussis gr\u00e2ce \u00e0 des variantes de botnets bas\u00e9es sur Mirai. Les attaquants utilisent principalement les serveurs MagicINFO pour g\u00e9n\u00e9rer de la capacit\u00e9 DDoS, secondairement comme point de pivoting vers d\u2019autres segments de r\u00e9seau voisins.<\/p>\n<p>Pour les \u00e9quipes IT de la r\u00e9gion DACH : Samsung a d\u00e9j\u00e0 fourni des correctifs pour toutes les versions concern\u00e9es de MagicINFO 9. La question cruciale est de savoir si les serveurs MagicINFO sont accessibles directement depuis Internet dans le r\u00e9seau propre. Dans de nombreuses installations, c\u2019est le cas \u2013 la plateforme g\u00e8re les \u00e9crans via HTTP\/HTTPS et est souvent d\u00e9ploy\u00e9e sans protection VPN.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:20px;\">SimpleHelp : un contournement d\u2019authentification ouvre la voie aux ran\u00e7ongiciels<\/h2>\n<p>SimpleHelp est une solution de support \u00e0 distance, largement utilis\u00e9e dans le segment des PME et chez les prestataires de services g\u00e9r\u00e9s comme une alternative moins co\u00fbteuse \u00e0 TeamViewer ou AnyDesk. Trois vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 signal\u00e9es et exploit\u00e9es d\u00e9but 2025 : CVE-2024-57727 (traversal de chemin avant l\u2019authentification), CVE-2024-57728 (t\u00e9l\u00e9versement arbitraire de fichiers) et CVE-2024-57729 (escalade de privil\u00e8ges pour les comptes techniques).<\/p>\n<p>La combinaison de ces trois CVE est particuli\u00e8rement probl\u00e9matique : un attaquant peut, gr\u00e2ce \u00e0 CVE-2024-57727, acc\u00e9der aux fichiers de configuration, en extraire les identifiants d\u2019acc\u00e8s, puis, via CVE-2024-57729, s\u2019escaler jusqu\u2019\u00e0 un compte administrateur. Des \u00e9quipes CIRT de plusieurs agences am\u00e9ricaines ont document\u00e9 cette cha\u00eene d\u2019attaque lors d\u2019interventions actives de r\u00e9ponse aux incidents en avril 2026 \u2013 l\u2019exploitation a \u00e9t\u00e9 identifi\u00e9e comme une \u00e9tape pr\u00e9paratoire au d\u00e9ploiement de ran\u00e7ongiciels.<\/p>\n<p>Le risque sp\u00e9cifique pour les MSP : si les serveurs SimpleHelp servent de point central d\u2019acc\u00e8s \u00e0 distance aux syst\u00e8mes clients, un attaquant ayant r\u00e9ussi \u00e0 compromettre ces serveurs pourrait potentiellement obtenir l\u2019acc\u00e8s \u00e0 tous les postes distants g\u00e9r\u00e9s. L\u2019inscription de ces vuln\u00e9rabilit\u00e9s dans la base de donn\u00e9es CISA renforce la pression pour identifier imm\u00e9diatement les installations non patch\u00e9es de SimpleHelp.<\/p>\n<div style=\"background:#f9f9f9;border-radius:8px;padding:24px 28px;margin:28px 0;\">\n<p style=\"margin:0 0 14px 0;font-size:0.8em;font-weight:700;text-transform:uppercase;letter-spacing:0.15em;color:#69d8ed;\">Chiffres et faits : KEV CISA avril 2026<\/p>\n<div style=\"display:flex;flex-wrap:wrap;gap:20px;\">\n<div style=\"flex:1;min-width:130px;text-align:center;\">\n<p style=\"font-size:2em;font-weight:800;color:#003340;margin:0;\">8<\/p>\n<p style=\"color:#666;font-size:0.82em;margin:4px 0 0 0;\">nouveaux entr\u00e9es KEV durant la derni\u00e8re semaine d\u2019avril 2026<\/p>\n<\/div>\n<div style=\"flex:1;min-width:130px;text-align:center;\">\n<p style=\"font-size:2em;font-weight:800;color:#003340;margin:0;\">3<\/p>\n<p style=\"color:#666;font-size:0.82em;margin:4px 0 0 0;\">vuln\u00e9rabilit\u00e9s SimpleHelp combinables dans une m\u00eame cha\u00eene d\u2019attaque<\/p>\n<\/div>\n<div style=\"flex:1;min-width:130px;text-align:center;\">\n<p style=\"font-size:2em;font-weight:800;color:#003340;margin:0;\">08.05.<\/p>\n<p style=\"color:#666;font-size:0.82em;margin:4px 0 0 0;\">date limite de patch pour les agences f\u00e9d\u00e9rales am\u00e9ricaines (CISA BOD 22-01)<\/p>\n<\/div>\n<\/div>\n<h2 style=\"margin-top:48px;margin-bottom:20px;\">Appareils D-Link en fin de vie : pas de patch, agir imm\u00e9diatement<\/h2>\n<p>Plusieurs mod\u00e8les D-Link de la s\u00e9rie d\u2019avril rel\u00e8vent de la cat\u00e9gorie \u00ab fin de vie \u00bb. D-Link a explicitement annonc\u00e9 qu\u2019il ne fournira plus de mises \u00e0 jour de s\u00e9curit\u00e9 pour ces appareils. L\u2019inscription de ces vuln\u00e9rabilit\u00e9s dans la base de donn\u00e9es CISA n\u2019y change rien \u2013 la seule solution s\u00fbre consiste \u00e0 mettre hors service ces \u00e9quipements ou \u00e0 les isoler strictement sur des segments de r\u00e9seau distincts.<\/p>\n<p>Dans les r\u00e9seaux DACH, les \u00e9quipements D-Link apparaissent fr\u00e9quemment comme des composants de p\u00e9rim\u00e8tre bon march\u00e9, maintenus en service sans modification depuis des ann\u00e9es. Ce sch\u00e9ma est bien connu des pr\u00e9c\u00e9dents cas de r\u00e9ponse aux incidents : un routeur obsol\u00e8te sur le r\u00e9seau ext\u00e9rieur utilis\u00e9 comme point d\u2019acc\u00e8s initial, d\u2019o\u00f9 les attaquants se propagent vers le r\u00e9seau interne. L\u2019article 21 de la directive NIS2 oblige les entreprises DACH \u00e0 g\u00e9rer les risques li\u00e9s aux composants du r\u00e9seau \u2013 et les \u00e9quipements en fin de vie dont l\u2019exploitation active est av\u00e9r\u00e9e sont express\u00e9ment vis\u00e9s par cette obligation.<\/p>\n<h2 style=\"margin-top:48px;margin-bottom:20px;\">Matrice de priorisation pour les \u00e9quipes IT DACH jusqu\u2019au 8 mai<\/h2>\n<div style=\"display:grid;grid-template-columns:1fr 1fr;gap:20px;margin:28px 0;\">\n<div style=\"background:#fff3cd;border-radius:8px;padding:20px 24px;\">\n<p style=\"font-size:0.75em;font-weight:700;text-transform:uppercase;letter-spacing:0.12em;color:#856404;margin:0 0 12px 0;\">Patcher imm\u00e9diatement (critique)<\/p>\n<ul style=\"margin:0;padding-left:20px;line-height:1.9;color:#333;\">\n<li>Serveur Samsung MagicINFO 9 \u2013 toutes les versions ant\u00e9rieures au correctif<\/li>\n<li>Serveur SimpleHelp \u2013 toutes les versions ant\u00e9rieures \u00e0 5.3.9 \/ 5.4.10<\/li>\n<li>Tous les appareils D-Link avec des CVE connues issues de la s\u00e9rie KEV<\/li>\n<li>V\u00e9rifier les appareils expos\u00e9s : directement connect\u00e9s \u00e0 Internet ?<\/li>\n<\/ul>\n<\/div>\n<div style=\"background:#d4edda;border-radius:8px;padding:20px 24px;\">\n<p style=\"font-size:0.75em;font-weight:700;text-transform:uppercase;letter-spacing:0.12em;color:#155724;margin:0 0 12px 0;\">Mesures imm\u00e9diates sans patch<\/p>\n<ul style=\"margin:0;padding-left:20px;line-height:1.9;color:#333;\">\n<li>D-Link en fin de vie : segmentation du r\u00e9seau, pas d\u2019acc\u00e8s direct \u00e0 Internet<\/li>\n<li>SimpleHelp : v\u00e9rifier les logs pour d\u00e9tecter toute activit\u00e9 de staging (derniers 30 jours)<\/li>\n<li>MagicINFO : scanner les r\u00e9pertoires du serveur \u00e0 la recherche de web shells<\/li>\n<li>Prestataires de services g\u00e9r\u00e9s : contr\u00f4ler toutes les infrastructures clientes pour v\u00e9rifier la version de SimpleHelp<\/li>\n<\/ul>\n<\/div>\n<\/div>\n<p><em style=\"font-size:0.85em;color:#555;\">Source des faits : catalogue des vuln\u00e9rabilit\u00e9s connues et exploit\u00e9es de CISA, Shadowserver Foundation avril 2026, base de donn\u00e9es CVE du NVD.<\/em><\/p>\n<h2 style=\"padding-top:64px;margin-bottom:20px;\">Questions fr\u00e9quentes<\/h2>\n<div class=\"evm-styled-box\" style=\"background:#f9f9f9;border-radius:8px;padding:20px 24px;margin:28px 0;\">\n<h3 style=\"font-size:1em;margin:12px 0 4px 0;\">La date limite de correctifs de la CISA s\u2019applique-t-elle \u00e9galement aux entreprises de la r\u00e9gion DACH ?<\/h3>\n<p style=\"line-height:1.7;margin:0 0 16px 0;\">La directive op\u00e9rationnelle contraignante 22-01 de la CISA n\u2019est formellement obligatoire que pour les agences f\u00e9d\u00e9rales am\u00e9ricaines. Elle n\u2019a pas d\u2019effet juridique direct pour les entreprises de la r\u00e9gion DACH. Dans les faits, cependant, les obligations li\u00e9es \u00e0 la NIS2 (\u00a7 21 NIS2UmsuCG) et les exigences du BSI-IT-Grundschutz suivent une logique comparable : les vuln\u00e9rabilit\u00e9s connues et exploit\u00e9es doivent \u00eatre corrig\u00e9es \u00e0 un rythme proportionn\u00e9 au risque. La date limite fix\u00e9e par la CISA peut servir de r\u00e9f\u00e9rence \u00e9prouv\u00e9e, notamment lorsque vos propres politiques ne pr\u00e9voient pas de d\u00e9lais sp\u00e9cifiques.<\/p>\n<h3 style=\"font-size:1em;margin:12px 0 4px 0;\">Comment v\u00e9rifier si SimpleHelp est concern\u00e9 dans notre environnement ?<\/h3>\n<p style=\"line-height:1.7;margin:0 0 16px 0;\">Deux axes de v\u00e9rification : premi\u00e8rement, confirmez la version \u2013 les CVE critiques affectent SimpleHelp avant la version 5.3.9 (pour la branche 5.3.x) et avant la 5.4.10 (pour la branche 5.4.x). Deuxi\u00e8mement, examinez les journaux \u2013 des activit\u00e9s suspectes li\u00e9es \u00e0 la CVE-2024-57727 se manifestent par des requ\u00eates HTTP inhabituelles sur le chemin \/interface\/interface.html, avec des motifs de traversal de r\u00e9pertoire tels que ..\/..\/. Une alerte SIEM bas\u00e9e sur ces motifs pour les derniers 30 jours constitue un contr\u00f4le rapide pertinent.<\/p>\n<h3 style=\"font-size:1em;margin:12px 0 4px 0;\">Que faire si l\u2019appareil D-Link concern\u00e9 ne peut pas \u00eatre remplac\u00e9 ?<\/h3>\n<p style=\"line-height:1.7;margin:0 0 16px 0;\">Mesures transitoires pragmatiques : retirez l\u2019appareil du chemin Internet direct et placez-le derri\u00e8re un \u00e9quipement UTM\/pare-feu correctement patch\u00e9. Isolez l\u2019interface de gestion sur un VLAN de gestion s\u00e9par\u00e9 et non rout\u00e9. Imposez l\u2019acc\u00e8s distant \u00e0 l\u2019appareil via VPN plut\u00f4t qu\u2019en acc\u00e8s direct. Ces mesures r\u00e9duisent significativement la surface d\u2019attaque, mais ne remplacent pas, \u00e0 long terme, le renouvellement de l\u2019\u00e9quipement.<\/p>\n<h3 style=\"font-size:1em;margin:12px 0 4px 0;\">Combien d\u2019entr\u00e9es KEV la CISA a-t-elle publi\u00e9es jusqu\u2019\u00e0 pr\u00e9sent en 2026 ?<\/h3>\n<p style=\"line-height:1.7;margin:0 0 16px 0;\">\u00c0 fin avril 2026, la CISA a publi\u00e9 plus de 80 nouvelles entr\u00e9es KEV en 2026. Le rythme est l\u00e9g\u00e8rement sup\u00e9rieur \u00e0 celui de la m\u00eame p\u00e9riode en 2025. Le lot actuel d\u2019avril figure parmi les ajouts individuels les plus importants de cette ann\u00e9e. Le site web de la CISA (cisa.gov\/known-exploited-vulnerabilities-catalog) r\u00e9pertorie toutes les entr\u00e9es avec leur date d\u2019ajout et la date limite de correction.<\/p>\n<\/div>\n<p style=\"text-align:right;font-style:italic;color:#666;font-size:0.85em;\"><em>Source image principale : Pexels \/ Pavel Danilyuk (px:7658364)<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"6 Min. de lecture La CISA a ajout\u00e9 huit nouvelles entr\u00e9es \u00e0 son Catalogue des Vuln\u00e9rabilit\u00e9s Connues Exploit\u00e9es au cours d\u2019une semaine, fin avril 2026. Trois syst\u00e8mes se distinguent : le serveur Samsung MagicINFO 9, SimpleHelp Remote Support et les mod\u00e8les de routeurs D-Link. Dans chacun de ces cas, une exploitation active a \u00e9t\u00e9 document\u00e9e [&hellip;]","protected":false},"author":50,"featured_media":13925,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"Botnets failles MagicINFO Samsung","_yoast_wpseo_title":"CISA KEV avril 2026 : Samsung MagicINFO, SimpleHelp et D-Link exploit\u00e9s activeme","_yoast_wpseo_metadesc":"CISA KEV avril 2026 : Huit nouvelles entr\u00e9es, trois syst\u00e8mes critiques. Samsung MagicINFO, SimpleHelp et D-Link actuellement exploit\u00e9s.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/05\/cisa-kev-april-2026-samsung-magicinfo-simplehelp-und-d-link-unter-aktiver-ausnutzung-cover-hero.jpg","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"https:\/\/www.securitytoday.de\/wp-content\/uploads\/2026\/05\/cisa-kev-april-2026-samsung-magicinfo-simplehelp-und-d-link-unter-aktiver-ausnutzung-cover-hero.jpg","_yoast_wpseo_twitter-image-id":0,"_wp_old_slug":["cisa-kev-april-2026-samsung-magicinfo-simplehelp-und-d-link"],"footnotes":""},"categories":[252,3],"tags":[],"class_list":["post-13935","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualites","category-aktuelles"],"wpml_language":"fr","wpml_translation_of":13921,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/13935","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/50"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=13935"}],"version-history":[{"count":1,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/13935\/revisions"}],"predecessor-version":[{"id":14420,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/13935\/revisions\/14420"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/13925"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=13935"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=13935"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=13935"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}