SolarWinds corrige quatre failles critiques dans Serv-U, permettant un accès root aux serveurs

SolarWinds, éditeur américain de logiciels basé à Austin (Texas), a publié la version 15.5.4 de son serveur de transfert de fichiers géré Serv-U pour Windows et Linux. Ce correctif comble quatre vulnérabilités critiques d’exécution de code à distance (RCE), notées 9,1 sur l’échelle CVSS. Ces failles pourraient permettre à des attaquants d’exécuter du code arbitraire et d’obtenir un accès administrateur ou root sur les serveurs non patchés, bien qu’elles requièrent toutes des privilèges élevés pour être exploitées. La plus grave, CVE-2025-40538, résulte d’un contrôle d’accès défaillant qui autorise la création d’un utilisateur administrateur système et l’exécution de code avec des privilèges de domaine ou de groupe. Les CVE-2025-40539 et CVE-2025-40540 exploitent des erreurs de confusion de type, trompant les programmes pour qu’ils exécutent du code malveillant avec des droits root. La quatrième, CVE-2025-40541, est une référence directe à un objet non sécurisée (IDOR) menant au même résultat. Serv-U, largement utilisé pour les échanges sécurisés de fichiers via FTPS, SFTP et HTTP/S, expose ainsi les entreprises à un risque de compromission totale de leurs systèmes. Ces correctifs s’inscrivent dans une série de vulnérabilités graves chez SolarWinds, après l’attaque par la chaîne d’approvisionnement Orion en 2020 qui a affecté des milliers d’organisations. Selon Shodan, plus de 12 000 serveurs Serv-U sont visibles sur Internet. « Quand on parle de RCE pré-authentification avec accès root potentiel, on évoque une compromission totale du système », a déclaré Ensar Seker, CISO de SOCRadar. SolarWinds n’a relevé aucune exploitation à ce jour et surveille activement la situation. Les entreprises doivent appliquer les patchs immédiatement, segmenter leurs réseaux et adopter une approche zero trust pour les contrôles d’accès, afin de limiter les risques dans un paysage de menaces en évolution constante.