L’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté vendredi quatre vulnérabilités affectant SimpleHelp, Samsung MagicINFO 9 Server et les routeurs de la série D-Link DIR-823X à son catalogue des vulnérabilités exploitées connues ( KEV ), citant des preuves d’exploitation active.

La liste des vulnérabilités est ci-dessous –

• CVE-2024-57726 (score CVSS : 9,9) – Une vulnérabilité d’autorisation manquante dans SimpleHelp qui pourrait permettre à des techniciens peu privilégiés de créer des clés API avec des permissions excessives, qui peuvent ensuite être utilisées pour élever les privilèges au rôle d’administrateur du serveur.
• CVE-2024-57728 (score CVSS : 7,2) – Une vulnérabilité de traversée de chemin dans SimpleHelp qui permet aux utilisateurs administrateurs de télécharger des fichiers arbitraires n’importe où sur le système de fichiers en téléchargeant un fichier zip spécialement conçu (c’est-à-dire un zip slip), qui peut être exploité pour exécuter du code arbitraire sur l’hôte dans le contexte de l’utilisateur du serveur SimpleHelp.
• CVE-2024-7399 (score CVSS : 8,8) – Une vulnérabilité de traversée de chemin dans Samsung MagicINFO 9 Server qui pourrait permettre à un attaquant d’écrire des fichiers arbitraires en tant qu’autorité système.
• CVE-2025-29635 (score CVSS : 7,5) – Une vulnérabilité d’injection de commandes dans les routeurs D-Link série DIR-823X en fin de vie qui permet à un attaquant autorisé d’exécuter des commandes arbitraires sur des périphériques distants en envoyant une requête POST à ​​/goform/set_prohibiting via la fonction correspondante.

Bien que les deux failles de SimpleHelp aient été classées comme « Inconnues » par rapport à l’indicateur « Connues pour être utilisées dans des campagnes de ransomware » du catalogue KEV, des rapports de Field Effect et Sophos ont révélé au début de l’année dernière que ces problèmes étaient exploités comme prélude à des attaques de ransomware. L’une de ces campagnes a été attribuée à l’opération de ransomware DragonForce.

L’exploitation de la vulnérabilité CVE-2024-7399 a été liée par le passé à des activités malveillantes déployant le botnet Mirai. Concernant la vulnérabilité CVE-2025-29635, Akamai a révélé en début de semaine avoir enregistré des tentatives d’infection de périphériques D-Link par une variante du botnet Mirai nommée « tuxnokill ».

Pour atténuer les menaces actives, il est recommandé aux agences du pouvoir exécutif civil fédéral (FCEB) d’appliquer les correctifs ou, dans le cas de CVE-2025-29635, de cesser d’utiliser l’appliance d’ici le 8 mai 2026.