CVE-2025-37164 et CVE-2009-0556 : Analyse des nouvelles vulnérabilités critiques ajoutées au catalogue CISA KEV
Séraphine Clairlune
Une faille de sécurité sur PowerPoint âgée de 16 ans et une nouvelle vulnérabilité de sévérité maximale chez HPE viennent d’être ajoutées au catalogue des vulnérabilités exploitées connues (KEV) de l’agence américaine CISA. Ces ajouts, effectués début 2026, marquent le début d’une nouvelle année de suivi des menaces critiques.
Ces deux failles, bien que de nature et d’époques différentes, illustrent la persistance des vulnérabilités d’exécution de code à distance (RCE) qui menacent les infrastructures informatiques, notamment face aux risques silencieux qui mine la sécurité. La première, référencée CVE-2025-37164, affecte la suite de gestion d’infrastructure HPE OneView. La seconde, CVE-2009-0556, concerne une version obsolète de Microsoft PowerPoint, rappelant que des logiciels vieillissants restent des vecteurs d’attaque privilégiés.
Comprendre la vulnérabilité critique HPE OneView (CVE-2025-37164)
La vulnérabilité la plus préoccupante du point de vue de l’actualité immédiate est sans conteste celle affectant HPE. Notée 10.0/10 sur l’échelle CVSS, il s’agit d’une faille d’injection de code (Code Injection) dans le logiciel HPE OneView.
Nature de la faille et risques
HPE confirme que CVE-2025-37164 permet à un utilisateur distant non authentifié d’effectuer une exécution de code à distance (RCE). Dans les faits, cela signifie qu’un attaquant n’ayant aucun accès légitime à l’infrastructure peut potentiellement prendre le contrôle total du serveur de gestion.
Cette vulnérabilité a été découverte et signalée par Nguyen Quoc Khanh. Suite à la publication d’un Proof of Concept (PoC) par l’éditeur de sécurité Rapid7 le 19 décembre 2025, l’ajout au catalogue KEV de la CISA est intervenu rapidement.
Confusion sur les versions affectées
Il existe une légère ambiguïté dans les advisories officiels concernant l’étendue des versions vulnérables :
- Position du constructeur : HPE indique que toutes les versions de OneView de la 5.20 à la 10.20 sont concernées.
- Analyse technique (Rapid7) : Les chercheurs suggèrent que seule la version “HPE OneView for VMs” 6.x est vulnérable, tandis que toutes les versions non patchées de “HPE OneView for HPE Synergy” le seraient.
Cette divergence souligne l’importance pour les administrateurs système de vérifier attentivement leur environnement spécifique.
Mesures de mitigation et correctifs
HPE a publié un correctif de sécurité (hotfix) pour pallier cette faille. Il est impératif de l’appliquer si vous utilisez une version concernée. Notez qu’après une mise à jour majeure de l’appliance (par exemple, passage de la version 6.60.xx à la 7.00.00), le correctif doit être réappliqué.
Par ailleurs, la communauté de sécurité a rapidement réagi : un module Metasploit a été intégré, facilitant les tests d’intrusion légitimes mais augmentant aussi la facilité pour les attaquants de weaponiser cette faille.
L’insécurité persistante de Microsoft PowerPoint (CVE-2009-0556)
Si la faille HPE est une menace de 2025, le second ajout au catalogue CISA est un retour vers le passé. Le CVE-2009-0556 est une faille d’injection de code de sévérité 9.3 affectant Microsoft Office PowerPoint 2000, 2002, 2003 et 2004 pour Mac.
Un mécanisme d’attaque par corruption mémoire
Cette vulnérabilité réside dans le traitement des fichiers PowerPoint malformés. Plus précisément, elle touche l’atome OutlineTextRefAtom. Si ce conteneur de texte contient un index invalide, PowerPoint tente de lire une zone mémoire incorrecte, provoquant une corruption mémoire.
L’agence CISA note que cette faille a été exploitée dans la nature dès avril 2009 via le malware Exploit:Win32/Apptom.gen. Microsoft, dans son bulletin de sécurité de mai 2009, décrivait le risque comme une prise de contrôle totale de la machine victime.
Pourquoi cette faille réapparaît-elle en 2026 ?
L’ajout d’une vulnérabilité aussi ancienne peut surprendre. Pourtant, la CISA le fait régulièrement (elle a ajouté une faille Excel de 2007 en 2025). Cela sert deux objectifs :
- Mémoire institutionnelle : Garder une trace des failles historiques qui peuvent resurgir dans des environnements non patchés.
- Menace sur les systèmes hérités : De nombreuses entreprises industrielles ou administratives utilisent encore des logiciels bureautiques vieillissants pour des raisons de compatibilité logicielle.
La faille reste actuelle pour quiconque n’a pas migré vers des versions modernes de la suite Office.
Contexte du catalogue CISA KEV : une année 2026 chargée
Ces deux vulnérabilités sont les premières à être inscrites dans le catalogue KEV en 2026. Elles font suite à l’ajout de 245 vulnérabilités en 2025.
La logique du catalogue KEV
Le catalogue Known Exploited Vulnerabilities n’est pas une liste exhaustive de toutes les failles. Il s’agit d’une priorisation. La CISA y inclut les vulnérabilités pour lesquelles il existe des preuves d’exploitation active dans la nature.
Le fait qu’une faille de 2009 y figure prouve que la date de découverte n’efface pas le danger. L’ancienneté record du catalogue reste la CVE-2002-0367, une faille d’élévation de privilèges dans Windows NT/2000 encore utilisée par les acteurs de menaces.
Analyse comparative des menaces
Pour mieux saisir l’ampleur de ces ajouts, voici une comparaison technique des deux vulnérabilités :
| Critère | CVE-2025-37164 (HPE) | CVE-2009-0556 (PowerPoint) |
|---|---|---|
| Sévérité (CVSS) | 10.0 (Critique) | 9.3 (Élevée) |
| Type de vulnérabilité | Injection de Code (RCE) | Corruption Mémoire (RCE) |
| Vecteur d’attaque | Réseau, non authentifié | Fichier malveillant |
| Cible | Infrastructure HPE OneView | Microsoft Office (versions obsolètes) |
| Statut correctif | Correctif disponible (Hotfix) | Correctif historique (MS09-017) |
| Preuve d’exploitation | PoC Rapid7 + Module Metasploit | Exploitation sauvage depuis 2009 |
Étapes de sécurité et recommandations pour les DSI
Face à ces nouvelles menaces, les responsables de la sécurité des systèmes d’information (RSSI) et administrateurs doivent agir immédiatement.
1. Audit des infrastructures HPE
Il est crucial d’identifier si votre parc géré par HPE OneView est vulnérable. Compte tenu de la confusion sur les versions, l’approche la plus sûre est de :
- Lister toutes les instances HPE OneView.
- Vérifier leur version exacte.
- Appliquer le hotfix disponible sur le site de support HPE si la version est inférieure ou égale à 10.20.
- Surveiller les logs d’accès pour détecter toute tentative d’exploitation anormine.
2. Gestion du parc bureautique et des logiciels obsolètes
Le cas de la faille PowerPoint souligne le danger des logiciels “Legacy” (hérités). Si votre environnement héberge encore des machines avec Office 2000/2003/2004 :
- Isoler : Ces machines ne doivent jamais être connectées à Internet.
- Migrer : Planifier une migration immédiate vers des versions supportées (Office 365 ou Office 2021).
- Sensibiliser : Former les utilisateurs à ne jamais ouvrir de fichiers PowerPoint provenant de sources inconnues, même si le logiciel est à jour.
3. Intégration des sources de renseignement
Pour rester proactif, les équipes de cybersécurité doivent s’abonner aux alertes de la CISA et des éditeurs (HPE Security Bulletin). La mise en place d’outils de gestion des vulnérabilités (Vulnerability Management) automatisés permet de scanner le parc et de corréler les versions installées avec les CVE connues.
Note de l’expert : “L’ajout d’une faille de 2009 au catalogue KEV en 2026 n’est pas un simple rappel historique. C’est un signal clair que les attaquants scannent encore les environnements pour y trouver des failles ‘oubliées’. La sécurité ne se limite pas aux correctifs du mois dernier, elle englobe la gestion du cycle de vie complet des logiciels.”
4. Priorisation des correctifs
La CISA impose généralement un délai de 21 jours pour corriger les vulnérabilités du catalogue KEV au sein des agences fédérales. Le secteur privé suit souvent ce rythme. Pour CVE-2025-37164, la criticité (10.0) impose une action en urgence (< 48h si possible).
Conclusion
L’ajout simultané de CVE-2025-37164 et CVE-2009-0556 au catalogue CISA KEV démontre la dualité de la menace cybersecurity en 2026. D’un côté, une vulnérabilité moderne et extrêmement critique sur une infrastructure de gestion clé (HPE). De l’autre, le spectre des failles anciennes qui hantent les environnements mal modernisés.
Pour les entreprises françaises, la leçon est double : la vigilance doit porter sur la sécurisation des outils de gestion d’infrastructure cloud/on-premise et sur l’assainissement total du parc bureautique. L’inaction sur ces deux fronts offre une porte d’entrée directe aux acteurs de menaces.
Action recommandée : Vérifiez dès aujourd’hui la version de votre HPE OneView et auditez vos postes de travail pour éliminer toute version de Microsoft Office antérieure à 2007.