L'agence française de cybersécurité, l'ANSSI, tire la sonnette d'alarme concernant seize vulnérabilités qui affectent la plateforme Tenable Security Center. Elles pourraient permettre à des attaquants de prendre le contrôle de systèmes entiers.
L'ANSSI a publié, jeudi 17 avril 2025, un avis de sécurité préoccupant via le CERT-FR. Dans son bulletin référencé CERTFR-2025-AVI-0328, l'organisme alerte sur seize vulnérabilités découvertes dans Tenable Security Center, un outil de gestion des vulnérabilités utilisé par de nombreuses organisations pour justement surveiller leur sécurité informatique. Trois composants tiers de ce logiciel, à savoir OpenSSL, libcurl et PHP, présentent des failles potentiellement exploitables par des cybercriminels.
Un cocktail explosif de vulnérabilités Tenable pour les entreprises
La plus critique de ces vulnérabilités, identifiée sous la référence CVE-2025-0665, affiche un score CVSS alarmant de 9,8 sur 10. Ce score, proche du maximum, indique un danger imminent pour les systèmes non corrigés. Dans le détail, cette faille particulière concerne le composant open source libcurl. Elle pourrait provoquer une double fermeture d'eventfd (un outil Linux qui permet à des programmes de se dire « il s’est passé quelque chose »), entraînant une corruption de la mémoire et potentiellement une exécution de code arbitraire.
Parmi les autres vulnérabilités, on trouve également des problèmes de débordement de tampon (buffer overflow) dans PHP et libcurl, des fuites d'informations d'authentification et des contournements de mécanismes de sécurité TLS. Ces faiblesses, combinées, peuvent créer un véritable arsenal pour les attaquants qui pourraient s'en servir pour compromettre des systèmes entiers.
Les versions concernées de la plateforme Tenable Security Center sont les 6.3.0, 6.4.0, 6.4.5 et 6.5.1. Si votre organisation utilise l'une de ces versions sans le correctif de sécurité récemment publié, vos systèmes pourraient être vulnérables à diverses attaques. L'ANSSI indique clairement que ces vulnérabilités permettent « à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données. »
16 avril 2025 à 18h21
Comment protéger vos systèmes face à cette menace imminente
La bonne nouvelle, c'est que Tenable a déjà publié un correctif sous forme de patch autonome, référencé SC-202504.2. Celui-ci met à jour les trois composants problématiques vers des versions sécurisées. Dans le détail, OpenSSL passe à la version 3.0.16, libcurl à la version 8.12.1 et PHP à la version 8.2.28. Ces mises à jour éliminent l'ensemble des vulnérabilités identifiées.
Si vous êtes responsable informatique ou en charge de la sécurité de votre organisation, l'ANSSI et Tenable recommandent d'appliquer ce correctif sans délai. Le patch peut être téléchargé depuis le portail officiel de Tenable. En matière de cybersécurité, chaque jour sans mise à jour représente une fenêtre d'opportunité pour les attaquants potentiels, ne l'oublions jamais.
Rappelons que Tenable Security Center est un outil précisément conçu pour détecter les vulnérabilités dans les réseaux d'entreprise. L'ironie de la situation n'échappe à personne : même les outils de sécurité doivent être sécurisés. Voilà une alerte qui souligne, une fois de plus, l'importance cruciale d'une veille constante et de mises à jour régulières, y compris pour les solutions de cybersécurité elles-mêmes.
