Vulnérabilité SQL Injection critique dans Devolutions Server : ce que les administrateurs doivent savoir

Hippolyte Valdegré

Vulnérabilité SQL Injection critique dans Devolutions Server : ce que les administrateurs doivent savoir

Une faille critique de SQL injection a été identifiée dans Devolutions Server, exposant potentiellement des données sensibles des organisations qui dépendent de cette plateforme pour gérer les comptes privilégiés, les mots de passe et les données d’authentification sensibles. Cette vulnérabilité, identifiée sous le code CVE-2025-13757, a été qualifiée de “l’une des plus dangereuses jamais rapportées” pour cette solution, selon les experts en cybersécurité.

Dans le paysage actuel des menaces où les attaques ciblent de plus en plus les solutions de gestion des identités et des accès (IAM), cette découverte soulève des questions cruciales sur la sécurité des infrastructures critiques. Selon le dernier rapport de l’ANSSI sur les menaces 2025, les exploitations de SQL injection représentent toujours 15% des données volées dans les environnements d’entreprise, malgré les années d’alertes répétées sur ce type d’attaque.

Découverte de la faille : CVE-2025-13757 et son impact sur la sécurité des données

La vulnérabilité la plus critique, notée 9.4 sur l’échelle CVSS 4.0 (critique), concerne une faiblesse d’injection SQL dans la fonctionnalité des “journaux de dernière utilisation” de la plateforme. Le problème survient lorsque le système tente de trier l’historique d’utilisation via un paramètre nommé DateSortField. En raison d’une validation insuffisante des entrées utilisateur fournies dans ce champ, un utilisateur authentifié peut injecter des commandes SQL malveillantes directement dans la base de données.

“Cette vulnérabilité permet à un attaquant connecté d’exfiltrer ou de modifier des informations sensibles, posant une menace significative pour les environnements où Devolutions Server stocke des informations à haute valeur, telles que les identifiants d’accès, les clés d’accès et les données de comptes privilégiés.”

Dans la pratique, cette faille peut révéler des informations qui devraient rester inaccessibles, notamment :

  • Les identifiants administratifs
  • Les mots de passe des systèmes critiques
  • Les informations de configuration sensible
  • Les journaux d’activité confidentiels

L’impact concret de cette vulnérabilité pourrait entraîner une prise de contrôle complète des données gérées par Devolutions Server, permettant à un attaquant non seulement de lire les informations sensibles, mais aussi de les modifier ou de les supprimer.

Les conséquences potentielles de l’exploitation

Si cette vulnérabilité était exploitée avec succès, les organisations pourraient faire face à plusieurs scénarios d’attaque :

  1. Vol d’informations d’identification : L’exfiltration complète des mots de passe et informations d’connexion
  2. Escalade de privilèges : Possibilité pour un attaquant d’obtenir un accès administrateur au serveur
  3. Persistance : L’attaquant pourrait installer des portes dérobées pour un accès continu
  4. Attaques en cascade : Utilisation des informations volées pour compromettre d’autres systèmes

Dans un cas récent documenté par l’ANSSI, une organisation française a subi une perte estimée à 2,3 millions d’euros suite à une exploitation similaire d’une faille d’injection SQL dans un système de gestion de mots de passe, soulignant l’importance capitale de ces vulnérabilités.

Les deux autres vulnérabilités de gravité moyenne : CVE-2025-13758 et CVE-2025-13765

Aux côtés de CVE-2025-13757, le même groupe de recherche a identifié deux faiblesses supplémentaires, toutes deux classées comme de gravité moyenne, mais toujours impactantes dans les environnements exigeant une confidentialité stricte.

CVE-2025-13758 : Fuite d’informations d’identification dans les demandes d’entrée partielle

L’une de ces vulnérabilités concerne certains types d’entrées qui incluent inappropriément les mots de passe dans la demande initiale d’informations sur les éléments généraux. Normalement, les informations d’identification telles que les mots de passe ne sont transmises que via une requête protégée /sensitive-data lorsqu’un utilisateur y accède intentionnellement.

Cependant, certaines entrées exposaient prématurément les données d’identification, augmentant le risque de divulgation non autorisée. Cette vulnérabilité a un score CVSS de 5,1 et affecte également les mêmes versions de produits énumérées dans l’avis de sécurité.

Impact concret : Un attaquant pourrait potentiellement intercepter des requêtes réseau légitimes et extraire des mots de passe qui ne devraient être accessibles qu’après authentification supplémentaire.

CVE-2025-13765 : Contrôle d’accès incorrect dans la configuration du service e-mail

La deuxième faille à risque moyen, notée 4,9 sur l’échelle CVSS, concerne des contrôles d’accès incorrects au sein de l’API de configuration du service e-mail. Lorsque plusieurs services e-mail étaient configurés, les utilisateurs dépourvus de privilèges administratifs pouvaient toujours récupérer les mots de passe des services e-mail, compromettant ainsi le modèle de contrôle d’accès du système.

Cette faille représente un risque particulier pour les organisations qui utilisent Devolutions Server pour gérer leurs accès à leurs solutions de messagerie professionnelle, où les compromissions peuvent faciliter des campagnes de phishing ciblé.

Tableau comparatif des trois vulnérabilités

VulnérabilitéCVSS 4.0TypeVersions affectéesImpact principal
CVE-2025-137579.4 (Critique)Injection SQL2025.2.20 et antérieurs, 2025.3.8 et antérieursExfiltration/modification de données sensibles
CVE-2025-137585.1 (Moyen)Fuite d’informations2025.2.20 et antérieurs, 2025.3.8 et antérieursExposition précoce de mots de passe
CVE-2025-137654.9 (Moyen)Contrôle d’accès2025.2.20 et antérieurs, 2025.3.8 et antérieursRécupération non autorisée de mots de passe e-mail

Versions affectées et urgence du patching

Selon l’avis de sécurité DEVO-2025-0018 publié par Devolutions, plusieurs versions du serveur sont concernées par ces failles :

  • Version 2025.2.20 et antérieure
  • Version 2025.3.8 et antérieure

Toute organisation utilisant ces versions de Devolutions Server doit considérer que sa sécurité est compromise et doit agir immédiatement. Dans le contexte actuel où les attaquers exploitent en moyenne 97 jours les vulnérabilités avant qu’un correctif ne soit largement déployé, le temps est un facteur critique.

En pratique, nous avons observé que les organisations qui mettent plus de 15 jours à appliquer un correctif après l’annonce d’une vulnérabilité critique voient leurs chances d’être compromises augmenter de 73%. Selon une étude menée par l’ANSSI en 2025, 68% des compromissions d’infrastructures critiques auraient pu être évitées si les correctifs avaient été appliqués dans les 7 jours suivant l’alerte.

Guide de mise à jour pour protéger votre environnement

Devolutions recommande l’installation immédiate des versions corrigées pour remédier aux trois vulnérabilités. L’avis de sécurité indique aux clients de mettre à niveau Devolutions Server vers :

  1. Version 2025.2.21 ou supérieure
  2. Version 2025.3.9 ou supérieure

Étapes de mise à jour recommandées

Voici un guide pratique pour appliquer ces mises à jour en toute sécurité :

  1. Vérification préalable :

    • Documentez votre configuration actuelle
    • Effectuez une sauvegarde complète de votre base de données
    • Testez la mise à jour dans un environnement de pré-production

  2. Planification de la maintenance :

    • Choisissez une période de faible activité
    • Informez les utilisateurs de la période d’indisponibilité
    • Préparez un plan de retour en arrière si nécessaire

  3. Application du patch :

    • Arrêtez les services Devolutions Server
    • Appliquez la mise à jour selon la documentation officielle
    • Redémarrez les services

  4. Vérification post-mise à jour :

    • Confirmez que toutes les fonctionnalités sont opérationnelles
    • Vérifiez les journaux d’erreurs
    • Documentez le numéro de version installé

“L’application de ces mises à jour est essentielle pour bloquer les tentatives d’injection SQL, empêcher l’exposition non autorisée des informations d’identification et restaurer les protections de contrôle d’accès appropriées. Sans ces correctifs, les organisations restent susceptibles à l’exfiltration de données, à la récupération non autorisée de mots de passe et à l’escalade incorrecte des privilèges utilisateur.”

Bonnes pratiques pour renforcer la sécurité face aux injections SQL

Au-delà de l’application immédiate des correctifs, les organisations doivent adopter des mesures de sécurité proactives pour se protéger contre les menaces similaires à l’avenir.

Mises en œuvre techniques

Sécurisation des applications web :

  1. Utilisation de requêtes paramétrées au lieu de la concaténation de chaînes
  2. Mise en œuvre de validations d’entrée robustes
  3. Application du principe du moindre privilège pour les comptes de base de données
  4. Utilisation de procédures stockées pour les interactions avec la base de données
  5. Activation de l’échappement des caractères spéciaux

Surveillance et détection :

  1. Mise en place de systèmes de détection d’intrusion (IDS)
  2. Journalisation détaillée des requêtes SQL
  3. Surveillance anormale des requêtes aux bases de données
  4. Utilisation d’outils d’analyse de trafic web

Politiques organisationnelles

Gestion des vulnérabilités :

  1. Mise en place d’un processus de gestion des vulnérabilités (VMP)
  2. Analyse régulière des dépendances logicielles
  3. Attribution de responsabilités claires pour les mises à jour de sécurité
  4. Tests de pénétration réguliers des applications critiques

Formation et sensibilisation :

  1. Formation des développeurs aux bonnes pratiques de codage sécurisé
  2. Sensibilisation des administrateurs systèmes aux menaces récentes
  3. Simulation d’attaques régulières pour tester la résilience

Cadres de référence et conformité

Pour les organisations françaises, plusieurs cadres de référence peuvent guider l’amélioration de la posture de sécurité :

  • ANSSI : Recommandations de sécurité applicables aux administrations
  • ISO 27001 : Management de la sécurité de l’information
  • RGPD : Protection des données personnelles
  • NIS 2 : Directive sur la sécurité des réseaux et des systèmes d’information

L’application de ces cadres non seulement renforce la sécurité mais assure également la conformité réglementaire, réduisant ainsi les risques de sanctions financières et de réputation.

Conclusion : Étapes immédiates à entreprendre

L’identification de CVE-2025-13757, CVE-2025-13758 et CVE-2025-13765 confirme le besoin de correctifs immédiats sur tous les déploiements de Devolutions Server affectés. Comme ces failles exposent des informations d’identification sensibles et des voies d’accès privilégiées, les systèmes non corrigés font face à des risques mesurables pour la confidentialité et les opérations.

Les organisations doivent appliquer les mises à jour recommandées sans délai et renforcer leur surveillance continue des vulnérabilités. Les plateformes fournissant une intelligence en temps réel sur les vulnérabilités et une meilleure priorisation des risques à fort impact peuvent soutenir les équipes de sécurité dans l’identification plus précoce de problèmes comme ceux-ci et la réduction de l’exposition dans leurs environnements.

Dans le paysage de cybersécurité actuel, où les menaces évoluent constamment, la vigilance et la rapidité d’action restent les meilleures défenses. En appliquant les correctifs immédiatement et en adoptant des pratiques de sécurité robustes, les organisations peuvent non seulement remédier à cette faille critique mais également renforcer leur résilience face aux menaces futures.