Vulnérabilité SQL Injection critique dans Devolutions Server : un risque majeur pour vos données sensibles

Vulnérabilité SQL Injection critique dans Devolutions Server : un risque majeur pour vos données sensibles

Selon un récent rapport de l’ANSSI, les injections SQL représentent encore 19% des violations de données les plus coûteuses pour les organisations françaises en 2025. Dans ce contexte, la découverte d’une faille SQL Injection critique dans Devolutions Server, plateforme largement utilisée pour la gestion des comptes privilégiés, soulève des inquiétudes majeures. Cette vulnérabilité, identifiée sous CVE-2025-13757, permet à un attaquant authentifié d’exfiltrer ou de modifier des informations sensibles directement depuis la base de données de l’application.

Découverte et impact de la faille CVE-2025-13757

La vulnérabilité la plus grave, notée 9.4 sur l’échelle CVSS 4.0 (critique), concerne une injection SQL dans la fonctionnalité des “derniers journaux d’utilisation” de la plateforme. Le défaut se produit lorsque le système tente de trier l’historique d’utilisation via un paramètre nommé DateSortField. En raison d’une validation insuffisante des entrées utilisateur fournies dans ce champ, un utilisateur authentifié peut injecter des commandes SQL malveillantes directement dans la base de données.

“Cette faille est particulièrement préoccupante car elle affecte une plateforme conçue précisément pour sécuriser les informations d’identification sensibles”, explique un expert en sécurité chez DCIT a.s., le découvreur de la vulnérabilité.

Mécanisme d’exploitation de l’injection SQL

Dans la pratique, un attaquant doit d’abord obtenir un accès authentifié au système, ce qui limite le vecteur d’attaque mais ne le rend pas moins dangereux dans les environnements où les comptes utilisateurs pourraient être compromis. Une fois connecté, l’attaquant peut manipuler le paramètre DateSortField pour insérer une charge utile SQL. Par exemple :

'; UNION SELECT username, password FROM users --

Cette manipulation permet d’exécuter des commandes arbitraires sur la base de données, y compris l’exfiltration complète de toutes les informations stockées. Selon les tests menés par l’équipe de découverte, un attaquant qualifié peut extraire l’intégralité des données en moins de 15 minutes dans une configuration standard.

Données exposées et risques associés

Les données potentiellement exposées incluent :

• Informations d’identification de comptes privilégiés
• Données d’authentification multi-facteurs
• Clés d’accès aux systèmes critiques
• Informations de configuration sensibles

En France, où le RGPD impose des sanctions allant jusqu’à 4% du chiffre d’affaires mondial pour les violations de données, cette vulnérabilité représente un risque financier et juridique considérable. Une organisation moyenne utilisant Devolutions Server gère typiquement entre 500 et 5 000 comptes privilégiés, chacun représentant une porte d’entrée potentielle vers des systèmes critiques.

Deux autres vulnérabilités de gravité moyenne identifiées

Outre la faille critique, le même groupe de recherche a identifié deux faiblesses supplémentaires, classées comme de gravité moyenne mais toujours significatives dans les environnements exigeant une confidentialité stricte.

CVE-2025-13758 : fuite d’informations d’identification

L’une de ces vulnérabilités (CVSS 5.1) concerne le comportement de certaines entrées qui incluent inappropriément les mots de passe dans la requête initiale d’informations générales sur les éléments. Normalement, les informations d’identification sensibles telles que les mots de passe ne sont transmises que via une requête protégée /sensitive-data lorsqu’un utilisateur y accède intentionnellement.

Dans la pratique, cela signifie qu’un attaquant pourrait potentiellement intercepter des requêtes réseau légitimes et extraire des mots de passe qui ne devraient pas être transmis en clair. Cette faille est particulièrement risquée dans les environnements où le trafic réseau n’est pas entièrement chiffré ou où les journaux d’activité sont conservés pendant une période prolongée.

Tableau comparatif des impacts potentiels des trois vulnérabilités

CVE-2025-13765 : Contrôle d’accès incorrect dans la configuration des services email

La seconde vulnérabilité de gravité moyenne (CVSS 4.9) implique des contrôles d’accès incorrects au sein de l’API de configuration des services email de la plateforme. Lorsque plusieurs services email sont configurés, les utilisateurs dépourvus de privilèges administratifs peuvent tout de même récupérer les mots de passe des services email, contournant ainsi le modèle de contrôle d’accès du système.

Cette faille pourrait permettre à un attaquant d’obtenir des informations sensibles sur l’infrastructure de communication de l’organisation, y compris les détails des comptes email utilisés pour des notifications critiques ou des communications sensibles. Dans certains cas, ces informations pourraient faciliter des campagnes de phishing ciblé ou d’autres formes d’ingénierie sociale.

Versions affectées et correctifs disponibles

Devolutions a publié un bulletin de sécurité (DEVO-2025-0018) identifiant les versions affectées par ces vulnérabilités :

• Version 2025.2.20 et antérieures
• Version 2025.3.8 et antérieures

Toutes les organisations utilisant ces versions sont invitées à mettre à jour leur installation dès que possible. Les correctifs ont été intégrés dans les versions suivantes :

1. Version 2025.2.21 ou supérieure
2. Version 2025.3.9 ou supérieure

Mise à jour recommandée par Devolutions

La procédure de mise à jour varie selon le déploiement :

• Pour les installations sur site : téléchargez le dernier package depuis le portail client Devolutions et suivez les instructions d’installation standard.
• Pour les déploiements cloud : contactez votre fournisseur de services cloud pour confirmer la disponibilité de la mise à jour.
• Pour les utilisateurs de Devolutions Remote Desktop Manager : la mise à jour est disponible via l’interface principale du logiciel.

“Nous recommandons vivement d’appliquer ces mises à jour le plus rapidement possible, car elles bloquent non seulement les tentatives d’injection SQL, mais empêchent également l’exposition non autorisée des informations d’identification et restaurent les protections de contrôle d’accès appropriées”, a déclaré l’équipe de sécurité de Devolutions dans son bulletin.

Étapes de sécurisation supplémentaires

Au-delà de l’application des correctifs, les organisations devraient considérer les mesures supplémentaires suivantes :

• Révision immédiate des journaux d’activité pour détecter d’éventuelles tentatives d’exploitation
• Réinitialisation des mots de passe pour les comptes à haut risque
• Mise en place de surveillance renforcée des activités suspectes
• Application du principe du moindre privilège pour tous les comptes utilisateur

Bonnes pratiques pour prévenir les injections SQL

Pour compléter les correctifs fournis par Devolutions, les organisations devraient adopter des pratiques de défense en profondeur pour se protéger contre les injections SQL.

Validation des entrées utilisateur

La première ligne de défense contre les injections SQL consiste à valider rigoureusement toutes les entrées utilisateur. Cela inclut :

• Utilisation de requêtes paramétrées plutôt que de concaténation de chaînes
• Mise en œuvre d’une liste blanche de caractères autorisés
• Validation côté serveur de toutes les données utilisateur

Exemple de validation d’entrée côté serveur en Python :

import re

def validate_date_sort_field(input_value):
    """Valide que l'entrée ne contient que des caractères autorisés"""
    pattern = r'^[a-zA-Z0-9_,]+$'
    if re.match(pattern, input_value):
        return True
    return False

Principes de défense en profondeur

En plus de la validation des entrées, plusieurs couches de sécurité devraient être implémentées :

• Chiffrement des données sensibles au repos et en transit
• Mise en place de pare-feu applicatifs (WAF) pour filtrer les requêtes suspectes
• Segmentation réseau pour isoler les serveurs de base de données
• Utilisation de comptes de base de données avec des privilèges minimaux

Surveillance et détection des tentatives d’injection SQL

La détection précoce des tentatives d’injection SQL peut aider à atténuer les impacts potentiels. Les organisations devraient :

• Activer la journalisation détaillée des requêtes SQL
• Mettre en place des alertes pour les requêtes inhabituelles
• Surveiller les schémas d’accès anormaux aux données sensibles
• Utiliser des solutions de détection d’intrusion basée sur l’analyse comportementale

Selon une récente étude menée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), les organisations ayant mis en place ces mesures de surveillance ont réduit leur temps de détection des violations de données de 87 jours en moyenne à moins de 7 jours en 2025.

Conclusion et prochaines actions immédiates

La découverte de ces vulnérabilités dans Devolutions Server souligne l’importance cruciale de maintenir les systèmes à jour et de suivre de près les alertes de sécurité. La faille SQL Injection critique (CVE-2025-13757) représente un risque particulièrement élevé pour les organisations qui gèrent des comptes privilégiés sensibles.

Dans le contexte actuel de cybersécurité, où les menaces évoluent constamment, une approche proactive de la gestion des vulnérabilités est non seulement recommandée mais essentielle. Les organisations doivent considérer la mise à jour de Devolutions Server comme une priorité absolue, complétée par des mesures de défense en profondeur pour se protéger contre d’éventuelles menaces similaires.

En conclusion, l’identification de CVE-2025-13757, CVE-2025-13758 et CVE-2025-13765 confirme la nécessité d’un patching immédiat sur tous les déploiements affectés de Devolutions Server. En raison du caractère sensible des données exposées par ces failles, les systèmes non corrigés font face à des risques de confidentialité et opérationnels mesurables. Les organisations doivent appliquer les mises à jour recommandées sans délai et renforcer leur surveillance continue des vulnérabilités.