Skip to content
hacker_posts

Tenable Identity Exposure : RCE corrigée en 3.93.5, avis CERTFR-2026-AVI-0796

CERT-FR répercute le 24 juin l'avis Tenable TNS-2026-16 : RCE, SQLi et DoS sur Identity Exposure < 3.93.5. À patcher en priorité sur les déploiements AD tier-0.

Publié le 4 min de lecture
cvetenablealertecert-fractive-directory

Le CERT-FR a publié le 24 juin 2026 l'avis CERTFR-2026-AVI-0796 qui répercute le bulletin éditeur Tenable TNS-2026-16 du 23 juin. Plusieurs vulnérabilités affectent Tenable Identity Exposure (anciennement Tenable.ad) dans toutes les versions antérieures à 3.93.5. Tenable classe le risque comme Critical dans son bulletin. Les impacts cumulés annoncés par le CERT-FR : exécution de code arbitraire à distance, injection SQL, déni de service à distance, atteinte à la confidentialité et à l'intégrité des données et contournement de la politique de sécurité.

Versions concernées

  • Tenable Identity Exposure SaaS — antérieures à 3.93.5.
  • Tenable Identity Exposure on-prem branche 3.93.x — antérieures à 3.93.5.
  • La branche LTS 3.77.x n'est pas listée dans cet avis ; les déploiements LTS doivent se référer au bulletin éditeur dédié pour vérifier l'éligibilité au backport.

Correctif intégré : 3.93.5. Aucun workaround documenté en remplacement du correctif.

Détail des vulnérabilités

Une vulnérabilité propre au produit est ajoutée dans cette release :

  • CVE-2026-13007divulgation d'informations sur des endpoints d'API qui retournaient des données à des requêtes GET non authentifiées. Tenable décrit la faille dans TNS-2026-16. Combinée à la surface d'API exposée par un déploiement Identity Exposure, l'absence d'authentification permet à un attaquant en position réseau de récolter des éléments utilisables ensuite pour l'énumération AD.

Les autres CVE listées dans l'avis CERT-FR proviennent de la chaîne de composants tiers embarqués par Identity Exposure. Tenable a relevé les versions :

  • .NET Windows Server Hosting8.0.28.26269
  • NodeJS20.20.2.0
  • Erlang OTP26.2.5.21
  • SQL Server15.0.4470.1
  • OpenSSL4.0.1
  • cURL8.19.0

C'est l'agrégation de ces upgrades tiers — chacune apportant son propre lot de CVE Critical/High publiées les semaines précédentes — qui explique l'impact cumulé annoncé par le CERT-FR (RCE + SQLi + DoS). Le détail CVE-par-CVE figure dans les notes éditeur. Le bulletin du CERT-FR liste, parmi d'autres, CVE-2025-55130, CVE-2026-21262, CVE-2026-21637, CVE-2026-21710, CVE-2026-21713 et CVE-2026-21714 — héritages des piles NodeJS, OpenSSL et SQL Server mises à jour par la 3.93.5.

Statut d'exploitation

Aucune exploitation active n'est mentionnée par Tenable ou le CERT-FR au 25 juin. Aucun PoC public n'est référencé pour CVE-2026-13007. Plusieurs des CVE tierces incluses dans la 3.93.5 ont en revanche déjà des exploits publics (côté NodeJS et OpenSSL notamment) — c'est l'argument principal pour traiter le déploiement de la 3.93.5 comme un correctif urgent, indépendamment du statut d'exploitation de la CVE produit.

Que faire

  1. Mettre à jour vers la 3.93.5 sur tous les déploiements Identity Exposure 3.93.x. Sur SaaS, vérifier le tenant côté console (Tenable pousse la mise à jour, mais le palier est à confirmer). Sur on-prem, suivre la procédure de mise à jour de la documentation Tenable.
  2. Restreindre l'accès aux API du produit au plan d'administration uniquement. CVE-2026-13007 est non authentifiée — toute exposition de l'interface au-delà du segment de gestion est un chemin direct vers la divulgation d'informations AD.
  3. Auditer les journaux d'accès aux API Identity Exposure sur les 30 derniers jours. Les requêtes GET anonymes sur les endpoints exposés par 13007 doivent être recherchées en priorité — elles ne devraient en aucun cas exister.
  4. Rotation des secrets exposés au service (compte de service AD utilisé par Identity Exposure pour la collecte, jetons d'API consommés par les intégrations SIEM ou SOAR) si vous constatez des accès anormaux. Le produit dispose des privilèges nécessaires à la lecture complète de l'annuaire — la moindre fuite l'amplifie.
  5. Re-vérifier la posture du SQL Server local sur les déploiements on-prem qui hébergent leur base à côté du service. La mise à niveau Tenable couvre la version embarquée, mais une instance SQL utilisée par d'autres composants reste indépendamment vulnérable.

Contexte

Tenable Identity Exposure est, par construction, un outil Tier-0 : il scanne l'annuaire avec un compte privilégié pour cartographier la posture AD. Une RCE sur un produit de cette catégorie est exactement le scénario que les RSSI redoutent quand ils embarquent un outil de sécurité dans le périmètre — la chaîne attaque ce qui devait la détecter.

Ce n'est pas la première fois cette année. L'avis CERTFR-2026-AVI-0432 couvrait déjà en avril des multiples vulnérabilités dans Identity Exposure (TNS-2026-11, branche 3.77.17), et avant cela TNS-2026-03 sur la 3.77.16. Trois cycles de patchs critiques sur le même produit en six mois sur la même branche LTS, plus la 3.93 qui rattrape maintenant — le rythme de divulgation est soutenu, et l'opérateur qui traite Identity Exposure comme un déploiement « fire and forget » va se retrouver à pousser des correctifs Critical par tickets de maintenance, sans fenêtre de tolérance.

Pour les opérateurs NIS2 qui ont choisi un produit commercial de cartographie AD comme contrôle compensatoire, le SLA de patch sur ce composant doit être aligné sur celui des contrôleurs de domaine eux-mêmes — c'est-à-dire mesuré en jours, pas en cycles trimestriels. La 3.93.5 est sortie le 23 juin ; la fenêtre raisonnable de déploiement s'achève cette semaine.

Articles liés