Sign in Subscribe
By Jean-Marc BIAUDIS in CERT-FR

Alerte CVE : une faille DoS critique dans ISC Kea DHCP

Imaginez qu’un simple paquet malveillant suffise à neutraliser l’ensemble de vos serveurs DHCP d’entreprise… C’est exactement le scénario que vient de révéler l’avis CERTFR-2025-AVI-0734 publié par le CERT-FR. La vulnérabilité, qualifiée de déni de service à distance (DoS), concerne ISC Kea DHCP, le « nouvel » alternateur open-source de référence qui remplace progressivement ISC DHCP dans de nombreuses infrastructures françaises.

Pourquoi cette faille est-elle problématique ?

Contrairement à un simple plantage local, l’exploitation peut être déclenchée depuis le réseau, sans authentification. Un attaquant n’a qu’à envoyer un payload soigneusement crafté au daemon kea-dhcp4 ou kea-dhcp6 pour déclencher un buffer overflow ou une consommation excessive de ressources. Résultat :

  • Plus d’attributions d’adresses IP ;
  • Pannes en cascade sur les VLAN, Wi-Fi invités et postes en BYOD ;
  • Interruption possible de la téléphonie IP si les phones dépendent du même scope DHCP.

En période de télétravail massif, une telle interruption peut coûter cher en productivité et ouvrir la porte à des attaques secondaires (phishing, usurpation d’adresses, etc.).

Versions touchées et facteurs de risque

Si le bulletin officiel ne détaille pas encore les numéros exacts, le CERT-FR indique que toutes les versions antérieures au correctif de mars 2025 sont susceptibles d’être impactées. Les déploiements « à fort impact » – hôpitaux, collectivités, opérateurs télécoms – sont logiquement les plus exposés. Passez-vous un audit d’inventaire régulier de vos composants réseau ? Si ce n’est pas le cas, il est urgent de corriger le tir.

Que faire immédiatement ?

  1. Identifiez : lancez un scan réseau (arp-scan, nmap) pour recenser les serveurs tournant avec Kea.
  2. Évaluez : notez la version (kea-shell –version) et comparez-la aux dernières releases publiées sur isc.org.
  3. Corrige : planifiez la montée de version ou appliquez le patch fourni par votre éditeur (le plus souvent un simple apt/yum upgrade).
  4. Mitigez : en attendant, restreignez l’accès UDP/67-68 aux seuls relais approuvés via ACL firewall ou segment VLAN.
  5. Surveillez : activez la journalisation Kea en mode « debug » et configurez une alerte SIEM sur les messages « out of memory » ou « packet parse error » inhabituels.

Bonne pratique : industrialiser la veille

Une seule vulnérabilité peut mettre à genoux votre réseau. Pour ne plus jamais être pris au dépourvu, intégrez le flux RSS du CERT-FR (https://www.cert.ssi.gouv.fr/feed/) dans votre plateforme de ticketing ou dans n8n. Un workflow simple peut créer une carte Trello, alimenter un Slack #secu-alerte ou même déclencher automatiquement un playbook d’« upgrade secu » si le score CVSS dépasse 8. L’automatisation, c’est le premier pas vers une cybersécurité pro-active.

Conclusion

La faille DoS dans ISC Kea DHCP rappelle que même les briques « basiques » du réseau nécessitent une attention constante. Surveillez, CORRIGEZ et, surtout, communiquez en interne : les équipes réseau et système doivent agir avant qu’un attaquant ne s’en charge à votre place. Alors, prêt à lancer votre audit ? Partagez vos retours d’expérience ou vos astuces de mitigation dans les commentaires !

Subscribe to jmarc

Don’t miss out on the latest issues. Sign up now to get access to the library of members-only issues.
jamie@example.com
Subscribe