CVE-2026-29116 : Vulnérabilité de type déni de service dans les produits Dahua (CVSS 8,7)

Le 10 juin 2026, le fabricant Dahua Technology a révélé l'existence d'une vulnérabilité dans plusieurs de ses produits, identifiée sous le numéro CVE-2026-29116 est gérée. Avec un score CVSS 4.0 de 8.7 elle est considérée comme élevé (High) classée. Cette faille permet à un attaquant non authentifié de provoquer un redémarrage inattendu du système cible en envoyant un paquet réseau spécialement conçu, et ainsi de provoquer un déni de service (DoS).

Détails techniques et vecteur d'attaque

Selon le Avis de sécurité de Dahua (DHCC-SA-202606-001) La vulnérabilité peut être exploitée à distance sans aucune authentification ni interaction de l'utilisateur. Il suffit à un attaquant d'avoir un accès réseau à un appareil vulnérable. Le paquet manipulé provoque une exception dans le micrologiciel de l'appareil, ce qui entraîne un redémarrage immédiat. Des attaques répétées peuvent compromettre de manière permanente la disponibilité de l'appareil.

Le vecteur CVSS CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N le confirme :

AV:N (Vecteur d'attaque : Réseau) : L'attaque se fait via le réseau.
PR:N (Privilèges requis : aucun) : Aucun identifiant ni autorisation n'est requis.
VA:H (Disponibilité du système vulnérable : élevée) : L'impact sur la disponibilité du système est important.

Selon cette évaluation, la confidentialité et l'intégrité des données ne sont pas compromises. La principale source d'information est actuellement l'avis publié par le fabricant, car l'entrée de la National Vulnerability Database (NVD) ne contenait pas encore de détails supplémentaires au moment de l'analyse.

Systèmes concernés et risques opérationnels

Cette vulnérabilité touche un large éventail de systèmes IoT et OT largement utilisés dans les infrastructures de sécurité physique. Parmi ceux-ci, on peut citer notamment :

Caméras IP (IPC)
Enregistreurs vidéo numériques et en réseau (NVR, XVR)
Stockage vidéo d'entreprise (EVS)
Interphones vidéo (VTO/VTH)
Systèmes de contrôle d'accès (ASI)
Caméras thermiques (TPC)

Le fabricant n'ayant pour l'instant pas précisé de séries de modèles ni de versions de micrologiciel spécifiques, il est difficile d'identifier avec précision les appareils concernés. Le risque opérationnel est considérable : une attaque par déni de service (DoS) contre des caméras de surveillance peut créer des angles morts dans les zones de sécurité, tandis que la défaillance d'un système de contrôle d'accès peut bloquer l'accès physique à des zones critiques.

CVE-2026-29116 n'est pas le premier incident de sécurité chez Dahua. En juillet 2025, des vulnérabilités critiques (CVE-2025-31700 et CVE-2025-31701, CVSS 8.1) dans le micrologiciel des caméras Dahua, qui permettaient à des attaquants non authentifiés d'exécuter du code à distance. En août 2024, l'agence américaine CISA a mis en garde contre l'exploitation active d'anciennes failles d'authentification de Dahua (CVE-2021-33044 et CVE-2021-33045, CVSS 9,8) en circulation. Ces incidents récurrents soulignent la nécessité d'une gestion continue des risques liés aux fournisseurs pour les partenaires technologiques utilisant des produits Dahua. Sources : SecurityAffairs/Bitdefender (juillet 2025) ; SecurityWeek/CISA KEV (août 2024).

Recommandations à l'intention des exploitants

Les entreprises devraient s'attacher à réduire leur surface d'attaque et installer rapidement les mises à jour de micrologiciel disponibles.

Mesures d'urgence :

1. Inventaire : Identifiez tous les appareils Dahua présents dans votre infrastructure. 2. Analyse de l'exposition : Vérifiez lesquels de ces appareils sont accessibles depuis Internet. 3. Segmentation du réseau : Isolez les systèmes de sécurité critiques dans des segments de réseau protégés afin d'empêcher tout accès non autorisé. 4. Restriction d'accès : Bloquez l'accès réseau aux services d'administration des appareils depuis les réseaux non fiables.

Mesures à moyen terme :

Gestion des mises à jour : Installez les mises à jour du micrologiciel fournies par le fabricant après les avoir soigneusement vérifiées. Continuez à consulter le Centre de cybersécurité Dahua (DHCC) pour prendre connaissance des dernières consignes de sécurité.
Accès à distance sécurisé : Assurez-vous que l'accès à distance à ces systèmes s'effectue exclusivement via des connexions sécurisées, telles que des VPN.

Cette question revêt une importance particulière pour les opérateurs de la région DACH : les entreprises et les autorités qui utilisent des équipements Dahua dans des domaines liés à la sécurité peuvent être soumises à la directive NIS 2, qui impose aux opérateurs d'infrastructures critiques des mesures obligatoires en matière de sécurité des réseaux. Si une attaque par déni de service (DoS) entraîne une panne ayant des répercussions sur les données à caractère personnel, l'obligation de notification dans les 72 heures prévue à l'article 33 du RGPD s'applique également. Le BSI recommande en principe une segmentation rigoureuse du réseau pour les appareils IoT et leur isolation du réseau de l'entreprise.

Comment l'EASM et le VRM réduisent le risque de vulnérabilités liées à l'IoT

Le défi avec des appareils tels que ceux de Dahua réside souvent dans le fait qu'ils existent en marge de l'administration informatique centrale, sous la forme d'un „ shadow IT “. Ils sont installés par des services spécialisés ou des prestataires de services et sont souvent insuffisamment documentés et sécurisés, ce qui les rend tout simplement invisibles pour l'équipe de sécurité.

Un Gestion de la surface d'attaque externe (EASM) LocateRisk résout ce problème en analysant en permanence l'infrastructure externe d'une entreprise connectée à Internet. Cela permet d'identifier même les actifs inconnus ou oubliés, tels que les caméras, les enregistreurs vidéo ou les systèmes de contrôle d'accès, et de les intégrer dans un inventaire complet des actifs. Les services d'administration exposés, les ports ouverts et les dérives de configuration sont mis en évidence avant que les pirates ne puissent en tirer parti, qu'un appareil ait été répertorié ou non par le service informatique central.

En outre, un suivi continu permet Gestion des risques fournisseurs (VRM) l'évaluation de la situation en matière de sécurité des fournisseurs et des partenaires technologiques. Compte tenu des incidents de sécurité répétés chez Dahua, un suivi structuré de la situation de sécurité des fournisseurs est un élément essentiel pour évaluer de manière réaliste son propre profil de risque. LocateRisk est une solution „ Made in Germany “ hébergée dans des centres de données allemands qui aide les entreprises à se conformer aux exigences du RGPD et à réduire les risques liés à l'accès aux données depuis des pays non européens.

Sources et informations complémentaires

Sources

Avis de sécurité PSIRT de Dahua (DHCC-SA-202606-001) : dahuasecurity.com
Entrée NVD pour CVE-2026-29116 : nvd.nist.gov
SecurityAffairs : Vulnérabilités des caméras Dahua (CVE-2025-31700/-31701), juillet 2025 : securityaffairs.com
SecurityWeek : la CISA met en garde contre des vulnérabilités Dahua activement exploitées (CVE-2021-33044/-33045), août 2024 : securityweek.com

Connaissez-vous votre surface d'attaque externe ?

Une surveillance continue de vos systèmes informatiques externes est essentielle pour détecter à un stade précoce les appareils exposés et les vulnérabilités associées. LocateRisk propose une analyse complète de votre surface d'attaque.

Demander un contrôle de sécurité gratuit

Questions fréquentes

Qu'est-ce que CVE-2026-29116 ?

CVE-2026-29116 est une vulnérabilité présente dans divers produits de Dahua Technology, qui a été divulguée par le fabricant le 10 juin 2026. Elle a reçu un score CVSS 4.0 de 8,7 (Élevé) et permet à un attaquant non authentifié de provoquer à distance un redémarrage inattendu du système cible en envoyant un paquet réseau spécialement conçu, provoquant ainsi un état de déni de service.

Quels sont les appareils Dahua concernés ?

Selon l'avis du fabricant (DHCC-SA-202606-001), plusieurs catégories de produits sont concernées, notamment les caméras IP, les enregistreurs vidéo réseau et numériques (NVR, XVR), les systèmes de stockage vidéo d'entreprise, les interphones vidéo, les systèmes de contrôle d'accès et les caméras thermiques. Au moment de la publication, Dahua n'avait pas encore précisé les séries de modèles spécifiques ni les versions de micrologiciel concernées.

Comment puis-je me protéger tant qu'aucun correctif n'est disponible ?

La mesure immédiate la plus importante consiste à segmenter le réseau : les appareils Dahua doivent être exploités dans des segments de réseau isolés et ne doivent pas être directement accessibles depuis Internet. L'accès à distance doit se faire exclusivement via des connexions VPN sécurisées. De plus, les opérateurs doivent surveiller activement le Dahua Cybersecurity Center (DHCC) pour se tenir informés des nouvelles mises à jour du micrologiciel.

Demandez maintenant une Démo en direct personelle

Identifiez et réduisez vos cyber-risques grâce à un aperçu comparable et compréhensible de votre sécurité informatique. Demandez conseil à nos experts et découvrez comment LocateRisk peut vous aider à résoudre vos cyber-risques.

En savoir plus, réserver une démo ou simplement échanger quelques mots ? Nous nous en réjouissons !

Votre ContactLukas BaumannPDG

+49 6151 6290246

Contactez-nous maintenant