La CISA (Cybersecurity and Infrastructure Security Agency) des États-Unis a donné aux agences gouvernementales un délai de quatre jours pour sécuriser leurs systèmes suite à une vulnérabilité récemment identifiée dans le Catalyst SD-WAN Manager, un logiciel de gestion réseau crucial. Cette faille a été signalée comme étant activement exploitée dans des attaques.
Le Catalyst SD-WAN Manager (précédemment connu sous le nom de vManage) permet aux administrateurs de surveiller et gérer jusqu’à 6 000 appareils Catalyst SD-WAN via un tableau de bord unique. En fin février, Cisco a corrigé une vulnérabilité d’information (CVE-2026-20133), permettant à des attaquants distants non authentifiés d’accéder à des données sensibles sur des appareils non mis à jour.
Selon Cisco, « Cette vulnérabilité résulte de restrictions d’accès insuffisantes au système de fichiers. Un attaquant pourrait exploiter cette vulnérabilité en accédant à l’API d’un système affecté », ajoutant qu’un exploit réussi pourrait lui permettre de lire des informations sensibles sur le système d’exploitation sous-jacent.
Une semaine plus tard, l’entreprise a confirmé que deux autres failles de sécurité (CVE-2026-20128 et CVE-2026-20122) qu’elle avait corrigées le même jour étaient également exploitées activement.
Les agences fédérales mises en garde
Le lundi suivant, la CISA a ajouté la CVE-2026-20133 à son catalogue des vulnérabilités connues et exploitables (KEV), justifiant cette décision par des preuves d’exploitation active. Les agences du Federal Civilian Executive Branch ont reçu l’ordre de sécuriser leurs réseaux jusqu’au vendredi 24 avril.
La CISA a conseillé : « Veuillez respecter les directives de la CISA pour évaluer l’exposition et atténuer les risques associés aux appareils Cisco SD-WAN comme indiqué dans la directive d’urgence 26-03 et les recommandations de chasse et de durcissement pour les appareils Cisco SD-WAN. » Elle a également mentionné qu’il faut se conformer aux indications du BOD 22-01 pour les services cloud ou suspendre l’utilisation du produit si des mesures d’atténuation ne sont pas disponibles.
Cisco n’a pas encore corroboré le rapport de l’agence de cybersécurité des États-Unis confirmant que cette faille est exploitée dans des attaques. Son avis de sécurité indique que son équipe de réponse aux incidents de sécurité des produits (PSIRT) « n’est pas consciente d’annonces publiques ou d’utilisation malveillante des vulnérabilités décrites dans la CVE-2026-20133. »
En février, Cisco avait également noté une vulnérabilité critique de contournement d’authentification (CVE-2026-20127) qui aurait été exploitée dans des attaques de type zéro-day, permettant à des acteurs malveillants d’ajouter des pairs malveillants à des réseaux ciblés depuis au moins 2023.
Récemment, au début de mars, l’entreprise a publié des mises à jour de sécurité pour corriger deux vulnérabilités de gravité maximale dans son logiciel de gestion de pare-feu sécurisé (FMC), pouvant permettre aux attaquants d’accéder aux privilèges root du système d’exploitation sous-jacent et d’exécuter du code Java arbitraire avec ces privilèges.
Au cours des dernières années, la CISA a identifié 91 vulnérabilités de Cisco como exploitées sur le terrain, dont six ont été utilisées par diverses opérations de ransomware.