Cisco alerte sur une faille critique d’évitement d’authentification dans le Cisco Catalyst SD-WAN Controller, répertoriée sous CVE-2026-20182. Des attaques zero-day ont exploité cette vulnérabilité pour conférer des privilèges administratifs aux assaillants sur les appareils touchés.
Avec un score de gravité maximal de 10,0, la faille affecte le Cisco Catalyst SD-WAN Controller et le Cisco Catalyst SD-WAN Manager, que les déploiements se situent sur site ou dans le cloud SD-WAN.
Le mécanisme d’authentification par appariement ne fonctionne pas correctement dans les systèmes vulnérables. Un assaillant envoie des requêtes modifiées à l’appareil cible pour exploiter le défaut.
Un succès procure à l’assaillant un accès à un compte utilisateur interne à hauts privilèges, sans droits root. Ce compte ouvre la porte à NETCONF, qui sert ensuite à modifier la configuration du réseau pour l’ensemble du tissu SD-WAN.
La plateforme Cisco Catalyst SD-WAN relie les bureaux distants, les centres de données et les environnements cloud grâce à un système de gestion centralisée. Elle oriente le trafic entre les sites via des connexions chiffrées sécurisées.
Cisco a repéré des acteurs malveillants qui exploitaient la faille dès mai, sans divulguer les méthodes précises.
Les indicateurs de compromission fournis incitent les administrateurs à scruter les journaux du SD-WAN Controller pour détecter des événements d’appariement non autorisés. Ces traces signalent des tentatives d’inscription d’appareils frauduleux dans le tissu SD-WAN.
Un assaillant ajoute un pair frauduleux et insère un appareil malveillant qui paraît légitime dans l’environnement SD-WAN. Cet appareil noue des connexions chiffrées et diffuse des réseaux contrôlés par l’assaillant, ce qui lui permet de s’infiltrer plus loin dans le réseau de l’organisation.
Rapid7 a découvert la faille lors d’une étude sur une autre vulnérabilité du contrôleur Cisco SD-WAN, la CVE-2026-20127, corrigée en février. Cette dernière subissait aussi des attaques zero-day depuis 2023 par un acteur nommé UAT-8616, qui créait des pairs frauduleux dans des organisations.
Cisco fournit des mises à jour de sécurité pour corriger la vulnérabilité, sans parade complète alternative. L’entreprise préconise de limiter l’accès aux interfaces de gestion et de plan de contrôle SD-WAN aux réseaux internes de confiance ou aux adresses IP autorisées, et d’examiner les journaux d’authentification pour repérer des connexions suspectes.
La CISA intègre la CVE-2026-20182 à son catalogue des vulnérabilités exploitées connues. Les agences fédérales doivent corriger les appareils touchés d’ici le 17 mai 2026.
Indicateurs de compromission
Cisco presse les organisations de vérifier les journaux des systèmes Cisco Catalyst SD-WAN Controller exposés sur Internet pour traquer les accès ou appariements non autorisés.
Les administrateurs examinent le fichier /var/log/auth.log à la recherche d’entrées comme « Accepted publickey for vmanage-admin » en provenance d’adresses IP inconnues :
2026-02-10T22:51:36+00:00 vm sshd[804]: Accepted publickey for vmanage-admin from port [REDACTED PORT] ssh2: RSA SHA256:[REDACTED KEY]
Les administrateurs comparent les adresses IP des journaux avec les IP système configurées dans l’interface web du Cisco Catalyst SD-WAN Manager, sous WebUI > Devices > System IP.
Une adresse IP inconnue qui s’authentifie avec succès trahit un appareil compromis. Les administrateurs contactent alors le support technique Cisco via une affaire TAC.
Cisco incite aussi à passer en revue les journaux du contrôleur SD-WAN pour des activités d’appariement frauduleuses, car les assaillants cherchent à enregistrer des appareils malveillants dans le tissu SD-WAN :
Jul 26 22:03:33 vSmart-01 VDAEMON_0[2571]: %Viptela-vSmart-VDAEMON_0-5-NTCE-1000001: control-connection-state-change new-state:up peer-type:vmanagepeer-system-ip:1.1.1.10 public-ip:192.168.3.20 public-port:12345 domain-id:1 site-id:1005
Cisco insiste sur la mise à niveau vers une version logicielle corrigée, seule mesure qui éradique pleinement la CVE-2026-20182.