Cisco a publié des correctifs pour corriger une faille de sécurité de niveau maximal dans Secure Workload, un produit qui permet à des attaquants d’obtenir les privilèges d’administrateur de site.
Ce produit, anciennement nommé Cisco Tetration, aide les administrateurs à réduire la surface d’attaque de leur réseau grâce à la microsegmentation de la confiance zéro.
La faille, référencée CVE-2026-20223, touche les API REST internes de Secure Workload. Elle donne la possibilité à des attaquants non authentifiés d’accéder aux ressources avec les droits du rôle d’administrateur de site.
Cisco a expliqué dans un avis que cette vulnérabilité est liée à une validation et une authentification insuffisantes au niveau des points d’accès des API REST. Un attaquant peut l’exploiter en envoyant une requête API spécialement conçue vers un point d’accès vulnérable.
En cas d’exploitation réussie, l’attaquant pourrait lire des informations sensibles et modifier des configurations au-delà des limites des locataires, avec les mêmes privilèges qu’un administrateur de site.
Cisco indique qu’il n’existe aucun contournement pour cette faille. L’entreprise a publié des mises à jour logicielles pour les clients utilisant des déploiements sur site, et elle a déjà corrigé le problème pour le service SaaS basé sur le cloud.
| Version de Cisco Secure Workload | Première version corrigée |
|---|---|
| 3.9 et antérieures | Migrer vers une version corrigée. |
| 3.10 | 3.10.8.3 |
| 4.0 | 4.0.3.17 |
L’entreprise a aussi précisé que son Product Security Incident Response Team (PSIRT) n’a pas trouvé de preuve que cette vulnérabilité ait été exploitée avant la publication de l’avis.
Début juillet, Cisco avait alerté sur l’exploitation active d’une autre faille critique de contournement d’authentification, référencée CVE-2026-20182, qui affectait sa plateforme logicielle de réseau Catalyst SD-WAN et permettait aussi d’obtenir des privilèges administrateur.
L’agence américaine de sécurité des infrastructures, la Cybersecurity and Infrastructure Security Agency (CISA), a ajouté cette faille à son catalogue des vulnérabilités exploitées le 14 mai. Elle a ordonné aux agences fédérales de sécuriser les appareils concernés dans un délai de trois jours.
Début mai, Cisco avait également publié des correctifs pour une vulnérabilité de déni de service affectant Crosswork Network Controller (CNC) et Network Services Orchestrator (NSO), qui nécessite un redémarrage manuel des systèmes pour reprendre un fonctionnement normal.
Au cours des cinq dernières années, la CISA a signalé 91 vulnérabilités Cisco comme étant activement exploitées, dont six ont été utilisées par différents groupes de rançongiciels.