Cisco a émis une alerte jeudi concernant une vulnérabilité de type zero-day non corrigée, jugée de haute sévérité. Elle touche le Cisco Catalyst SD-WAN Manager et porte la référence CVE-2026-20245. Des attaquants l’exploitent déjà pour obtenir des privilèges d’administrateur root.
Cette faille affecte tous les types de déploiement du logiciel : les installations sur site, le Cisco SD-WAN Cloud, la version cloud gérée par Cisco ainsi que l’offre destinée au gouvernement américain.
Selon l’avis publié par Cisco, le problème vient d’une validation insuffisante des données fournies par l’utilisateur. Un attaquant local qui dispose déjà de privilèges limités peut exploiter cette faille pour exécuter des commandes arbitraires avec les droits du compte root.
« Un attaquant peut exploiter cette vulnérabilité en chargeant un fichier spécialement conçu sur le système affecté. Une exploitation réussie lui permet alors d’effectuer des injections de commandes et d’élever ses privilèges pour devenir l’utilisateur root », a précisé l’entreprise.
Pour y parvenir, l’attaquant doit posséder les privilèges netadmin sur le système. Cela nécessite soit des identifiants valides, soit l’exploitation préalable d’une autre faille, comme CVE-2026-20182 ou CVE-2026-20127. Cisco affirme n’avoir connaissance d’aucune exploitation réussie par d’autres méthodes. Le groupe a observé quelques cas limités où cette exploitation a entraîné une modification de configuration propagée aux équipements réseau périphériques.
Cet outil de gestion, anciennement nommé SD-WAN vManage, permet aux administrateurs de superviser et de configurer jusqu’à 6 000 appareils Catalyst SD-WAN depuis une interface unique.
L’équipe PSIRT de Cisco a pris connaissance de l’exploitation de CVE-2026-20245 en juin, après un signalement de la filiale cybersécurité de Google Cloud, Mandiant. Cisco a partagé des indicateurs de compromission et conseille aux administrateurs de vérifier le fichier /var/log/scripts.log de leur SD-WAN. Ils doivent y rechercher des tentatives de téléchargement de données de configuration vers les contrôleurs vSmart, qui pourraient permettre une élévation de privilèges via des commandes légitimes.
« Pour déterminer si un Cisco Catalyst SD-WAN Manager a été compromis, les clients peuvent ouvrir un dossier auprès du Cisco TAC », a ajouté l’entreprise. Elle recommande aux administrateurs de générer au préalable un fichier admin-tech pour faciliter l’analyse.
Correctifs de sécurité pas encore disponibles
Le mois dernier, Cisco avait déjà signalé une autre faille de contournement d’authentification dans le Catalyst SD-WAN Controller. Cette vulnérabilité, référencée CVE-2026-20182 et classée de sévérité maximale, était elle aussi exploitée activement en tant que zero-day pour acquérir des droits administratifs.
Bien que des correctifs pour CVE-2026-20245 ne soient pas encore disponibles, Cisco conseille aux clients de mettre à jour leur logiciel avec la version qui a corrigé CVE-2026-20182 le 14 mai.
En février, Cisco avait corrigé une faille de divulgation d’informations dans le Catalyst SD-WAN Manager. L’agence américaine CISA a signalé son exploitation active fin avril. Deux semaines plus tard, Cisco a averti que deux autres failles étaient également exploitées.
En mars, le groupe avait aussi traité une vulnérabilité critique de contournement d’authentification. Cette faille, référencée CVE-2026-20127, est exploitée dans des attaques zero-day depuis au moins 2023.
Ces dernières années, la CISA a recensé 90 vulnérabilités Cisco exploitées dans la nature. Quatre d’entre elles concernent le Cisco Catalyst SD-WAN Manager, et six autres ont été utilisées par des opérations de rançongiciel.