Des informations plus précises viennent d’être publiées sur la manière dont des pirates informatiques ont exploité une faille de Cisco Catalyst SD-WAN, référencée sous le code CVE-2026-20245. Cette vulnérabilité a été utilisée dans le cadre d’attaques dites zero-day afin de créer des comptes administratifs racines frauduleux sur les équipements visés.
Le défaut CVE-2026-20245 est un problème d’injection de commande, classé comme hautement critique, qui affecte trois composants : le Cisco Catalyst SD-WAN Manager (vManage), le Contrôleur (vSmart) et le Validateur (vBond). Il donne la possibilité à un attaquant authentifié d’exécuter des commandes arbitraires avec les privilèges d’administrateur système, simplement en téléversant un fichier spécialement conçu.
Cisco a expliqué que cette vulnérabilité trouvait son origine dans une validation insuffisante des données fournies par l’utilisateur. Elle peut être déclenchée par des attaquants qui ont déjà obtenu un accès local aux appareils concernés.
Lorsque Cisco a révélé cette faille au début du mois, l’entreprise a indiqué qu’elle avait déjà été exploitée dans un nombre restreint d’attaques, sans donner plus de détails.
Le constructeur avait alors seulement précisé qu’une exploitation réussie permettait aux assaillants d’obtenir les privilèges racines. Il a aussi confirmé que certains incidents impliquaient l’envoi de modifications de configuration non autorisées vers des équipements périphériques.
Des mises à jour de sécurité ont été publiées et Cisco a exhorté ses clients à installer les versions logicielles corrigées. Aucune solution de contournement n’est disponible pour le moment.
Des détails sur l’exploitation de la faille
Dans un rapport rendu public aujourd’hui, les chercheurs de Mandiant révèlent que le défaut CVE-2026-20245 a été exploité pour permettre une élévation de privilèges. Les attaquants l’ont utilisé après avoir déjà infiltré les dispositifs SD-WAN ciblés.
Selon les analystes, l’intrusion a commencé par l’observation de connexions de peering SD-WAN non autorisées sur l’infrastructure d’un fournisseur de services.
À partir de mars 2026, les pirates ont établi de nouvelles connexions de peering frauduleuses et se sont authentifiés sur les appareils SD-WAN Manager affectés en utilisant le compte vmanage-admin.
Mandiant estime que ces connexions malveillantes ont pu être créées en exploitant des failles zero-day de contournement d’authentification sur Cisco SD-WAN, référencées CVE-2026-20127 et CVE-2026-20182, et déjà documentées par le passé. La méthode exacte employée reste toutefois incertaine.
Après avoir obtenu l’accès, les attaquants ont modifié le mot de passe par défaut du compte administrateur, se sont connectés à l’interface web du SD-WAN Manager et en ont extrait les informations de configuration pour les appareils périphériques, les contrôleurs et les modèles SD-WAN.
Les chercheurs de Mandiant indiquent que les pirates ont ensuite restauré le mot de passe original du compte administrateur une fois leur activité terminée, probablement pour réduire les risques de détection.
Ils ont ensuite exploité CVE-2026-20245 via une fonctionnalité de téléversement de locataire dans l’interface en ligne de commande du SD-WAN. Ils ont chargé un fichier CSV malveillant nommé « evil_tenant.csv« .
Mandiant explique : « La vulnérabilité CVE-2026-20245, signalée à Cisco par Mandiant, se situe dans l’interface en ligne de commande des contrôleurs Cisco Catalyst SD-WAN. Elle peut permettre à un attaquant authentifié localement d’exécuter des commandes arbitraires en tant que root en fournissant un fichier spécialement conçu au système affecté. »
Le groupe malveillant a d’abord créé des sauvegardes des fichiers de configuration système, incluant /etc/passwd et /etc/shadow. Il a ensuite créé un nouveau compte nommé « troot » avec des privilèges de niveau racine.
Les pirates ont utilisé la commande Linux « su » pour passer du compte administratif compromis au nouveau compte racine, ce qui leur a donné un contrôle total sur l’appareil.
Les attaquants ont largement eu recours à des tactiques antiforensiques pour éviter d’être repérés.
Cela comprend la sauvegarde des fichiers de configuration avant leur modification, puis leur restauration après l’exploitation. Ils ont aussi nettoyé les traces de leur passage en supprimant le fichier CSV malveillant, en effaçant les fichiers temporaires créés pendant l’attaque et en éliminant toute preuve de l’existence du compte racine frauduleux.
Les chercheurs ont également observé l’exécution d’un script de validation. Ce dernier avait pour but de confirmer que toutes les traces de la compromission avaient été supprimées de l’appareil.
Mandiant précise que certaines activités de peering frauduleux observées en mars 2026 sont apparues sur des systèmes qui n’étaient pas vulnérables aux failles de contournement d’authentification précédemment révélées.
Cisco a informé les chercheurs que l’incident n’impliquait pas la faille CVE-2026-20182. L’entreprise a évoqué la possibilité que les pirates aient utilisé des certificats volés lors d’une compromission antérieure pour retrouver l’accès aux appareils.
Mandiant a publié une liste d’indicateurs de compromission, les adresses IP des attaquants et des conseils pour aider les organisations à déterminer si elles ont été touchées.
Les entreprises concernées doivent collecter des données de diagnostic depuis leurs équipements SD-WAN, vérifier la présence de connexions de peering non autorisées et mettre à niveau leurs logiciels vers les dernières versions disponibles si ce n’est déjà fait.