Cisco a alerté les gestionnaires de réseau : une vulnérabilité critique de l'omission d'authentification dans le SD-WAN de Cisco Catalyst CVE-2026-20127, a été utilisé dans des attaques de zéro jour qui ont permis aux attaquants à distance de commettre des contrôleurs et ajouter de fausses paires à l'infrastructure SD-WAN. L'échec reçoit un score maximal de sévérité (CVSS 10.0) et affecte à la fois les pilotes (avant vSmart) et les consoles de gestion (avant vManage) dans les locaux et dans le cloud administrés par Cisco. L'avis officiel de Cisco est disponible ici : Avis Cisco CVE-2026-20127.
Selon la note technique de Cisco, la source du problème est le mécanisme d'authentification par les pairs (peering), qui ne fonctionne pas correctement et permet aux demandes spécialement manipulées de sauter les validations habituelles. En pratique, une explosion réussie peut donner accès à un compte interne hautement privilège (non-root) sur le contrôleur, à partir duquel l'attaquant peut utiliser NETCONF pour modifier les paramètres de maillage SD-WAN et établir des éléments qui semblent légitimes au sein du réseau.
L'agence de renseignement de la menace de Cisco, Talos, a suivi l'activité malveillante avec le label UAT-8616 et s'assure qu'avec une grande confiance, il est un adversaire très sophistiqué. Talos souligne également qu'il y a des preuves d'exploitation active depuis au moins 2023 et que l'acteur aurait réussi à s'enraciner en retournant temporairement le logiciel à une version vulnérable et en exploitant CVE-2022-20775 pour obtenir des privilèges de superutilisateur, puis restaurer la version originale et masquer les impressions. L'analyse Talos est disponible sur votre blog: Cisco Talos - UAT-8616.
La gravité de l'incident a conduit à une intervention coordonnée entre les fournisseurs et les autorités. Le 25 février 2026, l'agence américaine CISA a publié Directive d'urgence ED-26-03, qui oblige les organismes fédéraux à inventer des systèmes Cisco SD-WAN, à recueillir des dispositifs judiciaires, à assurer le stockage externe des boucles, à appliquer des mises à jour et à rechercher des signes d'engagement liés aux CVE-2026-20127 et CVE-2022-20775. La directive fixe des délais stricts pour le patching en raison de la menace imminente d'exploitation pour les réseaux critiques.
Le gouvernement britannique CNSC, et la CISA ont publié des guides conjoints de recherche et de durcissement pour aider les organisations à détecter les activités malveillantes et à atténuer les risques. Les deux institutions insistent pour que les interfaces de gestion SD-WAN ne soient pas exposées à Internet et recommandent, entre autres mesures, de placer les composants de contrôle derrière les pare-feu, de segmenter et d'isoler les plans de gestion et de déplacer les documents vers des systèmes externes pour éviter leur manipulation.
En ce qui concerne la détection, Cisco et Talos demandent d'urgence d'examiner les dossiers de tout conducteur SD-WAN Catalyst exposé à l'extérieur du périmètre. Un indicateur spécifique est l'apparence dans / var / log / auth. journal des entrées où une clé publique est acceptée pour l'utilisateur vmanage-admin à partir d'adresses IP qui ne font pas partie de l'infrastructure connue. Si des IP inconnus qui ont obtenu une authentification valide sont observés, la recommandation est de considérer l'appareil compromis et d'ouvrir un dossier avec le support technique de Cisco (TAC).
Les autres signes d'engagement partagés par Talos, CISA et Cisco incluent la création ou la suppression inattendues de comptes utilisateurs, la connexion racine ouverte, les clés SSH non autorisées associées à vmanage-admin ou racine et les changements qui permettent PermitRootLogin. Il convient également de surveiller les fichiers d'enregistrement exceptionnellement petits ou manquants - signe possible d'effacement de logiciels - et les événements de dégradation de logiciels suivis par des réinitialisations, car ils pourraient signaler que l'agresseur a exploité la vulnérabilité de 2022 à l'échelle des privilèges.
CISA fournit une liste spécifique des voies d'enregistrement à analyser pour vérifier si CVE-2022-20775 a été utilisé, y compris / var / volatil / log / vdebug, / var / log / tmplog / vdebug et / var / volatil / log / sw _ script _ syncdb.log. De plus, son guide de chasse et de durcissement donne pour instruction aux organisations de recueillir des copies de mémoire auprès de l'administrateur, des répertoires d'utilisateurs personnels et d'autres appareils médico-légaux, et de veiller à ce que les journaux soient copiés à l'extérieur de l'appareil afin d'éviter les modifications.
En termes d'atténuation, Cisco a publié des correctifs qui corrigent la vulnérabilité et souligne qu'il n'y a pas de solution temporaire pour l'éliminer complètement : la seule façon de corriger définitivement CVE-2026-20127 est de mettre à jour une version corrigée du logiciel. De plus, les autorités et Cisco recommandent de restreindre l'accès aux interfaces de gestion, d'appliquer les pratiques officielles de durcissement du fournisseur et d'envoyer des dossiers à des systèmes externes. S'il est confirmé que le compte racine a été compromis, les organismes devraient opter pour des installations propres plutôt que d'essayer de « nettoyer » un système déjà violé.
Cet incident met à nouveau sur la table une leçon répétée mais essentielle pour les opérations de réseau dans les environnements distribués: les plates-formes d'orchestration et de contrôle sont extrêmement sensibles parce qu'elles centralisent la confiance. Ajouter une fausse paire au mesh SD-WAN permet à l'attaquant de chiffrer le trafic apparemment légitime et d'annoncer les routes contrôlées par lui, facilitant les mouvements latéraux et la persistance au sein du réseau d'entreprise.
Enfin, Cisco a publiquement reconnu la collaboration de l'Australian Signals Direction / Australian Cyber Security Centre dans la découverte de l'échec, un rappel que la détection précoce est souvent le résultat de la coopération entre les entreprises et les agences. Si vous gérez ou dépendez d'une mise en œuvre de Cisco Catalyst SD-WAN, vérifiez les guides et les avis liés, priorisez l'installation des correctifs et, en cas de détection d'activité suspecte, lancez les actions médico-légales recommandées et informez le fournisseur et les autorités selon les besoins.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...