Cisco a confirmé qu'une vulnérabilité critique est exploitée dans des attaques actives à Catalyst SD-WAN Controller, enregistré comme CVE-2026-20182 (CVSS 10.0) qui permet de sauter l'authentification correspondante (pierre) et d'obtenir un accès administratif aux appareils touchés. Selon l'avis officiel de Cisco, le problème est que le mécanisme d'authentification entre pairs « ne fonctionne pas correctement », de sorte qu'un attaquant peut envoyer des requêtes manipulées pour s'enregistrer comme une paire légitime et obtenir un compte interne avec des privilèges élevés qui permettent l'accès à NETCONF et la manipulation de la configuration tissu SD-WAN. Plus de détails techniques et l'avis de Cisco sont disponibles sur la page de l'entreprise : Avis Cisco CVE-2026-20182.
La découverte a été attribuée par Cisco à des travaux d'analyse qui ont également lié la recherche à une vulnérabilité antérieure (CVE-2026-20127) trouvée par Rapid7; Rapid7 a publié une analyse qui met en contexte la façon dont le contournement a été détecté et pourquoi l'échec permet de créer de faux « pairs » dans le réseau SD-WAN : Rapid7: rapport et contexte. La CISA a inclus la vulnérabilité dans son Catalogue des vulnérabilités exploitées connues et a donné des instructions immédiates pour les organismes fédéraux, qui mettent en évidence la gravité et l'impact opérationnel potentiel : Catalogue CISA KEV.
Le vecteur d'attaque est particulièrement dangereux car, en ajoutant un pair malveillant, l'acteur peut mettre en place des tunnels cryptés qui semblent légitimes au sein du SD-WAN et annoncer des itinéraires sous son contrôle. Avec NETCONF disponible, un intrus peut modifier les politiques de routage, rediriger le trafic, ouvrir l'accès latéral aux centres de données ou aux nuages et persister dans l'infrastructure sans accès direct à la racine. Bien que le compte obtenu par exploitation soit « sans racine », ses privilèges internes permettent de modifier la disponibilité, la confidentialité et l'intégrité du réseau d'entreprise.
Cisco a publié des indicateurs d'engagement (COI) et des recommandations tactiques : examiner les dossiers d'authentification (p. ex. / var / log / auth.log) sur les pilotes exposés à Internet à la recherche de connexion publique pour le compte administratif du gestionnaire, et comparer les adresses IP avec le « système IP » configuré dans le SD-WAN UI pour détecter les pairs non autorisés. Il recommande également d'examiner les registres de pairs du conducteur en recherchant des événements d'inscription par les pairs qui ne correspondent pas à la topologie connue. Comme Cisco affirme qu'il n'y a pas d'autres mesures d'atténuation complètes, le seul remède définitif est d'appliquer les versions corrigées publiées par Cisco.
Si vous gérez Catalyst SD-WAN, la première action devrait être d'assumer la possibilité d'engagement si l'ordinateur était accessible à partir d'Internet et que toute IP inconnue apparaît dans les journaux d'authentification ou de recherche. Dans ce cas, Cisco conseille d'ouvrir un dossier avec TAC; de la pratique de l'intervention incidente, en plus du support de contact, il convient d'isoler le contrôleur affecté du réseau, de prendre le renversement médico-légal des journaux et des configurations, de faire pivoter les clés et les certificats utilisés pour l'appariement et la gestion, et d'envisager la reconstruction complète de l'appareil avec un logiciel patché s'il existe des preuves d'accès non autorisé.
Parallèlement au patch, réduire la surface d'attaque : limiter l'accès aux interfaces de gestion et au plan de contrôle aux réseaux de confiance internes ou aux adresses IP autorisées, mettre en place des listes de contrôle d'accès au niveau des bords, limiter la portée de l'accès NETCONF et mettre en œuvre des politiques les moins privilégiées dans la gestion du SD-WAN. Mettre en place une détection continue des changements inattendus dans la configuration et vérifier les voies et les annonces BGP/télémétriques pour détecter les injections de voies malveillantes. Ces mesures aident à atténuer le risque pendant que le dispositif est déployé, mais ne le remplacent pas.
Sur le plan de la gouvernance et de la continuité, cet épisode exige un examen des pratiques de confiance entre les appareils dans les architectures SD-WAN : utiliser une seconde vérification de la validité des certificats et des clés, tenir l'inventaire et la liste blanche des IP système et des pairs approuvés, et effectuer des vérifications régulières de la télémétrie des plans de contrôle. Dans le cas des organismes qui se conforment à la réglementation ou qui appuient des services essentiels, appuyer les mesures visant les dossiers judiciaires et aviser les intervenants et les organismes de réglementation au besoin.
La vitesse d'exploitation déclarée et l'entrée dans le catalogue de la CISA comportent une fenêtre de risque en temps réel : Plot immédiatement, vérifier les journaux et prendre des engagements lorsqu'il y a des enregistrements d'authentification de PI non reconnus. Si vous avez besoin d'une orientation ou d'un soutien technique précis pour un incident continu, documentez les dates et les échantillons avant d'apporter des changements et envisagez d'augmenter les services d'intervention professionnelle ou le TAC de Cisco pour préserver les preuves et accélérer le confinement.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...