Les réseaux modernes dépendent de plus en plus des plates-formes centralisées pour gérer des centaines ou des milliers d'appareils; cette commodité fait toutefois des panneaux de gestion des cibles de grande valeur. Cisco Catalyst SD-WAN Manager - la solution de gestion qui rassemble en un seul conseil le contrôle de centaines ou de milliers d'éléments SD-WAN - est de retour au centre de l'actualité parce que Cisco lui-même a confirmé que deux autres défaillances de sécurité sont exploitées dans des environnements réels, et a demandé aux administrateurs de mettre à jour leur équipement dès que possible.
Les problèmes signalés ne sont pas théoriques: il existe une exploitation active de nature Selon la récente mise à jour de l'entreprise. Cisco a prolongé l'avertissement qu'il a lancé en février et a noté que les vulnérabilités identifiées comme CVE-2026-20122 et CVE-2026-20128 ont été utilisées par les attaquants. La note officielle est disponible au Centre de sécurité Cisco à l'adresse suivante : Avis de sécurité de Cisco.
Pour comprendre la gravité, il est approprié de définir sur les vecteurs d'accès : la vulnérabilité listée comme CVE-2026-20122 permet une écrasement arbitraire des fichiers et, bien que son fonctionnement à distance nécessite des identifiants de lecture seulement avec l'accès à l'API, cela ne le rend pas inoffensif ; en manipulant des fichiers critiques, un attaquant peut modifier les configurations, planter des portes arrière ou préparer d'autres étapes à l'échelle des privilèges. La description technique de cette défaillance est disponible dans le NVD: CVE-2026-20122 (NVD).
L'autre vulnérabilité active, CVE-2026-20128, est moins sévère selon la classification, mais tout aussi préoccupante car elle permet la filtration d'informations sensibles si un attaquant local a des références valides dans vManage. Les détails peuvent être examinés dans le registre de vulnérabilité du NIST : CVE-2026-20128 (DNV). Cisco souligne que les deux défaillances affectent le logiciel de Catalyst SD-WAN Manager, quelle que soit la configuration des appareils, ce qui étend la surface de risque.
Cet avis intervient dans le contexte : récemment, l'exploitation soutenue d'au moins 2023 d'une vulnérabilité critique dans la même suite de gestion, identifiée comme CVE-2026-20127, qui a permis aux attaquants sophistiqués d'ajouter des paires "rogue" (faux pairs) à des réseaux SD-WAN compromis et donc d'insérer des dispositifs malveillants qui semblent légitimes. Des informations sur cette violation sont également fournies dans les bases de données publiques: CVE-2026-20127 (DNV).
La sensibilité du problème a suscité des réponses de la part des autorités. Aux États-Unis, la Infrastructure and Cybersecurity Security Agency (CISA) a lancé la Directive d'urgence ED 26-03, qui oblige les organismes fédéraux à inventer des dispositifs Cisco SD-WAN, à préserver les dispositifs médico-légaux, à externaliser les dossiers, à déployer des patchs et à examiner les incidents éventuels liés à ces vulnérabilités. Le texte intégral de la directive est disponible ici: CISA ED 26-03.
Dans le même temps, Cisco a publié des mises à jour pour d'autres produits sensibles, tels que son centre de gestion du pare-feu sécurisé, où des erreurs ont été corrigées qui pourraient permettre d'éviter l'authentification au code à distance avec des privilèges racine (CVE-2026-20079 et CVE-2026-20131) ; les références dans le catalogue de vulnérabilité permettent de suivre la piste technique de ces problèmes : CVE-2026-20079 (DNV) et CVE-2026-20131 (DNV).
Que devrait faire un administrateur maintenant? La première étape consiste à appliquer les versions corrigées du logiciel mis à disposition par Cisco : la société insiste pour que la mise à jour soit la façon la plus fiable de supprimer ces vecteurs d'attaque. De plus, il est conseillé de restreindre l'accès aux API de gestion, d'examiner et de faire pivoter les références avec priorité, et de segmenter le réseau pour séparer le plan de gestion de l'autre trafic de production, de sorte qu'une rupture dans l'environnement utilisateur ne permet pas un saut direct au contrôleur central.
Il ne suffit pas d'installer des correctifs : il est approprié d'étudier l'activité antérieure possible. Cisco et les agences ont recommandé de collecter et de tenir des registres, à la recherche de signes de création de pairs non autorisés, de changements inattendus dans les modèles ou les politiques, de nouveaux certificats délivrés sans contrôle et de trafic sortant inhabituel vers des destinations inconnues. Ce travail médico-légal est essentiel pour distinguer une mise à jour préventive d'une réponse à une intrusion déjà consommée. Cisco fournit des guides et des détails techniques dans sa note de sécurité : Avis de sécurité de Cisco, et la directive de la CISA explique les étapes minimales de fonctionnement pour les environnements fédéraux : CISA ED 26-03.
La leçon laissée par cet épisode est claire : les pièces qui centralisent le contrôle sur les infrastructures essentielles concentrent le risque. Une défaillance du gestionnaire non seulement compromet un appareil isolé, mais ouvre potentiellement la porte à l'ensemble du réseau qui en dépend. Par conséquent, combiner les mises à jour en temps opportun avec une bonne hygiène de sécurité - contrôle d'accès, dossiers externes, segmentation et surveillance continue - est le seul moyen de réduire l'impact de ces défaillances.
Si vous gérez Catalyst SD-WAN Manager, planifiez une fenêtre de maintenance pour appliquer les correctifs et lancez une vérification complète de votre environnement. Il prend en charge la documentation officielle de Cisco et les recommandations des autorités telles que la CISA afin que l'intervention soit complète et ne laisse pas de côté. Liens utiles pour commencer par : la note de Cisco ( consultatif), les entrées NVD sur les QE susmentionnés ( CVE-2026-20122, CVE-2026-20128, CVE-2026-20127) et la directive CISA ( ED 26-03).
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...