Cisco a publié des corrections pour quatre vulnérabilités critiques qui affectent ses services d'identité et ses fonctions liées aux services Webex. Ces défaillances peuvent permettre de l'exécution de code à distance jusqu'à ce qu'un attaquant passe par n'importe quel utilisateur dans le service, avec des conséquences allant de la perte d'intégrité dans une session à la prise complète de contrôle du système ou la génération de dénis de service.
Le risque est élevé et concret: L'une des vulnérabilités (appelées CVE-2026-20184) est liée à la validation incorrecte des certificats dans l'intégration de SSO avec Hub Control dans les services Webex, ce qui pourrait permettre à un attaquant non authentifié d'installer des identités au sein du service. Trois autres (CVE-2026-20147, CVE-2026-20180 et CVE-2026-20186) sont des erreurs de validation d'entrée dans Cisco ISE et le composant du connecteur d'identité passif (ISE-PIC) qui, dans différents scénarios de privilèges, permettent d'exécuter des codes à distance jusqu'à exécuter des commandes dans le système d'exploitation sous-jacent et d'augmenter l'altitude post-root.
Selon l'avis de sécurité de Cisco, une exploitation réussie des vulnérabilités ISE pourrait même faire cesser les déploiements d'un nœud en un seul nœud, ce qui entraînerait un déni de service dans lequel les équipements qui n'ont pas été authentifiés auparavant ne pourraient pas accéder au réseau tant que le nœud n'aura pas été rétabli. Cisco souligne que, pour l'instant, elle n'a aucune indication d'exploitation active de ces échecs, mais recommande vivement que les mises à jour publiées soient mises en œuvre dès que possible. Le communiqué officiel et les recommandations de Cisco sont disponibles à son centre de sécurité : Avis de sécurité Cisco.
En ce qui concerne les actions spécifiques, la vulnérabilité CVE-2026-20184 est gérée à partir du cloud et n'exige pas des clients qu'ils appliquent un correctif logiciel; cependant, Cisco conseille aux organisations qui utilisent SSO de charger un nouveau certificat SAML de leur fournisseur d'identité (IDP) dans Hub Control pour atténuer le vecteur de remplacement de l'utilisateur. Pour les problèmes affectant ISE et ISE-PIC, Cisco a publié des corrections dans des versions spécifiques: CVE-2026-20147 est résolu dans des versions telles que ISE 3.1 (avec 3.1 Patch 11), 3.2 (Patch 10), 3.3 (Patch 11), 3.4 (Patch 6) et 3.5 (Patch 3) ; les vulnérabilités CVE-2026-20180 et CVE-2026-20186 sont corrigées dans ISE 3.2 (Patch 8), 3.3 (Patch 8), 3.4 (Patch 4) et n'affectent pas 3.5. Si une version antérieure à celle mentionnée est utilisée, Cisco recommande de migrer vers une version corrigée dès que possible. La page support produit est disponible pour télécharger des informations et des guides de mise à jour pour ISE: Cisco Identity Services Engine - Support.
Au-delà de l'installation des correctifs, il convient de prendre des mesures d'atténuation complémentaires : examiner les dossiers et la télémétrie à la recherche de comportements anormaux qui correspondent aux tentatives d'exploitation, restreindre l'accès administratif et vérifier les comptes avec des privilèges, faire des sauvegardes avant d'appliquer des mises à jour et tester les correctifs dans les environnements de préproduction lorsque cela est possible pour éviter des impacts inattendus. Il est également recommandé de renouveler les certificats SAML et de valider la configuration SSO afin de minimiser le risque de substitution, en prenant comme référence les bonnes pratiques sur SAML et le contrôle d'identité. Des ressources sur les bonnes pratiques en gestion de l'identité et en validation d'entrée sont disponibles auprès du NIST et de la communauté OWASP : NVD (NIST) et OWASP - Validation des entrées.
D'un point de vue opérationnel, les équipes de sécurité devraient hiérarchiser les cas exposés à Internet et les nœuds en topologie des nœuds, car dans ces environnements, l'opération pourrait avoir un impact opérationnel immédiat sur l'accès au réseau. S'il y a des doutes quant à l'incidence d'une installation, il convient de consulter les avis techniques de Cisco et, au besoin, d'ouvrir un dossier avec le soutien nécessaire pour obtenir des conseils précis sur la mise à jour ou l'atténuation temporaire.
La dynamique habituelle de ces scénarios est claire : même s'il n'y a pas de preuve publique d'exploitation à l'heure actuelle, les défaillances de la capacité d'éloignement et de remplacement représentent une fenêtre de risque trop large pour reporter les corrections. Mettre à jour les systèmes, valider les configurations SSO et vérifier les comptes administratifs devrait être au sommet de la liste des tâches de tout agent de sécurité ou de gestion de réseau utilisant les services Cisco ISE ou Webex.
Enfin, la mise à jour de l'inventaire des biens et l'établissement de processus d'intervention comprenant la détection, le confinement et le rétablissement aideront à réduire l'impact si une organisation détecte une tentative d'intrusion. Pour suivre les alertes publiques et les entrées CVE officielles, vous pouvez également suivre la base de données de vulnérabilité NIST et les nouvelles de Cisco PSIRT sur son portail de sécurité.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...