Une défaillance de sécurité maximale a une fois de plus placé les périphériques de bord réseau dans le focus: Cisco a confirmé que la vulnérabilité critique de ses conducteurs et gestionnaires de catalyseurs SD-WAN (anciennement appelés vSmart et vManage) est activement exploitée depuis 2023 par un acteur sophistiqué, et a abouti à des réponses coordonnées de plusieurs équipes de sécurité nationales et commerciales.
La vulnérabilité, listée comme CVE-2026-20127 et avec la note CVSS 10.0, permet à un attaquant à distance sans authentification de sauter les mécanismes d'authentification et d'assumer des privilèges administratifs dans le cadre du plan de gestion du SD-WAN. Dans la pratique, un appareil malveillant peut « rejoindre » comme une paire de confiance dans le plan de contrôle et exécuter des actions qui nécessiteraient normalement des identifiants de haut niveau, comme la manipulation de la configuration réseau par NETCONF ou SSH.
Cisco a expliqué que la racine du problème est un échec dans le mécanisme d'authentification par les pairs. La société attribue la découverte à la Direction australienne des signaux / Australian Cyber Security Centre (ASD-ACSC) et qualifie la campagne contre ses systèmes SD-WAN d'UAT-8616, décrivant le groupe responsable comme hautement sophistiqué. L'équipe Talos, qui a enquêté sur l'opération, souligne que l'opération et l'activité post-engagement suivent un schéma conçu pour établir la persistance et se déplacer latéralement dans les installations touchées - un comportement typique lorsque les attaquants cherchent des points de soutien dans l'infrastructure critique. Vous trouverez plus d'informations et d'analyses techniques sur le blog Talos: https: / / blog.talosintelligence.com / uat-8616-sd-wan /.
Les risques découlant de cet échec ne se limitent pas à la levée immédiate des privilèges. Dans les incidents documentés, les attaquants ont profité de l'écart initial pour forcer une dégradation de version de logiciel, exploiter une vulnérabilité antérieure (CVE-2022-20775) qui vous permet de grimper à racine, puis restaurer la version originale pour cacher des traces. Le CVE-2022-20775 est collecté dans la base de données NIST et explique la technique d'escalade utilisée dans la chaîne d'attaque: https: / / nvd.nist.gov / vuln / detail / cve-2022-20775.
Après la détection des tentatives d'intrusion, les attaquants ont commencé à créer des comptes locaux qui imitent d'autres comptes existants, ajouter les clés SSH autorisées pour l'accès racine, modifier les scripts de démarrage liés au SD-WAN et utiliser NETCONF et SSH pour communiquer entre les périphériques plan de gestion. Ils ont également supprimé des dossiers et des commandes de l'historique pour compliquer les enquêtes. Ces étapes permettent de maintenir un accès persistant et de fonctionner avec un certain gigil dans des environnements organisationnels et d'infrastructure critiques.
La portée est large: ont été indiqués comme des déploiements sur site touchés, des implémentations en nuage de Cisco SD-WAN (y compris les environnements gérés par Cisco et FedRAMP). Cisco a publié un guide contenant des versions corrigées et des recommandations sur la migration; il est essentiel d'examiner et de mettre en oeuvre les mises à jour indiquées dans votre avis officiel : Avis de sécurité de Cisco.
La gravité de l'incident a motivé des mesures réglementaires : l'Agence américaine pour l'infrastructure et la cybersécurité. Les États-Unis (CISA) ont ajouté CVE-2026-20127 et CVE-2022-20775 à leur catalogue de vulnérabilités exploitées connues (KEV) et ont publié des lignes directrices d'urgence pour les organismes fédéraux. Ces ordres exigent l'inventeur des systèmes SD-WAN, l'application des correctifs et la présentation de rapports détaillés en temps très serré; la note de la CISA peut être consultée à l'adresse suivante : Alerte de la CISA sur l'inclusion dans KEV et les directives et guides connexes sont publiés ici: ED-26-03: vulnérabilités de Mitigar dans Cisco SD-WAN et Suppléments de chasse et de durcissement.
Pour les équipes de sécurité et les gestionnaires de réseau, la priorité doit être immédiate : appliquer les versions parcheed que Cisco a publiées ou migrer vers les versions corrigées selon votre guide. En outre, il convient de vérifier les signaux d'engagement dans les systèmes touchés; Cisco recommande d'examiner le fichier d'authentification (/ var / log / auth.log) dans la recherche d'entrées telles que "Accepted publickey for vmanage-admin" à partir d'adresses IP non reconnues et de comparer ces IP avec les IP système configurés dans l'interface web du gestionnaire. La CISA suggère également de vérifier les enregistrements qui indiquent des réinitiations inattendues ou des dégradations de versions, en examinant les fichiers de débogage et les traces propres au système.
Il ne s'agit pas seulement de patching : Une réponse complète consiste à vérifier l'existence de comptes locaux suspects, à examiner les clés SSH récemment ajoutées, à inspecter les scripts de démarrage et de restauration et à suivre les mouvements NETCONF / SSH dans le plan de gestion. S'il y a un signe d'engagement, il faut supposer que l'agresseur a pu obtenir de la persistance et donc planifier le confinement, l'éradication et la récupération avec le changement de clés et de références, la réinstallation en toute sécurité du logiciel le cas échéant et une enquête médico-légale qui préserve les preuves avant les systèmes de nettoyage.
Cet incident s'inscrit dans une tendance inquiétante : les dispositifs de bord et les systèmes de gestion de réseau sont des cibles prioritaires pour les acteurs à la recherche de points d'entrée à haute valeur stratégique. Comme l'ont souligné les chercheurs, le fait de compromettre le plan de contrôle d'un SD-WAN permet à un attaquant d'influencer le comportement du réseau à de multiples endroits et d'exfilter ou de manipuler le trafic de manière très néfaste.
Si votre organisation utilise Cisco Catalyst SD-WAN, l'essentiel est maintenant d'agir rapidement : examiner l'avis et les recommandations techniques de Cisco, vérifier les dossiers ci-dessus, vérifier l'intégrité des comptes locaux et des clés, et, si nécessaire, coordonner avec les équipes d'intervention en cas d'incident et les organismes de réglementation pertinents. Pour l'information officielle et les étapes techniques, voir l'avis de Cisco et l'analyse de Talos; et pour les mesures obligatoires ou les exigences de conformité, suivre les lignes directrices et inclure dans le catalogue KEV de la CISA: Cisco, Talos, NVD (CVE-2022-20775) et CISA KEV.
La leçon est claire : garder à jour les éléments essentiels de l'infrastructure du réseau et surveiller activement les plans de gestion n'est plus une bonne pratique facultative, mais un besoin opérationnel d'empêcher les intrusions qui peuvent s'étendre pour compromettre les services distribués et les actifs essentiels.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...