Cisco a publié des correctifs pour quatre vulnérabilités classées comme critiques, y compris une défaillance de validation de certificat sur sa plateforme Cloud Webex Services qui, bien que corrigée par l'entreprise, oblige les clients à prendre des mesures supplémentaires pour éviter les interruptions de service.
Webex Services est la plateforme Cisco pour la communication et la collaboration dans les environnements de travail hybrides. Le problème le plus grave signalé cette semaine est CVE-2026-20184 et affecte l'intégration de connexion unique (SSO) avec Hub Control, le panneau cloud qui gère les paramètres Webex. En termes simples, une validation incorrecte des jetons a permis à un attaquant distant de supplier n'importe quel utilisateur sans privilèges préalables, simplement en présentant un tamen manipulé dans un paramètre de service. Vous pouvez lire l'explication officielle de Cisco dans son avis technique ici: Avis de sécurité Cisco - Webex.
Cisco indique que le service Webex a déjà été mis à jour de son côté, mais ajoute que les organisations qui utilisent le SSO devraient télécharger un nouveau certificat SAML de votre fournisseur d'identité (ID P) vers Hub Control pour que l'intégration continue de fonctionner correctement et d'éviter une éventuelle interruption de l'accès. Les instructions étape par étape pour cette opération sont dans la documentation officielle Webex: Gérer l'intégration SSO dans Hub Control.
En plus de la défaillance de Webex, Cisco a publié des corrections pour trois vulnérabilités critiques sur la plateforme Identity Services Engine (ISE), listée comme CVE-2026-20147, CVE-2026-20180 et CVE-2026-20186. Ces vulnérabilités permettent l'exécution de commandes arbitraires dans le système d'exploitation sous-jacent, mais exigent que l'attaquant ait déjà des pouvoirs administratifs sur l'équipe cible. Bien que l'exigence relative aux pouvoirs augmente la barrière d'entrée, le risque demeure élevé dans les environnements où les comptes de l'administrateur ne sont pas strictement contrôlés.
Cisco souligne également que, dans la série de mises à jour publiées cette semaine, une douzaine d'échecs supplémentaires ont été traités, y compris une dizaine de vulnérabilités de gravité moyenne qui pourraient permettre de contourner l'authentification, d'alléger les privilèges ou de causer des dénis de service. La liste complète des avis est disponible dans le dépôt public de Cisco : Publications de sécurité de Cisco. À l'heure actuelle, l'équipe PSIRT de Cisco n'a trouvé aucune preuve d'exploitation active de ces échecs dans des attaques réelles.
Cet ensemble de patchs s'inscrit dans un contexte où les vulnérabilités de Cisco ont été la cible de campagnes d'exploitation ces derniers mois. Le mois dernier, la U.S. Infrastructure and Cybersecurity Security Agency (CISA) a émis un ordre aux agences fédérales de stationner d'urgence une vulnérabilité maximale au centre de gestion des pare-feu sécurisé (CVE-2026-20131), qui avait été utilisé comme jour zéro dans les attaques avec le Ransomware Interlock. Pour plus de contexte sur les vulnérabilités exploitées et les interventions gouvernementales, voir le catalogue des vulnérabilités exploitées par des acteurs connus tenus par la CISA : Catalogue des vulnérabilités exploitées (CISA) ainsi que l'entrée du NVD pour ce CVE: CVE-2026-20131 (DNV).
Que devraient faire les agents de sécurité et les administrateurs en ce moment? Premièrement, appliquer les correctifs que Cisco publie dès que possible donner la priorité aux systèmes exposés et aux plateformes d'authentification centralisées. Dans le cas spécifique de Webex avec SSO, en plus d'appliquer la correction sur la plate-forme, il est essentiel de suivre le guide Cisco et de télécharger le nouveau certificat SAML de l'IDP à Hub Control. Avant de le faire dans la production, il convient de tester la mise à jour dans un environnement contrôlé et de coordonner les fenêtres d'entretien afin de minimiser l'impact sur les utilisateurs finaux.
Pour les installations de l'ISE, bien que l'exploitation à distance exige des pouvoirs administratifs, la recommandation demeure urgente : se garer, examiner les comptes avec des privilèges, renforcer l'accès administratif avec des dossiers d'authentification et de vérification multifacteurs, et segmenter la gestion des systèmes critiques pour réduire la surface de l'attaque. Il est également bon de vérifier les registres par activité inhabituelle et d'examiner les contrôles d'accès au répertoire et au PDI.
La sécurité ne prend pas fin lors de l'application d'un patch: Roter les certificats et les clés, invalider les anciennes sessions et les jetons, et valider que les intégrations SSO fonctionnent correctement sont les étapes nécessaires pour fermer le cycle. Si des doutes ou des anomalies sont détectés, contactez le support Cisco et suivez les recommandations spécifiques de l'avis de sécurité est la bonne façon. La page d'avertissement centrale de Cisco PSIRT est une ressource clé : PSIRT Cisco - avis et bulletins.
En bref, ces corrections mettent en évidence deux leçons récurrentes : les intégrations d'identité sont une cible attrayante pour les attaquants de puissance offerts par un compte compromis, et l'infrastructure de réseau et de gestion (comme ISE ou FMC) nécessite des contrôles d'accès et des mises à jour strictes. Agir maintenant, coordonner les changements avec les équipes d'identité et les opérations, et tenir compte des dossiers est ce qui fera la différence entre une mise à jour de routine et l'atténuation efficace d'un risque réel.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...