Une faille "zero-day" dans le gestionnaire SD-WAN de Cisco est actuellement exploitée — et il n'existe pas de correctif
Cisco a publié jeudi une alerte d'urgence concernant une vulnérabilité zero-day activement exploitée dans son Catalyst SD-WAN Manager — le contrôleur centralisé utilisé pour gérer l'infrastructure réseau étendu (WAN) au sein des environnements d'entreprise. Aucun correctif n'existe pour le moment. L'entreprise demande à ses clients de contourner une autre vulnérabilité comme mesure d'atténuation partielle en attendant le développement d'un correctif.
La vulnérabilité, suivie sous la référence CVE-2026-20245, obtient un score de sévérité de 7,8. Elle affecte l'interface en ligne de commande de Cisco Catalyst SD-WAN Manager pour tous les types de déploiement : sur site, cloud, cloud géré par Cisco et environnements gouvernementaux FedRAMP.
Comment cela fonctionne
La faille provient d'une validation insuffisante des entrées utilisateur. Un attaquant ayant déjà obtenu les privilèges netadmin — via des identifiants valides, un vol d'identifiants ou en enchaînant cette exploitation avec une autre faille de contournement d'authentification, la CVE-2026-20182 — peut télécharger un fichier spécialement conçu sur le système. Ce téléchargement déclenche une injection de commande qui élève l'accès de l'attaquant au niveau root sur l'hôte SD-WAN Manager.
À partir de là, les dégâts s'aggravent rapidement : Cisco a confirmé des « cas limités » où l'exploitation active a conduit à des modifications de configuration non autorisées poussées vers les périphériques de bordure (edge devices) sur le réseau étendu de l'organisation affectée. Il ne s'agit pas d'un risque théorique — c'est ce que les attaquants ont déjà fait.
La vulnérabilité a été découverte et signalée à l'équipe de réponse aux incidents de sécurité produit (PSIRT) de Cisco par Mandiant, filiale de Google Cloud spécialisée en cybersécurité, début juin.
Que faire immédiatement
L'alerte de Cisco ne propose pas de correctif direct pour la CVE-2026-20245. Au lieu de cela, l'entreprise recommande de mettre à niveau vers des versions logicielles qui résolvent deux vulnérabilités antérieures — la CVE-2026-20182 et la CVE-2026-20127 — qui peuvent servir de conditions préalables à la chaîne d'attaque. Corriger ces points d'entrée supprime l'un des principaux moyens par lesquels les attaquants obtiennent l'accès netadmin nécessaire pour déclencher le zero-day.
Avant la mise à niveau, Cisco demande aux administrateurs d'exécuter la commande request admin-tech sur chaque composant de contrôle de leur déploiement SD-WAN afin de préserver d'éventuels indicateurs de compromission pour une analyse médico-légale ultérieure. Pour vérifier si un système a déjà été ciblé, les administrateurs doivent inspecter le fichier /var/log/scripts.log à la recherche de tentatives suspectes de téléchargement de données de configuration de locataire vers les contrôleurs vSmart.
Pourquoi le SD-WAN est important
Cisco Catalyst SD-WAN est déployé dans les réseaux d'entreprise, les fournisseurs d'accès Internet, les agences gouvernementales et les opérateurs d'infrastructures critiques à l'échelle mondiale. Le SD-WAN Manager est le cerveau administratif de ces déploiements — il contrôle les politiques de routage, les règles de qualité de service et les politiques de sécurité sur des milliers de périphériques de bordure connectés.
Le compromis du gestionnaire n'affecte pas qu'un seul appareil. Il donne aux attaquants un levier sur l'ensemble de la structure réseau. La confirmation que l'activité d'exploitation a déjà entraîné des modifications de configuration poussées vers les périphériques de bordure signifie qu'il ne s'agit pas d'un risque théorique pour l'entreprise — c'est un incident actif qui se déroule dans des organisations n'ayant pas encore appliqué les mesures d'atténuation.
Si votre organisation utilise Cisco Catalyst SD-WAN Manager, traitez ceci comme une priorité de niveau P1. Auditez vos journaux, préservez l'état médico-légal avant d'appliquer les correctifs et mettez à niveau immédiatement vers les versions qui corrigent les vulnérabilités préalables.
Source : BleepingComputer | HelpNetSecurity