Avis de sécurité : CVE-2026-20127 - Contournement de l'authentification du SD-WAN de Cisco Catalyst

Les plateformes SD-WAN Cisco Catalyst sont largement déployées dans les entreprises, les gouvernements et les fournisseurs de services, servant souvent d'infrastructure centrale pour relier les bureaux distants, les centres de données et les environnements en nuage. Comme ces contrôleurs sont souvent accessibles à partir de réseaux externes pour soutenir les opérations distribuées, ils représentent une cible très visible et attrayante pour les acteurs de la menace.

Cisco a révélé une vulnérabilité critique de contournement d'authentification, CVE-2026-20127, affectant à la fois le Cisco Catalyst SD-WAN Controller (anciennement vSmart) et le Cisco Catalyst SD-WAN Manager (anciennement vManage). La faille a un score CVSS de 10.0, permettant à un attaquant distant et non authentifié d'obtenir un accès de niveau administratif en envoyant des demandes élaborées à un système exposé.

La vulnérabilité provient d'une défaillance dans le processus d'authentification du peering SD-WAN, brisant de fait un mécanisme de confiance central dans le plan de contrôle. Une fois exploitée, un attaquant peut se connecter en tant qu'utilisateur interne à haut privilège (non root) et utiliser NETCONF pour manipuler la configuration de la structure SD-WAN.

Les agences de sécurité des États-Unis, du Royaume-Uni, de l'Australie, du Canada et de la Nouvelle-Zélande ont confirmé conjointement l'exploitation active, les preuves montrant que les acteurs de la menace abusent de cette faille depuis au moins 2023. Cisco a établi un lien entre cette activité et un groupe d'intrusion sophistiqué connu sous le nom de UAT-8616.

La CISA a également ajouté le CVE à sa liste de vulnérabilités exploitées connues (KEV), soulignant son impact opérationnel.

Produits concernés

La vulnérabilité affecte tous les types de déploiement des composants SD-WAN de Cisco Catalyst, quelle que soit la configuration :

• Contrôleur SD-WAN Cisco Catalyst (vSmart)
• Cisco Catalyst SD-WAN Manager (vManage)
• Installations sur site
• SD-WAN en nuage hébergé par Cisco
• Environnements SD-WAN en nuage gérés par Cisco et FedRAMP
• Accéder au système sans authentification
• Se connecter en tant qu'utilisateur interne à privilèges élevés
• Utiliser NETCONF pour modifier la configuration du SD-WAN
• Ajouter des pairs SD-WAN malhonnêtes
• se positionner pour une nouvelle escalade des privilèges (par exemple, enchaînement avec CVE-2022-20775).
• Cisco a confirmé une exploitation limitée mais réelle de la vulnérabilité.
• Les agences de renseignement font état d'une activité d'exploitation remontant à 2023.
• L'acteur de la menace UAT-8616 a utilisé la vulnérabilité pour ajouter des pairs malhonnêtes et maintenir un accès à long terme.
• Plusieurs centres nationaux de cybersécurité ont publié des alertes coordonnées et un guide commun de chasse aux menaces SD-WAN.
• 20.9.8.2
• 20.12.6.1
• 20.12.5.3
• 20.15.4.2
• 20.18.2.1
• Entrées suspectes dans /var/log/auth.log, en particulier :
• Accepted publickey for vmanage-admin from unknown IPs (Clé publique acceptée pour vmanage-admin à partir d'IP inconnues)
• Examiner les listes d'IP du système de périphériques du SD-WAN Manager pour détecter les changements inattendus.
• Placer les composants de gestion et de contrôle derrière des pare-feu périmétriques stricts
• Isoler les interfaces VPN 512
• Restreindre les IP des dispositifs de périphérie fournis manuellement
• Remplacer les certificats auto-signés
• Transférer les journaux vers un syslog distant

Applicable à :

Il n'y a pas de solution de contournement et des correctifs sont nécessaires.

Résumé technique

Ce que l'attaquant peut faire

En exploitant le mécanisme d'authentification du peering défaillant, un attaquant peut :

Le SD-WAN étant au cœur du routage distribué de l'entreprise, un accès non autorisé à cette couche permet aux attaquants de bénéficier d'une visibilité et d'un contrôle approfondis sur les sites connectés.

Statut de l'exploitation

Versions logicielles corrigées

Cisco a publié des mises à jour pour tous les principaux trains de logiciels SD-WAN. Les utilisateurs concernés doivent mettre à jour les versions corrigées telles que :

(en fonction de la branche logicielle actuelle)

Les appareils utilisant des versions antérieures à 20.9.1 doivent migrer vers une version corrigée.

Actions recommandées

1. Apporter un correctif immédiatement

Appliquez sans délai la mise à jour appropriée fournie par Cisco. Il n'y a pas de solution de contournement prise en charge.

2. Mener une chasse aux menaces ciblée

Les agences nationales recommandent de collecter des instantanés, de vérifier les journaux et d'examiner les indicateurs de compromission. Les éléments clés sont les suivants

• Entrées suspectes dans /var/log/auth.log, en particulier :
• clé publique acceptée pour vmanage-admin à partir d'adresses IP inconnues.
• L'examen des listes d'adresses IP du système de périphériques de SD-WAN Manager à la recherche de changements inattendus.

3. Renforcer l'exposition à la gestion du SD-WAN

Suivre les conseils de durcissement du SD-WAN de Cisco :

• Placer les composants de gestion et de contrôle derrière des pare-feu périmétriques stricts.
• Isoler les interfaces VPN 512
• Restreindre les adresses IP des périphériques approvisionnés manuellement
• Remplacer les certificats auto-signés
• Transférer les journaux vers un syslog distant

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte ouprenez contact avec nouspoursavoir comment vous pouvez protéger votre organisation.