Vulnérabilité SD-WAN CVE-2026-20127

Une vulnérabilité critique, référencée CVE-2026-20127 (score CVSS : 10,0), a été identifiée dans les contrôleurs et gestionnaires SD-WAN Cisco Catalyst de Cisco Systems. Cette faille permet à un attaquant distant non authentifié de contourner les contrôles d'authentification et d'obtenir un accès administrateur en envoyant une requête spécialement conçue à un système vulnérable.

Le problème provient d'une faille dans le mécanisme d'authentification du peering, permettant à un attaquant de se connecter en tant qu'utilisateur interne disposant de privilèges élevés (hors root). Grâce à ce niveau d'accès, les attaquants peuvent interagir avec les services NETCONF et manipuler les configurations du réseau SD-WAN, compromettant potentiellement l'intégrité et la disponibilité des réseaux d'entreprise.

Modèles de déploiement concernés

Cette vulnérabilité affecte plusieurs modèles de déploiement, quelle que soit leur configuration :

• Déploiements sur site
• Cloud SD-WAN hébergé par Cisco
• SD-WAN hébergé dans le cloud Cisco – Géré par Cisco
• Cloud SD-WAN hébergé Cisco – Environnement FedRAMP

Les systèmes exposés à l'internet public, en particulier ceux dont les ports sont ouverts, courent un risque de compromission considérablement accru.

Exploitation active et activité des acteurs menaçants

Des chercheurs en sécurité ont confirmé une exploitation active de cette vulnérabilité remontant à 2023. La campagne est suivie sous la désignation UAT-8616 et considérée comme un groupe de menaces très sophistiqué. Les éléments recueillis indiquent que le groupe a exploité cette faille zero-day pour infiltrer des environnements Cisco SD-WAN et obtenir un accès privilégié et persistant.

La méthode d'attaque consiste à créer un nœud malveillant qui intègre le plan de gestion ou de contrôle SD-WAN. Ce dispositif malveillant se fait passer pour un composant SD-WAN légitime mais temporaire, permettant ainsi des interactions de confiance au sein de l'infrastructure de gestion.

Après avoir compromis une application exposée à Internet, des attaquants ont exploité le mécanisme de mise à jour intégré pour rétrograder les versions logicielles. Cette rétrogradation facilite l'exploitation de la vulnérabilité CVE-2022-20775 (score CVSS : 7,8), une faille critique d'élévation de privilèges dans l'interface de ligne de commande (CLI) du logiciel Cisco SD-WAN. Une fois les privilèges root obtenus, les attaquants restaurent le système à sa version logicielle d'origine afin de minimiser les risques de détection.

Les actions postérieures à la compromission attribuées à UAT-8616 comprennent :

• Création de comptes d'utilisateurs locaux conçus pour ressembler à des comptes légitimes
• Insertion des clés d'autorisation SSH pour l'accès root et modification des scripts de démarrage SD-WAN

• Utilisation de NETCONF sur le port 830 et de SSH pour les déplacements latéraux au sein du plan de gestion.

• Altération des journaux, y compris la suppression de fichiers sous /var/log, l'historique des commandes et les enregistrements de connexion réseau

Cette activité reflète une tendance plus large d'acteurs sophistiqués ciblant l'infrastructure périphérique du réseau pour établir des points d'ancrage durables dans des environnements à forte valeur ajoutée, notamment dans les secteurs d'infrastructures critiques.

Guide de correction et de remédiation

Cisco a publié des correctifs pour plusieurs versions de ses logiciels. Les organisations utilisant des versions vulnérables doivent effectuer une mise à jour vers les versions corrigées, notamment :

• Versions antérieures à la 20.9.1 : migrez vers une version corrigée.
• 20.9 : mise à niveau vers la version 20.9.8.2
• 20.11.1 : mise à niveau vers la version 20.12.6.1
• 20.12.5 : mise à niveau vers la version 20.12.5.3
• 20.12.6 : mise à niveau vers la version 20.12.6.1
• 20.13.1, 20.14.1, 20.15 : mise à niveau vers la version 20.15.4.2
• 20.16.1 et 20.18 : mise à niveau vers la version 20.18.2.1

Outre l'application des correctifs, les organisations doivent procéder à une analyse forensique. Il est recommandé d'examiner le fichier /var/log/auth.log à la recherche d'entrées faisant référence à « Accepted publickey for vmanage-admin » provenant d'adresses IP inconnues. Toute adresse IP suspecte doit être comparée aux adresses IP système configurées et répertoriées dans l'interface web de Cisco Catalyst SD-WAN Manager, sous Périphériques > Adresse IP système.

Pour détecter d'éventuels rétrogradations ou redémarrages inattendus, les fichiers journaux suivants doivent être analysés :

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log

Mandats fédéraux et réponse réglementaire

Suite à l'exploitation confirmée de ces vulnérabilités, la Cybersecurity and Infrastructure Security Agency (CISA) a ajouté les CVE-2026-20127 et CVE-2022-20775 à son catalogue des vulnérabilités exploitées connues (KEV). Les agences fédérales relevant du pouvoir exécutif civil sont tenues de corriger ces vulnérabilités dans un délai de 24 heures.

La CISA a également publié la directive d'urgence 26-03, intitulée « Atténuer les vulnérabilités des systèmes SD-WAN Cisco ». Cette directive oblige les agences fédérales à recenser tous les actifs SD-WAN concernés, à appliquer les mises à jour de sécurité et à rechercher les indicateurs de compromission.

Les délais de conformité exigent des organismes qu'ils :

• Veuillez soumettre un catalogue de tous les systèmes SD-WAN concernés avant le 26 février 2026 à 23h59 (heure de l'Est).
• Fournir un inventaire détaillé des produits concernés et des mesures correctives d'ici le 5 mars 2026 à 23h59 HE.
• Signalez toutes les mesures de renforcement de l'environnement avant le 26 mars 2026 à 23h59 HNE.

Ces évolutions soulignent le besoin urgent d'une gestion proactive des correctifs, d'une surveillance continue et d'un renforcement défensif de l'infrastructure périphérique du réseau afin d'atténuer les menaces persistantes avancées ciblant les environnements SD-WAN.