Cisco SD-WAN : Une faille Zero-Day exploitée depuis 2023 met en péril les réseaux
En tant qu’analyste de cybersécurité, je suis confronté quotidiennement à des menaces sophistiquées. La récente vulnérabilité critique affectant Cisco Catalyst SD-WAN, identifiée sous le nom CVE-2026-20127, est particulièrement préoccupante. Elle est activement exploitée depuis 2023, permettant à des attaquants de compromettre les contrôleurs et d’injecter des composants malveillants dans les réseaux ciblés. Cette situation exige une réaction rapide et coordonnée.
Une vulnérabilité d’authentification critique
La faille réside dans le mécanisme d’authentification par peering de Cisco Catalyst SD-WAN Controller et Manager. Selon Cisco, ce mécanisme “ne fonctionne pas correctement”, ouvrant la porte à des requêtes contrefaites. Un attaquant qui réussit à exploiter cette vulnérabilité peut obtenir un accès élevé au contrôleur, lui permettant de manipuler la configuration réseau et d’ajouter des homologues malveillants.
Bon à savoir : Cisco Catalyst SD-WAN est une plateforme logicielle essentielle pour connecter les succursales, les centres de données et les environnements cloud. Sa compromission peut avoir des conséquences désastreuses pour la continuité des activités.
L’activité malveillante traquée par UAT-8616
L’alerte a été initialement soulevée par le Centre australien de cybersécurité et a depuis été confirmée par Cisco Talos, qui suit l’activité malveillante sous le nom de “UAT-8616”. Talos estime avec un haut degré de confiance qu’il s’agit d’un acteur malveillant très sophistiqué. L’exploitation remonte au moins à 2023, avec des tactiques incluant le retour à des versions logicielles plus anciennes pour exploiter CVE-2022-20775 afin d’obtenir un accès root, puis le rétablissement de la version originale pour échapper à la détection.
Réponse d’urgence et directives
Face à cette menace imminente, la CISA (Cybersecurity and Infrastructure Security Agency) a publié une directive d’urgence (ED-26-03) obligeant les agences fédérales américaines à inventorier leurs systèmes Cisco SD-WAN, à collecter des preuves médico-légales, à stocker les journaux en externe, à appliquer les mises à jour et à enquêter sur les potentielles compromissions. Un délai strict a été fixé : les corrections doivent être appliquées avant 17h HE le 27 février 2026.
Le Centre national de cybersécurité du Royaume-Uni (NCSC) a également émis un avertissement, soulignant que des acteurs malveillants ciblent les déploiements Cisco Catalyst SD-WAN à l’échelle mondiale. Ils recommandent de ne jamais exposer les interfaces de gestion SD-WAN à Internet et d’appliquer immédiatement les mises à jour et les mesures de renforcement.
Indicateurs de compromission (IOC) à surveiller
Cisco et Talos recommandent de surveiller attentivement les journaux des systèmes Catalyst SD-WAN Controller exposés à Internet à la recherche de signes d’événements de peering non autorisés et d’activités d’authentification suspectes. Plus précisément, il faut rechercher dans /var/log/auth.log des entrées indiquant l’acceptation de clés publiques pour “vmanage-admin” provenant d’adresses IP inconnues.
Conseil d’expert : Comparez ces adresses IP avec les adresses système configurées et l’infrastructure de gestion connue. Toute adresse IP inconnue doit être considérée comme un signe de compromission.
D’autres IOC incluent la création et la suppression de comptes d’utilisateurs malveillants, les connexions root inattendues, les clés SSH non autorisées et les modifications activant PermitRootLogin. Il est également crucial de rechercher des fichiers journaux inhabituellement petits ou manquants, ainsi que des mises à niveau et des redémarrages de logiciels.
Que faire si vous êtes concerné ?
La solution la plus efficace est de mettre à niveau vers une version logicielle corrigée. Cisco affirme qu’il n’existe aucune solution de contournement permettant d’atténuer complètement le problème. En parallèle, il est impératif de limiter l’exposition du réseau, de placer les composants de contrôle SD-WAN derrière des pare-feu, d’isoler les interfaces de gestion et de transférer les journaux vers des systèmes externes.
FAQ
Q : Quelle est la gravité de cette vulnérabilité ?
R : Elle est considérée comme critique, avec un score CVSS de 10.0.
Q : Quels produits sont affectés ?
R : Cisco Catalyst SD-WAN Controller (anciennement vSmart) et Cisco Catalyst SD-WAN Manager (anciennement vManage).
Q : Existe-t-il une solution de contournement ?
R : Non, Cisco recommande uniquement la mise à niveau vers une version corrigée.
Q : Comment puis-je savoir si mon système a été compromis ?
R : Surveillez les journaux à la recherche d’IOC et contactez Cisco TAC en cas de suspicion.
Cette vulnérabilité souligne l’importance cruciale de la gestion proactive des vulnérabilités et de la surveillance continue des réseaux. La rapidité de réaction est essentielle pour minimiser les risques et protéger les infrastructures critiques. N’hésitez pas à partager vos expériences et vos questions dans les commentaires ci-dessous.
