L’avis de Cisco renouvelle l’attention sur les systèmes de gestion SD-WAN qui contrôlent la manière dont les entreprises connectent les sites aux environnements cloud et aux applications critiques.
Cisco a publié des correctifs pour une vulnérabilité dans son logiciel Catalyst SD-WAN Manager après avoir pris conscience de l’exploitation limitée de la faille, qui pourrait permettre à un attaquant authentifié de créer ou d’écraser des fichiers qui pourraient ensuite être utilisés pour obtenir les privilèges root.
La vulnérabilité, identifiée comme CVE-2026-20262, affecte l’interface Web de Cisco Catalyst SD-WAN Manager, anciennement connue sous le nom de SD-WAN vManage, que les entreprises utilisent pour gérer les déploiements SD-WAN dans des environnements réseau distribués.
Cisco a déclaré que la faille provenait d’une validation insuffisante des entrées fournies par l’utilisateur lors du processus de téléchargement de fichiers. Un attaquant distant authentifié disposant d’informations d’identification valides et au moins d’un accès en écriture pourrait exploiter la faille en envoyant une requête HTTP contrefaite à un point de terminaison d’API concerné.
Un exploit réussi pourrait permettre à l’attaquant de créer ou d’écraser n’importe quel fichier sur le système d’exploitation sous-jacent. Ce fichier pourrait ensuite être utilisé pour élever les privilèges au niveau root, a déclaré Cisco.
La société a déclaré que la vulnérabilité affecte tous les types de déploiement, quelle que soit la configuration de l’appareil, y compris les déploiements sur site, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud géré par Cisco et Cisco SD-WAN pour le gouvernement. Cisco a déclaré qu’il n’y avait aucune solution de contournement et a conseillé aux clients de passer aux versions logicielles fixes.
Cisco a évalué la faille comme un risque de gravité moyenne. Bien que la société n’ait pas fourni de détails sur l’activité d’exploitation, elle a conseillé aux administrateurs de consulter les journaux de SD-WAN Manager pour détecter les tentatives de téléchargement de fichiers tels que les fichiers index.jsp et .war.
L’accès root augmente le risque à l’échelle du réseau
Le risque ne se limite pas à un seul appareil ou point final. Cisco Catalyst SD-WAN Manager agit comme un point de contrôle centralisé pour les environnements SD-WAN, faisant de la compromission de la couche de gestion une préoccupation opérationnelle plus large pour les entreprises.
Selon les analystes, une compromission réussie de la racine pourrait avoir des conséquences sur plusieurs branches et applications métiers.
« L’accès root à Cisco Catalyst SD-WAN Manager peut devenir une compromission du plan de contrôle à l’échelle du réseau, ce qui peut affecter la disponibilité des succursales, la segmentation du trafic, la connectivité cloud, ainsi que la disponibilité et l’intégrité des applications métier critiques », a déclaré Keith Prabhu, fondateur et PDG de Confidis. « Cela pourrait entraîner une perte de revenus, une perturbation opérationnelle si les sites perdent la connectivité WAN, une exposition à la sécurité, des coûts de réponse aux incidents et une perte globale de réputation. »
Devashri Datta, chercheur en cybersécurité qui a précédemment travaillé dans la gouvernance de la sécurité des réseaux chez Cisco, a déclaré que l’accès root au SD-WAN Manager pourrait permettre à un attaquant de diffuser des modèles de configuration destructeurs ou d’effacer les politiques locales sur un grand nombre de routeurs de succursales.
Étant donné que la segmentation de l’entreprise est souvent appliquée via des politiques SD-WAN centralisées, un contrôleur compromis pourrait également être utilisé pour modifier les règles de séparation du trafic, y compris les politiques liées aux instances de routage et de transfert virtuels, permettant potentiellement un mouvement latéral à travers des environnements auparavant isolés, a-t-elle déclaré.
Les attaquants pourraient également manipuler les politiques de gestion du trafic cloud ou dégrader les paramètres de routage sensibles aux applications pour les systèmes critiques, affectant ainsi des services tels que les plateformes ERP ou les bases de données en temps réel, a ajouté Datta.
L’impact d’une compromission pourrait aller au-delà d’un incident de sécurité classique, car les modifications apportées via la console SD-WAN peuvent initialement apparaître comme des problèmes de réseau ou de configuration de routine, a déclaré Akshat Tyagi, responsable associé des pratiques chez HFS Research.
Cela pourrait rendre les attaques plus difficiles à détecter, en particulier si les perturbations affectent la connectivité des succursales, l’accès SaaS ou le routage du trafic avant que les équipes de sécurité ne les identifient comme malveillantes, a-t-il déclaré.
Une préoccupation plus large au niveau du plan de gestion
Selon les analystes, les équipes de sécurité devraient considérer les vulnérabilités des systèmes d’orchestration SD-WAN comme un risque plus large du plan de gestion plutôt que comme un simple problème de correctif.
« La CISA et la NSA ont publié des directives sur l’architecture, l’exposition et l’hygiène du plan de gestion, qui vont au-delà des correctifs CVE par CVE typiques », a déclaré Prabhu. « Les attaquants ciblent le contrôleur SD-WAN pour obtenir un contrôle à l’échelle de la structure sur le routage, la segmentation et la politique de sécurité, ce qui peut avoir un impact sur plusieurs sites à la fois. Cela justifie de traiter les gestionnaires SD-WAN comme des actifs de niveau 0 : isolez-les et renforcez-les, contrôlez et surveillez étroitement les accès, et supposez une compromission potentielle du contrôleur dans votre architecture. »
Datta a déclaré que les RSSI ne devraient pas traiter les failles des plates-formes d’orchestration de réseau comme des événements de routine en matière de correctifs, car le plan de gestion est une couche de confiance centrale dans l’infrastructure définie par logiciel.
« Lorsqu’une plate-forme souffre à plusieurs reprises de faiblesses structurelles telles qu’une validation insuffisante des entrées ou des contournements d’authentification, cela signale que le cycle de vie de développement logiciel sécurisé (SDLC) interne du fournisseur a du mal à défendre ses principales limites de confiance », a déclaré Datta.
Les mises à jour d’urgence du WAN peuvent également créer des frictions opérationnelles pour les entreprises mondiales, car elles nécessitent des tests, des fenêtres de modification et une planification de restauration sur l’infrastructure prenant en charge la connectivité des succursales et du cloud, a-t-elle déclaré.
Tyagi a déclaré que les RSSI devraient utiliser l’incident pour déterminer qui peut accéder aux consoles de gestion SD-WAN, qui dispose d’un accès administratif et si une activité inhabituelle s’est déjà produite.
L’application de correctifs reste essentielle, mais les analystes estiment que les organisations devraient également restreindre l’accès aux interfaces de gestion SD-WAN, exiger une authentification multifactorielle résistante au phishing, isoler les systèmes d’orchestration des réseaux d’entreprise généraux et diffuser en continu la télémétrie des gestionnaires et des routeurs de périphérie vers un SIEM indépendant.
Datta a déclaré que les entreprises devraient également faire pression sur les fournisseurs de réseaux pour qu’ils assurent la transparence de la chaîne d’approvisionnement en logiciels, y compris les données SBOM et VEX, afin qu’ils puissent évaluer l’exposition avant de déployer des mises à niveau d’urgence.
