Le bogue de contournement d’authentification (CVE-2026-20182) dans Catalyst SD-WAN donne aux attaquants distants un accès administrateur, sans aucune solution de contournement disponible.
Cisco a divulgué une vulnérabilité de contournement d’authentification de gravité maximale affectant ses plates-formes Catalyst SD-WAN Controller et Catalyst SD-WAN Manager, avertissant que la faille a déjà été exploitée dans la nature.
Cette divulgation fait suite à une vulnérabilité de contournement d’authentification antérieure que Cisco a corrigée en février. Dans le dernier avis, la société a déclaré que la nouvelle faille avait été identifiée lors d’une enquête sur le problème précédemment révélé.
« Une vulnérabilité dans l’authentification par peering dans Cisco Catalyst SD-WAN Controller, anciennement SD-WAN vSmart, et Cisco Catalyst SD-WAN Manager, anciennement SD-WAN vManage, pourrait permettre à un attaquant distant non authentifié de contourner l’authentification et d’obtenir des privilèges administratifs sur un système affecté », a déclaré Cisco dans un avis.
La société a également confirmé avoir eu connaissance d’une « exploitation limitée » de la faille en mai 2026. Cependant, elle n’a pas divulgué de détails sur l’attaque ou les acteurs menaçants impliqués.
La faille Zero Day est désormais corrigée avec des mises à jour logicielles, et il est conseillé aux organisations d’appliquer les correctifs immédiatement, car il n’existe aucune solution de contournement pour résoudre ce bug.
Les attaquants établissent une connexion pour un accès administrateur
Selon Cisco, la vulnérabilité provient d’une validation incorrecte lors du processus d’authentification utilisé pour établir des connexions de contrôle entre les appareils SD-WAN. Il a déclaré qu’un attaquant pourrait exploiter le problème à distance en envoyant des requêtes de connexion de contrôle contrefaites à un système ciblé.
Une exploitation réussie permettrait à l’attaquant de contourner l’authentification, de s’établir comme homologue de confiance et d’obtenir des privilèges administratifs sur l’appareil concerné.
« Un exploit réussi pourrait permettre à l’attaquant de se connecter à un contrôleur Cisco Catalyst SD-WAN concerné en tant que compte interne non utilisateur doté de privilèges élevés », a déclaré Cisco. « En utilisant ce compte, l’attaquant pourrait accéder à NETCONF, ce qui lui permettrait ensuite de manipuler la configuration réseau de la structure SD-WAN. »
Le problème, suivi comme CVE-2026-20182, a reçu une note de gravité maximale de CVSS 10.0. La société a déclaré que le problème est indépendant de la configuration, ce qui signifie que les systèmes vulnérables restent exposés quels que soient les paramètres spécifiques au déploiement.
Cisco a remercié Stephen Fewer, chercheur principal principal en sécurité, et Jonah Burgess, chercheur principal en sécurité, tous deux chez Rapid7, pour avoir découvert et signalé le bug.
L’exploitation active fait passer les correctifs à la vitesse supérieure
Cisco a révélé avoir eu connaissance de tentatives d’exploitation en mai, exhortant ses clients à passer immédiatement à une version corrigée.
Peu de temps après la divulgation, la faille a été ajoutée au catalogue de vulnérabilités exploitées connues (KEV) de la Cybersecurity and Infrastructure Security Agency (CISA). « Adhérez aux directives BOD 22-01 applicables aux services cloud ou arrêtez d’utiliser le produit si des mesures d’atténuation ne sont pas disponibles », indique-t-il.
L’organisme américain de surveillance de la cybersécurité a donné aux agences exécutives fédérales jusqu’au 17 mai pour corriger la faille.
« Il est conseillé aux clients de passer à une version logicielle corrigée appropriée », ont déclaré Fewer et Burgess dans un article de blog, citant des versions logicielles corrigées qui corrigent la faille des versions 20.9 à 26.1.1. « Il n’existe aucune solution de contournement pour remédier à cette vulnérabilité. »
Parallèlement aux correctifs logiciels, Cisco a publié des conseils opérationnels pour aider les organisations à identifier les connexions de contrôle potentiellement malveillantes.
L’avis demande aux administrateurs d’examiner les relations d’appairage de contrôle existantes, à l’aide de la commande « show control connections », et de valider tous les homologues connectés, en particulier ceux associés aux systèmes SD-WAN Manager.
Il est conseillé aux organisations qui soupçonnent une compromission de contacter le support du centre d’assistance technique Cisco et de collecter des informations de diagnostic sur les appareils concernés.
