La vulnérabilité permet à des attaquants authentifiés de prendre le contrôle du système de gestion du réseau de l’entreprise en tant que root et peuvent être connectés à une activité UAT-8616 précédente.
Cisco avertit ses clients d’une vulnérabilité de haute gravité activement exploitée dans Catalyst SD-WAN Manager, un système de gestion de réseau d’entreprise qui a été ciblé à plusieurs reprises par des pirates informatiques dans le passé. Située dans l’interface de ligne de commande, la faille permet à des attaquants authentifiés d’élever leurs privilèges jusqu’à devenir root et de prendre le contrôle de l’ensemble du système.
La vulnérabilité, suivie comme CVE-2026-20245, est notée 7,8 (élevé) sur l’échelle CVSS au lieu de critique car elle nécessite un accès local et des privilèges d’administrateur réseau pour être exploitée. Ces privilèges peuvent être obtenus via des informations d’identification volées ou en exploitant des failles de contournement d’authentification, telles que CVE-2026-20245 ou CVE-2026-20127, qui ont été corrigées respectivement en mai et février.
Les anciennes failles de contournement d’authentification ont été exploitées par un acteur de cyberespionnage que Cisco Talos suit sous le nom d’UAT-8616. Il n’est pas clair si la nouvelle vulnérabilité a été exploitée par le même groupe dans le cadre de ses campagnes contre les déploiements SD-WAN en entreprise, mais elle a été signalée à Cisco par la division Mandiant de Google, spécialisée dans la réponse aux incidents.
« Cette vulnérabilité est due à une validation insuffisante des entrées fournies par l’utilisateur », a déclaré Cisco dans son avis. « Un attaquant pourrait exploiter cette vulnérabilité en téléchargeant un fichier contrefait sur le système affecté. Un exploit réussi pourrait permettre à l’attaquant d’effectuer des attaques par injection de commandes sur un système affecté et d’élever ses privilèges en tant qu’utilisateur root. «
Atténuation
Bien qu’aucun correctif ne soit encore disponible, Cisco recommande de mettre à niveau vers la dernière version disponible pour garantir que les exploits de contournement d’authentification précédents ne fonctionnent pas. Les clients doivent également vérifier la configuration de leurs appareils de périphérie, car l’entreprise a observé des cas où l’exploitation de cette faille a entraîné des modifications de configuration.
Avant de mettre à niveau les déploiements SD-WAN, il est conseillé aux utilisateurs de sauvegarder tous les fichiers journaux pertinents et d’émettre le request admin-tech commande pour récupérer le admin-tech fichier de chacun des composants de contrôle.
Cisco a publié des indicateurs de compromission qui devraient être visibles dans le scripts.log fichier de /var/log/. Cependant, il est difficile de distinguer les appels de commandes malveillants et légitimes dans les journaux. Par conséquent, si des indicateurs de compromission sont présents dans les journaux, les clients doivent contacter le centre d’assistance technique.
« Si les journaux montrent des indicateurs de compromission et que le système est confirmé comme étant compromis, l’application de la mise à jour logicielle à elle seule ne résoudra pas la vulnérabilité », a déclaré la société. « Dans de tels cas, suivez les étapes correctives spécifiques qui seront fournies par le centre d’assistance technique Cisco (TAC) pour aider à sécuriser le système. »
