Une faiblesse dans un humble compte de lobby a permis aux chercheurs d’Opswat d’élever leurs privilèges.
Les commutateurs d’entreprise Catalyst 9300 de Cisco, largement déployés, présentent quatre vulnérabilités de sécurité, dont deux pourraient être enchaînées pour provoquer une panne par déni de service, a révélé la société de sécurité des infrastructures Opswat.
Les deux plus importants sur le plan opérationnel sont CVE-2026-20114 et CVE-2026-20110, qui, selon les chercheurs, pourraient être enchaînés pour rendre possible une dangereuse élévation de privilèges. Le laboratoire de protection des infrastructures critiques (CIP) de l’unité 515 d’Opswat les a découverts et les a signalés à Cisco en juillet dernier.
La première faiblesse concernait le compte Catalyst WebUI Lobby Ambassador, qui existe pour permettre au personnel non technique sans privilèges d’administrateur d’administrer l’accès Wi-Fi des invités.
Il s’est avéré qu’il y avait une vulnérabilité d’injection de commande (CVE-2026-20114) qui a permis aux chercheurs de créer un compte basé sur MAC avec un niveau de privilège légèrement plus élevé.
Avec cet accès, ils ont ensuite découvert une deuxième vulnérabilité plus grave causée par une désinfection insuffisante (CVE-2026-20110) qui leur a permis d’atteindre un niveau de privilège suffisamment élevé pour mettre les commutateurs Catalyst 9300 en « mode maintenance », auquel cas ils cesseraient de transmettre le trafic.
« Cette chaîne de vulnérabilité permet à un utilisateur peu privilégié d’augmenter ses capacités et finalement de déclencher une condition de déni de service complet sur le périphérique Cisco », a déclaré Opswat dans une vidéo de validation de principe.
Opswat a également découvert deux autres vulnérabilités de Catalyst 9300 : CVE-2026-20112 (cross-site scripting) et CVE-2026-20113 (injection CRLF). Ceux-ci concernent l’environnement d’intégration IOS XE IOx qui active les fonctionnalités de cloud computing sur les commutateurs Catalyst.
Le premier d’entre eux, CVE-2026-20112, pourrait être exploité par un « utilisateur authentifié (qui) pourrait stocker des charges utiles JavaScript malveillantes qui s’exécuteraient plus tard dans le contexte de la session d’un autre utilisateur », a déclaré Opswat dans son analyse complète de vulnérabilité.
La seconde, CVE-2026-20113, permettrait à un attaquant de brouiller les traces de tout exploit sur IOS XE IOx : « En injectant des caractères de contrôle contrefaits, un attaquant peut falsifier ou manipuler des entrées de journal, masquant potentiellement les activités malveillantes et compromettant l’intégrité des enregistrements d’audit », a déclaré Opswat, ajoutant que cela affaiblit la fiabilité des mécanismes de journalisation essentiels à la surveillance, à la réponse aux incidents et à l’analyse médico-légale.
Priorité aux correctifs
Pour progresser, un attaquant devrait enchaîner les deux premières vulnérabilités, CVE-2026-20114 et CVE-2026-20110, dont la première nécessiterait une authentification à l’aide d’identifiants volés.
Cela relève légèrement la barre de toute compromission, même si le vol d’informations d’identification pour des comptes d’utilisateurs à faibles privilèges ne constitue pas un obstacle majeur pour un attaquant.
Cependant, le fait qu’un attaquant puisse élever les privilèges d’un compte Lobby Ambassador de base pour mettre le commutateur dans un état de déni de service souligne le risque que pose cette vulnérabilité. Une atténuation à court terme de ce problème consisterait à s’assurer que la sécurité MFA est activée pour tous les comptes d’utilisateurs accédant à la fonctionnalité Lobby Ambassador.
Selon Opswat, il a fallu entre juillet dernier et ce mois-ci pour corriger les failles en raison du cycle de mise à jour semestriel de Cisco.
« Depuis que nous avons signalé ces problèmes en août 2025, Cisco n’a pas eu suffisamment de temps pour terminer le processus d’enquête, de correction et de conseil à temps pour le cycle de septembre. En conséquence, la publication a été déplacée vers la fenêtre d’avis suivante en mars 2026 », a déclaré Loc Nguyen, chef de l’équipe de tests d’intrusion. « A notre connaissance, il n’existe aucune preuve que ces vulnérabilités aient été exploitées par des tiers », a-t-il ajouté.
Produits et correctifs vulnérables
Cisco a abordé les quatre CVE dans son avis de sécurité semestriel sur les logiciels Cisco IOS et IOS XE du 25 mars. Bien qu’aucun des scores CVSS individuels ne soit élevé (allant de 4,8 pour CVE-2026-20112 à 6,5 pour CVE-2026-20110), le danger est amplifié par la manière dont les deux premiers peuvent s’enchaîner.
L’outil Software Checker de Cisco peut être utilisé pour déterminer si un commutateur est vulnérable en saisissant la version du logiciel/micrologiciel actuellement utilisé.
Aucune solution de contournement n’est possible pour CVE-2026-20114, CVE-2026-20112 ou CVE-2026-20113. La faille la mieux notée, CVE-2026-20110, peut être atténuée en définissant manuellement le niveau de privilège de la commande « démarrer la maintenance » à partir de l’interface de ligne de commande, a déclaré Cisco.
En février, Cisco a rendu publique une autre série de vulnérabilités affectant Catalyst SD-WAN Manager, CVE-2026-20122, CVE-2026-20126 et CVE-2026-20128. Ceux-ci ont permis à un attaquant de s’élever au niveau root et se sont vu attribuer un score CVSS de 9,8 (« critique ») sans aucune solution de contournement possible.
Le même mois, Cisco a également corrigé une vulnérabilité dans son contrôleur Catalyst SD-WAN, CVE-2026-20127.
