Cisco building exterior with sign

Five Eyes publie une directive d’urgence sur l’exploitation du Zero Day Cisco SD-WAN

Lucas Morel

Les agences de cybersécurité Five Eyes préviennent qu’une vulnérabilité critique du SD-WAN de Cisco est activement exploitée et doit être corrigée immédiatement.

Les agences de cybersécurité de l’alliance Five Eyes ont publié une directive d’urgence avertissant qu’une vulnérabilité critique du Cisco SD-WAN est activement exploitée pour obtenir un accès non autorisé aux réseaux fédéraux.

Les responsables ont confirmé que les acteurs malveillants ciblent les principaux systèmes de contrôle du SD-WAN (l’infrastructure qui gère le trafic sur les réseaux gouvernementaux et d’entreprise) et ont exhorté les organisations à mettre immédiatement à jour les appareils concernés.

Le groupe de renseignement sur les menaces Talos de Cisco a révélé que des attaquants exploitaient une vulnérabilité jusqu’alors inconnue affectant les contrôleurs Cisco Catalyst SD-WAN, identifiée comme CVE-2026-20127. La faille permet à un attaquant non authentifié de contourner les contrôles d’authentification et d’obtenir un accès de niveau administratif aux composants vulnérables du plan de contrôle SD-WAN.

Talos a déclaré que l’activité est associée à un cluster de menaces qu’il suit sous le nom d’UAT-8616, et que les preuves suggèrent que l’exploitation pourrait avoir commencé dès 2023. Une exploitation réussie permettrait aux attaquants de manipuler les communications contrôleur-appareil, de modifier les configurations réseau et potentiellement d’établir un accès persistant dans les environnements d’entreprise.

Les attaquants tentent d’exploiter activement

Nick Andersen, directeur adjoint exécutif pour la cybersécurité à l’Agence américaine de cybersécurité et de sécurité des infrastructures, a déclaré lors d’un point de presse que les acteurs malveillants tentaient activement d’accéder aux réseaux fédéraux et potentiellement de les compromettre en exploitant la faille, mais n’a pas identifié quelles agences étaient affectées.

Il a également averti que l’activité semble augmenter. « Nous continuons de constater une augmentation volumétrique du comportement des acteurs malveillants et de l’extension de la surface d’attaque qu’ils ciblent », a déclaré Andersen, ajoutant que la CISA en était aux premiers stades de la correction de la vulnérabilité. « Nous avons observé une activité de grande envergure et l’engagement persistant des acteurs de la cybermenace à tirer parti du SD-WAN et d’autres technologies continue d’évoluer dans l’espace. »

La CISA n’attribue pas actuellement cette activité à un acteur menaçant spécifique, a noté Andersen.

Mises à jour logicielles disponibles

Les contrôleurs SD-WAN jouent un rôle central dans l’orchestration du trafic sur les réseaux d’entreprise distribués, y compris les succursales et les environnements cloud. Une compromission au niveau du contrôleur pourrait fournir aux attaquants une visibilité et un contrôle étendus sur de grandes parties de l’infrastructure réseau d’une organisation.

Dans un avis de sécurité distinct, Cisco a confirmé la vulnérabilité et publié des mises à jour logicielles pour y remédier. Selon l’entreprise, la faille provient d’une validation insuffisante des demandes d’authentification au sein du processus de peering SD-WAN. Un attaquant envoyant du trafic spécialement conçu pourrait obtenir un accès non autorisé au système et interagir avec les interfaces internes.

Cisco a déclaré qu’il n’existait aucune solution de contournement pour cette vulnérabilité et a exhorté ses clients à appliquer immédiatement les correctifs disponibles. La société a également recommandé d’examiner les journaux système, de valider l’intégrité du contrôleur et de mettre en œuvre des mesures de renforcement supplémentaires lorsque cela est possible.

La CISA et d’autres agences Five Eyes conseillent aux organisations exploitant des systèmes Cisco SD-WAN de donner la priorité au déploiement de correctifs et de mener des évaluations approfondies des compromissions pour déterminer si une exploitation a déjà eu lieu.

La CISA et les organisations auteurs exhortent fortement les défenseurs des réseaux à prendre immédiatement les mesures suivantes :

  • Inventaire tous les systèmes Cisco SD-WAN concernés.
  • Collecter des artefactsy compris les instantanés virtuels et les journaux des systèmes SD-WAN.
  • Correctif Systèmes Cisco SD-WAN, y compris pour CVE-2026-20127 et CVE-2022-20775.
  • Chasse pour preuve de compromis.
  • Mettre en œuvre comme indiqué dans le Guide de renforcement du Catalyst SD-WAN de Cisco et consultez leur blog.

La divulgation intervient dans un contexte de tension au sein de la CISA

Cette divulgation intervient dans un contexte de surveillance accrue de la sécurité des infrastructures réseau. Cela survient également à un moment où la CISA, confrontée à des réductions de personnel et opérant sous les contraintes liées à la fermeture en cours du Département de la Sécurité intérieure, gère des ressources limitées pendant une période d’activité de menace élevée.

Andersen, de la CISA, a cependant déclaré que malgré la fermeture en cours de plusieurs semaines du Département de la Sécurité intérieure, « la CISA reste pleinement engagée à protéger les réseaux fédéraux contre une menace malveillante distincte ».

Les directives d’urgence sont contraignantes pour les agences civiles fédérales et sont réservées aux vulnérabilités qui posent des menaces importantes et immédiates. Bien que l’ordonnance s’applique spécifiquement aux réseaux gouvernementaux, la CISA encourage fréquemment les organisations du secteur privé à suivre des délais de remédiation similaires lorsque des vulnérabilités critiques sont exploitées dans la nature.

Transition vers les cibles du plan de contrôle

Les divulgations coordonnées de Talos, Cisco et des agences gouvernementales mettent en évidence un changement continu dans les priorités des attaquants. Plutôt que de cibler uniquement les points finaux ou les applications destinées aux utilisateurs, les groupes sophistiqués recherchent de plus en plus des technologies de plan de contrôle telles que le SD-WAN, les pare-feu et les systèmes d’identité qui offrent un accès stratégique au réseau.

Une infrastructure SD-WAN compromise peut générer un effet de levier opérationnel élevé. Étant donné que les contrôleurs gèrent le routage, l’application des politiques et l’authentification des appareils dans les environnements distribués, un attaquant disposant d’un accès privilégié pourrait perturber les flux de trafic, rediriger les communications ou utiliser cette position pour se déplacer latéralement vers les ressources cloud et sur site.

Ces révélations renforcent également les inquiétudes de longue date concernant la fenêtre de risque entre la découverte d’une vulnérabilité et le déploiement de correctifs. Dans ce cas, Talos a indiqué que l’activité d’exploitation pouvait avoir précédé la divulgation publique d’une période significative, ce qui suggère que les attaquants ont pu exploiter la faille avant que les clients n’en aient connaissance.

Sécurité du réseauSécuritéVulnérabilités du jour zéro

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

shutterstock 2416896949 The Black Sheep In The Herd Of White Sheep insider threat security cybersecurity vulnerability
Un scanner de vulnérabilité Trivy détourné par un voleur d’informations d’identification lors d’une attaque de la chaîne d’approvisionnement
Cyber Insurance Re-Upload 2
Les nations sont-elles prêtes à être les assureurs de cybersécurité en dernier ressort ?
shutterstock 434035804 water flowing from a silver outdoor tap amid green fields and green trees
Les services des eaux renforcent la cybersécurité grâce à la coopération