Si vous administrez une infrastructure réseau utilisant **Cisco Catalyst SD-WAN**, une vulnérabilité critique actuellement exploitée sur Internet permet à un attaquant distant sans authentification d’obtenir un accès administrateur au système. Une exploitation réussie peut permettre de modifier la configuration réseau, d’espionner les communications ou de maintenir un accès discret à l’infrastructure. Les investigations effectuées par Cisco Talos montrent que ces attaques sont menées par un acteur sophistiqué et que des compromissions ont été observées depuis au moins 2023, avec dans certains cas une élévation de privilèges jusqu’au contrôle complet du système après modification de la version logicielle. Selon Cisco, un système SD-WAN peut être particulièrement exposé si : * le contrôleur SD-WAN est accessible depuis Internet * des ports sont ouverts vers l’extérieur * l’accès n’est pas limité aux adresses IP autorisées Les éléments suivants peuvent indiquer qu’un système SD-WAN a été compromis : * une nouvelle connexion SD-WAN inconnue * un accès administrateur inattendu * des journaux système effacés ou incomplets * des mises à jour ou rétrogradations non planifiées Cisco recommande de vérifier certains journaux système pour détecter une compromission éventuelle. Par exemple, dans le fichier /var/log/auth.log, une connexion SSH au compte vmanage-admin depuis une adresse IP inconnue peut être suspecte : >Accepted publickey for vmanage-admin from -adresse IP inconnue- Dans ce cas, il faut vérifier que l’adresse IP correspond bien à un équipement SD-WAN autorisé (visible dans l’interface SD-WAN Manager → Devices → System IP). PRODUITS CONCERNÉS Cette vulnérabilité affecte : * Cisco Catalyst SD-WAN Controller * Cisco Catalyst SD-WAN Manager Quel que soit le mode de déploiement : * Déploiement sur site (On-Premise) * Cisco Hosted SD-WAN Cloud * Cisco Hosted SD-WAN Cloud – Cisco Managed * Cisco Hosted SD-WAN Cloud – Environnement FedRAMP ------------------------ ACTIONS RECOMMANDÉES * Application des mises à jour recommandée dès que possible * Surveillance des connexions et changements inhabituels recommandée * Restreindre l’accès réseau aux seuls équipements autorisés * Conserver les journaux sur un serveur externe si possible * Placer les contrôleurs derrière un firewall 🩹 👇 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk analyse Cisco Talos 👇 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-rpa-EHchtZk Détails Vulnérabilité critique CVE-2026-20127 👇 https://cve.circl.lu/vuln/CVE-2026-20127 >Investigation conducted by intelligence partners identified that the actor likely escalated to root user via a software version downgrade 👇 https://www.cyber.gov.au/sites/default/files/2026-02/ACSC-led%20Cisco%20SD-WAN%20Hunt%20Guide.pdf #CyberVeille #cve_2026_20127 #Cisco #vuln