Suivre 
Cisco a divulgué une septième vulnérabilité zero-day SD-WAN exploitée en 2026, suivie sous le CVE-2026-20245. La faille affecte l’interface en ligne de commande de Cisco Catalyst SD-WAN Manager et peut permettre à un attaquant distant authentifié avec des privilèges netadmin d’exécuter des commandes arbitraires en tant que root en téléchargeant un fichier spécialement conçu. Cisco indique que l’exploitation a déjà été observée dans des cas limités, y compris des incidents où des modifications de configuration ont été poussées vers des appareils périphériques.
Le risque est amplifié par les exigences d’accès. Cisco déclare que l’attaquant doit déjà posséder des privilèges netadmin, pouvant provenir de la compromission de crédentiels ou de l’enchaînement de failles SD-WAN précédemment divulguées telles que CVE-2026-20182 ou CVE-2026-20127. Selon la divulgation de Cisco résumée par Help Net Security et SecurityWeek, le problème affecte tous les types de déploiement Cisco Catalyst SD-WAN, y compris sur site, Cloud-Pro, Cloud géré par Cisco, et environnements FedRAMP.
Analyse du CVE-2026-20245
Pour l’analyse du CVE-2026-20245, la principale faiblesse est une validation insuffisante des données d’entrée fournies par l’utilisateur dans le CLI du SD-WAN Manager. La description publique de Cisco indique qu’un attaquant authentifié peut télécharger un fichier spécialement conçu et déclencher une injection de commande, augmentant finalement les privilèges à root sur le système affecté. SecurityWeek ajoute que le PSIRT de Cisco a pris connaissance de l’exploitation en juin 2026, ce qui suggère que la divulgation a été accélérée car la faille était déjà exploitée dans la nature.
Les détails les plus importants pour le CVE-2026-20245 sont que ce n’est pas une faille distale non authentifiée par elle-même, et que le chemin d’exploitation semble étroitement lié à une activité de compromission SD-WAN préalable. Cisco n’a pas connaissance d’exploitation réussie par une méthode autre que l’obtention d’abord de l’accès privilégié requis, c’est pourquoi les défenseurs devraient traiter le problème comme faisant partie d’une chaîne d’intrusion SD-WAN plus large plutôt que comme un vecteur d’accès initial autonome.
Au moment de la divulgation, les sources citées ne faisaient pas état d’une PoC publique pour CVE-2026-20245, mais Cisco a confirmé une exploitation active et a indiqué que Mandiant avait signalé la faille. En termes pratiques, la charge utile CVE-2026-20245 de l’attaquant est un fichier conçu téléchargé via le flux de travail CLI pour déclencher une injection de commande et une exécution au niveau root, et non un dépôt de logiciel malveillant conventionnel livré de l’extérieur de l’appareil.
D’un point de vue opérationnel, le CVE-2026-20245 affecte certains des systèmes les plus sensibles dans un déploiement SD-WAN car le SD-WAN Manager siège au plan de gestion. Cisco a déclaré que l’exploitation observée a entraîné des changements de configuration poussés vers les appareils périphériques, ce qui signifie que l’abus réussi peut s’étendre au-delà du nœud de gestion lui-même et altérer le comportement de l’infrastructure réseau aval.
Atténuation de CVE-2026-20245
Il n’y avait pas de correctif et pas de solution de contournement disponible au moment de la divulgation, donc l’atténuation de CVE-2026-20245 est centrée sur le renforcement, la préservation des preuves et l’examen des compromissions. L’orientation de Cisco, citée par Help Net Security, est de collecter les données admin-tech de chaque composant de contrôle avant toute activité de mise à niveau, puis de procéder à la mise à niveau dès que possible et de vérifier la configuration des appareils périphériques. Ces conseils sont importants car les mises à jour logicielles seules peuvent ne pas résoudre entièrement la situation si le système a déjà été compromis.
Cisco a également publié des IOC pour CVE-2026-20245 sous la forme de directives spécifiques sur les journaux. Help Net Security dit que les clients doivent examiner ces journaux et, si une compromission est confirmée, travailler directement avec le TAC de Cisco pour des étapes de remédiation ciblées. SecurityWeek note également que Cisco a mis des indicateurs à disposition pendant qu’il prépare une future version de Catalyst SD-WAN Manager contenant le correctif.
Pour les défenseurs qui cherchent à détecter le CVE-2026-20245, l’approche la plus pratique est d’examiner les appareils SD-WAN Manager pour détecter les signes d’activité non autorisée au niveau root, les téléchargements de fichiers suspects et les poussées de configuration inattendues vers les appareils périphériques. Parce que Cisco a explicitement lié l’accès préalable à des crédentiels compromis ou à des bugs SD-WAN antérieurs, les organisations devraient également vérifier que les failles d’authentification et d’élévation de privilèges précédemment divulguées sont pleinement corrigées sur l’ensemble du domaine.
De manière plus large, la détection du CVE-2026-20245 devrait être considérée comme une réponse à un incident plutôt qu’une gestion de correctifs de routine. Si les journaux indiquent un abus, Cisco met en garde que l’installation simple du futur correctif logiciel ne sécurisera pas à elle seule l’environnement, et les clients doivent faire appel au TAC pour une orientation de récupération adaptée à la compromission confirmée.
FAQ
Qu’est-ce que le CVE-2026-20245 et comment cela fonctionne-t-il ?
Il s’agit d’une vulnérabilité d’injection de commande dans le CLI de Cisco Catalyst SD-WAN Manager. Cisco indique qu’un attaquant avec des privilèges netadmin peut télécharger un fichier conçu sur un système affecté et exécuter des commandes arbitraires en tant que root.
Quand le CVE-2026-20245 a-t-il été découvert pour la première fois ?
La date de découverte privée n’a pas été divulguée publiquement dans le rapport cité. Ce qui est public, c’est que Cisco a divulgué la faille le 5 juin 2026, a déclaré que le PSIRT avait appris l’exploitation en juin, et a crédité Mandiant pour avoir signalé la vulnérabilité.
Quel est l’impact de CVE-2026-20245 sur les systèmes ?
Une exploitation réussie peut permettre l’exécution de commandes arbitraires en tant que root sur Cisco Catalyst SD-WAN Manager. Cisco a également déclaré avoir observé des cas où l’exploitation a conduit à des changements de configuration poussés vers les appareils périphériques, augmentant le potentiel d’un impact réseau plus large.
Le CVE-2026-20245 peut-il encore m’affecter en 2026 ?
Oui. Tout déploiement de Cisco Catalyst SD-WAN Manager affecté peut encore être exposé en 2026 s’il reste non corrigé et qu’un attaquant peut obtenir les privilèges netadmin requis, que ce soit par le biais de crédentiels volés ou de vulnérabilités SD-WAN enchaînées. Au moment de la divulgation, Cisco n’avait pas encore publié de correctif.
Comment puis-je me protéger du CVE-2026-20245 ?
Préservez les preuves avec le processus de collecte admin-tech, passez en revue les indicateurs de journaux publiés par Cisco, vérifiez les configurations des appareils périphériques, remédiez à toute faille d’accès SD-WAN liée, et appliquez la future version corrigée de Cisco dès qu’elle devient disponible. Si la compromission est confirmée, Cisco recommande de travailler avec le TAC car le correctif seul peut ne pas complètement remédier le système.
