CVE-2026-20127 : Cisco SD-WAN Zero-Day Exploité Depuis 2023

Nouveau jour, nouvelle vulnérabilité sous les projecteurs. Nous voyons une fois de plus à quelle vitesse les failles exploitées dans des plateformes largement déployées se transforment en un véritable risque opérationnel. La couverture des bogues Cisco de gravité maximale (CVE-2025-20393, CVE-2026-20045), ainsi que la zero-day Dell RecoverPoint CVE-2026-22769, montre que les attaquants priorisent de plus en plus les infrastructures exposées à l’extérieur qui contrôlent silencieusement les flux de trafic, les chemins d’identité et la disponibilité des services.

Cette histoire continue avec CVE-2026-20127, un contournement d’authentification critique affectant le Cisco Catalyst SD-WAN Controller (anciennement vSmart) et le Cisco Catalyst SD-WAN Manager (anciennement vManage). Cisco Talos signale que la faille est activement exploitée et suit l’activité sous le nom UAT-8616, évaluant avec une grande confiance qu’un acteur menaçant hautement sophistiqué l’exploite depuis au moins 2023.

Le rapport 2026 sur l’état du Edge de GreyNoise montre pourquoi l’exploitation confirmée des systèmes de contrôle de réseau exposés justifie une action urgente. Au second semestre 2025, GreyNoise a observé 2,97 milliards de sessions malveillantes provenant de 3,8 millions d’adresses IP sources uniques ciblant l’infrastructure exposée à Internet, soulignant à quelle vitesse le trafic d’exploitation s’intensifie dès que les attaquants se concentrent sur une surface exposée.

Inscrivez-vous à la plateforme de détection native AI de SOC Prime, soutenue par des technologies de pointe et une expertise en cybersécurité de haut niveau pour surmonter les cybermenaces et construire une posture de cybersécurité résiliente. Cliquez sur Explorer les Détections pour accéder à la collection exhaustive de contenus SOC pour la détection d’exploitation de vulnérabilités, filtrée par le tag personnalisé « CVE ».

Explorer les Détections

Les détections du jeu de règles dédié peuvent être appliquées sur de multiples plateformes SIEM, EDR et Data Lake et sont mappées au dernier cadre MITRE ATT&CK® v18.1. Les équipes de sécurité peuvent également tirer parti de Uncoder AI pour accélérer l’ingénierie de la détection endjusqu’àla génération de règles directement à partir de rapports de menace actifs, affinant et validant la logique de détection, visualisant automatiquement les flux d’attaque, convertissant les IOC en requêtes de chasse personnalisées, et traduisant instantanément le code de détection dans divers formats linguistiques. logic, auto-visualizing Attack Flows, converting IOCs into custom hunting queries, and instantly translating detection code across diverse language formats.

Analyse de la CVE-2026-20127

Cisco Talos décrit CVE-2026-20127 comme un problème qui permet à un attaquant distant non authentifié de contourner l’authentification et d’obtenir des privilèges administratifs sur le système affecté en envoyant des requêtes façonnées. L’ avis public de Cisco relie la cause racine à un mécanisme d’authentification par peering qui ne fonctionne pas correctement.

Un exploit réussi peut permettre à un attaquant de se connecter à un Catalyst SD-WAN Controller comme un compte interne à haut privilège, mais non root, puis d’utiliser cet accès pour atteindre NETCONF et manipuler la configuration du tissu SD-WAN. Ce type d’accès au plan de contrôle est exactement ce qui rend les incidents SD-WAN si perturbateurs, car les attaquants sont en mesure de modifier le comportement du réseau.

De nombreux avis gouvernementaux et partenaires décrivent un chemin post-exploitation commun. Après avoir exploité CVE-2026-20127, des acteurs ont été observés en ajoutant un pair malveillant puis en progressant vers l’accès root et une persistance à long terme dans les environnements SD-WAN. Talos ajoute que des partenaires en intelligence ont observé une escalade impliquant une rétrogradation de version logicielle, l’exploitation de CVE-2022-20775, puis une restauration à la version originale, une séquence qui peut compliquer la détection si les équipes ne valident que la version « actuelle » en cours d’exécution.

Étant donné que l’exploitation est confirmée et impacte les systèmes utilisés pour gérer la connectivité à travers des sites et des clouds, la CISA a émis la Directive d’urgence 26-03 pour les agences civiles fédérales américaines, avec une exigence accélérée de compléter les actions requises avant 17h00 (HE) le 27 février 2026. FedRAMP a également relayé la même urgence aux fournisseurs de cloud soutenant des environnements fédéraux.

Mitigation de la CVE-2026-20127

Selon l’avis de Cisco, CVE-2026-20127 affecte Cisco Catalyst SD-WAN Controller et Cisco Catalyst SD-WAN Manager indépendamment de la configuration de l’appareil, à travers ces types de déploiement :

• Déploiement sur site
• Cloud Cisco Hosted SD-WAN
• Cloud Cisco Hosted SD-WAN – Géré par Cisco
• Cloud Cisco Hosted SD-WAN – Environnement FedRAMP
  
  

Cisco note également qu’il n’y a pas de solutions de contournement qui adressent complètement cette vulnérabilité. La correction durable consiste à passer à une version corrigée, avec les versions corrigées exactes listées dans l’avis de Cisco sous la section Logiciel corrigé .

Les utilisateurs sont incités à commencer par prioriser l’application des correctifs comme étant la seule complète solution et à vérifier que les correctifs sont effectivement en place sur chaque instance concernée de Catalyst SD-WAN Controller et Manager.

Ensuite, pour réduire la surface d’attaque pendant que les utilisateurs appliquent les correctifs et valident, la CISA et l’ UK NCSC souligne l’importance de limiter l’exposition du réseau, de placer les composants de contrôle SD-WAN derrière des pare-feu, et d’isoler les interfaces de gestion des réseaux non fiables. En parallèle, les journaux SD-WAN devraient être transférés vers des systèmes externes pour que les attaquants ne puissent pas facilement effacer les preuves locales.

Enfin, il vaut mieux traiter cela à la fois comme un événement de correction et d’investigation. Cisco recommande d’auditer /var/log/auth.log pour repérer des entrées comme « Accepted publickey for vmanage-admin » émanant d’adresses IP inconnues ou non autorisées, puis de comparer ces IP source avec les IP système configurées listées dans l’interface utilisateur du Manager (WebUI > Devices > System IP). Si les utilisateurs soupçonnent une compromission, Cisco conseille de contacter le centre TAC de Cisco et de collecter la sortie admin-tech (par exemple, via request admin-tech) afin qu’elle puisse être examinée.

Puisque l’activité signalée peut inclure une rétrogradation de version et un redémarrage inattendu comme partie intégrante de la chaîne post-compromission, les recommandations publiques préconisent également de vérifier les journaux suivants pour des indicateurs de rétrogradation/redémarrage :

• /var/volatile/log/vdebug
• /var/log/tmplog/vdebug
• /var/volatile/log/sw_script_synccdb.log
  
  

Pour renforcer la couverture au-delà des étapes de correction et d’atténuation, comptez sur la plateforme SOC Prime pour accéder au plus grand ensemble de données d’intelligence de détection au monde, adopter un pipeline de bout en bout qui s’étend de la détection à la simulation tout en rationalisant les opérations de sécurité et en accélérant les flux de travail de réponse, réduisant les frais généraux d’ingénierie, et en restant à l’avant-garde des menaces émergentes.