Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Critical Cisco SD-WAN bug exploited in zero-day attacks since 2023

4 minute de lecture

Mis à jour :

Attaque Active sur Cisco SD-WAN : Contournement d’Authentification et Ajout de Pairs Malveillants

Une faille critique de contournement d’authentification affectant les contrôleurs Cisco Catalyst SD-WAN est exploitée activement, permettant à des attaquants distants d’ajouter des pairs non autorisés et de compromettre les réseaux ciblés. Cette vulnérabilité, identifiée sous le nom de CVE-2026-20127, a un score de gravité maximal de 10.0 et touche les solutions Cisco Catalyst SD-WAN Controller et Cisco Catalyst SD-WAN Manager.

L’exploitation de cette faille permettrait à un attaquant de se connecter à un contrôleur affecté avec un compte interne privilégié et d’accéder à NETCONF pour manipuler la configuration du réseau SD-WAN. L’ajout d’un pair malveillant peut permettre à l’attaquant d’introduire un appareil qui semble légitime, d’établir des connexions chiffrées et de diriger des réseaux sous son contrôle, facilitant ainsi une progression plus profonde dans le réseau de l’organisation.

Des indications suggèrent que l’exploitation remonte au moins à 2023. Il est suspecté qu’un acteur de menace sophistiqué ait pu escalader vers un accès root en exploitant une autre vulnérabilité, CVE-2022-20775, pour obtenir des privilèges élevés avant de restaurer la version logicielle originale, rendant ainsi la détection plus difficile.

Cette situation a conduit à la publication d’avis coordonnés entre Cisco, le Centre de cybersécurité australien (ACSC), la CISA américaine et le Centre national de cybersécurité britannique (NCSC). La CISA a émis une directive d’urgence imposant aux agences fédérales de répertorier leurs systèmes Cisco SD-WAN, de collecter des preuves forensiques, de mettre à jour les logiciels et d’enquêter sur d’éventuelles compromissions liées à ces vulnérabilités.

Points Clés

  • Exploitation active : La vulnérabilité CVE-2026-20127 est activement exploitée dans des attaques de type “zero-day”.
  • Compromission des contrôleurs : Les attaquants peuvent obtenir un accès privilégié aux contrôleurs SD-WAN.
  • Ajout de pairs malveillants : Permet d’introduire des appareils non autorisés dans l’infrastructure SD-WAN.
  • Escalade de privilèges : Des preuves suggèrent l’utilisation combinée de CVE-2026-20127 et CVE-2022-20775 pour obtenir un accès root.
  • Menace imminente : Jugé comme une menace imminente pour les réseaux, en particulier les réseaux gouvernementaux.
  • Coopération internationale : Collaboration entre Cisco, ACSC, CISA et NCSC.

Vulnérabilités

  • CVE-2026-20127 : Contournement d’authentification critique dans Cisco Catalyst SD-WAN Controller et Manager, permettant à un attaquant d’obtenir un accès interne privilégié et de manipuler la configuration du réseau.
  • CVE-2022-20775 : Mentionnée comme potentiellement utilisée en combinaison avec CVE-2026-20127 pour l’escalade vers un accès root par une méthode de rétrogradation logicielle.

Recommandations

  • Mise à jour immédiate : Appliquer les mises à jour logicielles fournies par Cisco pour corriger CVE-2026-20127. C’est la seule méthode de remédiation complète.
  • Ne pas exposer les interfaces de gestion à Internet : S’assurer que les interfaces de gestion SD-WAN ne sont jamais accessibles depuis Internet.
  • Restriction de l’exposition réseau : Placer les composants de contrôle SD-WAN derrière des pare-feux et isoler les interfaces de gestion.
  • Surveillance des journaux : Examiner attentivement les journaux à la recherche de signes d’événements de peering non autorisés et d’activité d’authentification suspecte, notamment les connexions SSH acceptées à partir d’adresses IP inconnues.
  • Audit des comptes utilisateurs et des clés SSH : Vérifier la création/suppression de comptes malveillants, les connexions root inattendues et l’ajout de clés SSH non autorisées.
  • Recherche d’indices de compromission : Surveiller les journaux (notamment /var/log/auth.log, /var/volatile/log/vdebug, /var/log/tmplog/vdebug, /var/volatile/log/sw_script_synccdb.log) pour détecter les anomalies comme les fichiers journaux manquants ou manipulés, les rétrogradations logicielles et les redémarrages.
  • Stockage externe des journaux : S’assurer que les journaux sont stockés sur des systèmes externes pour éviter toute manipulation.
  • Enquête sur les événements suspects : Traiter les événements de peering inattendus ou l’activité inexpliquée du contrôleur comme des indicateurs de compromission potentiels et les examiner immédiatement.
  • Déploiement de nouvelles installations : En cas de compromission confirmée d’un compte root, il est recommandé de déployer des installations neuves plutôt que de tenter de nettoyer l’infrastructure existante.
  • Suivre les guides de durcissement : Appliquer les conseils de durcissement fournis par Cisco, la CISA et le NCSC.
  • Rapporter les compromissions : Les organisations sont encouragées à signaler toute compromission aux autorités compétentes (par exemple, NCSC au Royaume-Uni).

Source

Vous pourriez aimer