Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Cisco SD-WAN Zero-Day CVE-2026-20127 Exploited Since 2023 for Admin Access

2 minute de lecture

Mis à jour :

Exploitation d’une faille critique sur Cisco SD-WAN depuis 2023

Une vulnérabilité d’une gravité maximale (CVSS 10.0) affectant les contrôleurs Cisco Catalyst SD-WAN (anciennement vSmart) et les gestionnaires Cisco Catalyst SD-WAN (anciennement vManage) est activement exploitée depuis 2023 par un acteur de menace sophistiqué, connu sous le nom de UAT-8616.

Points clés :

  • Accès administrateur non authentifié : L’exploitation de cette faille permet à un attaquant distant non authentifié d’obtenir des privilèges administratifs sur un système affecté.
  • Mécanisme d’authentification défectueux : La vulnérabilité réside dans le mauvais fonctionnement du mécanisme d’authentification d’appairage.
  • Manipulation de la configuration réseau : L’attaquant peut utiliser les privilèges obtenus pour manipuler la configuration du réseau SD-WAN via NETCONF.
  • Persistance et escalade : Après l’exploitation initiale, les attaquants ont été observés exploitant une autre vulnérabilité (CVE-2022-20775) pour obtenir un accès root et établir une persistance en créant des comptes utilisateurs locaux, en ajoutant des clés SSH pour un accès root, et en modifiant les scripts de démarrage. Ils ont également pris des mesures pour dissimuler leurs traces en supprimant des journaux et des historiques de commandes.
  • Ciblage des infrastructures critiques : L’exploitation de ces vulnérabilités s’inscrit dans une tendance d’attaques visant les dispositifs de périphérie réseau pour obtenir des points d’ancrage dans des organisations de grande valeur, y compris les secteurs des infrastructures critiques.

Vulnérabilités identifiées :

  • CVE-2026-20127 : Permet à un attaquant non authentifié d’obtenir des privilèges administratifs en contournant l’authentification.
  • CVE-2022-20775 (CVSS 7.8) : Vulnérabilité d’escalade de privilèges dans l’interface CLI de Cisco SD-WAN Software.

Recommandations :

  • Mise à jour des systèmes : Migrer vers une version corrigée de Cisco Catalyst SD-WAN. Les versions corrigées incluent :
    • Version 20.9 : 20.9.8.2 (Estimation de sortie : 27 février 2026)
    • Version 20.111 : 20.12.6.1
    • Version 20.12.5 : 20.12.5.3
    • Version 20.12.6 : 20.12.6.1
    • Version 20.131 : 20.15.4.2
    • Version 20.141 : 20.15.4.2
    • Version 20.15 : 20.15.4.2
    • Version 20.161 : 20.18.2.1
    • Version 20.18 : 20.18.2.1
    • Pour les versions antérieures à 20.91, il est recommandé de migrer vers une version corrigée.
  • Audit des journaux : Vérifier le fichier /var/log/auth.log pour des entrées suspectes, notamment Accepted publickey for vmanage-admin provenant d’adresses IP inconnues ou non autorisées, et les comparer aux IPs système configurées.
  • Surveillance des journaux spécifiques : Analyser les journaux /var/volatile/log/vdebug, /var/log/tmplog/vdebug, et /var/volatile/log/sw_script_synccdb.log pour détecter les indicateurs de compromission tels que les versions de logiciel dégradées ou les redémarrages inattendus.
  • Inventaire et évaluation : Pour les agences fédérales, réaliser un inventaire des systèmes SD-WAN, appliquer les mises à jour et évaluer les compromissions potentielles.

Source

Vous pourriez aimer