Cisco flags more SD-WAN flaws as actively exploited in attacks

Exploitation active sur les systèmes Cisco Catalyst SD-WAN

Cisco a confirmé l’exploitation active de vulnérabilités au sein de son logiciel Catalyst SD-WAN Manager (anciennement vManage). Bien que plusieurs failles aient été identifiées dans son dernier bulletin, deux d’entre elles font l’objet d’attaques avérées dans la nature.

Points clés :

• Menace persistante : Une autre vulnérabilité critique (CVE-2026-20127) est utilisée depuis 2023 pour infiltrer les réseaux via l’ajout de « pairs malveillants » légitimes en apparence.
• Portée : Les failles affectent le logiciel de gestion, indépendamment de la configuration matérielle des dispositifs SD-WAN.
• Actions réglementaires : La CISA a émis une directive d’urgence (ED 26-03) imposant aux agences fédérales américaines de procéder à des inventaires et des analyses forensiques.

Vulnérabilités exploitées activement :

• CVE-2026-20122 (Sévérité élevée) : Permet l’écrasement arbitraire de fichiers. Nécessite des identifiants en lecture seule avec accès API.
• CVE-2026-20128 (Sévérité moyenne) : Divulgation d’informations. Nécessite des identifiants locaux valides sur le système ciblé.

Recommandations :

• Mise à jour immédiate : Cisco exhorte les administrateurs à appliquer les correctifs logiciels disponibles sans délai.
• Audit et investigation : Pour les systèmes utilisant Catalyst SD-WAN, il est crucial de rechercher des signes de compromission et des pairs non autorisés, conformément aux directives de la CISA.
• Surveillance accrue : Compte tenu de la criticité des autres vulnérabilités récemment patchées (notamment sur Secure Firewall Management Center), une veille stricte sur les bulletins de sécurité de Cisco est nécessaire.

Source