CISA flags new SD-WAN flaw as actively exploited in attacks

Exploitation active de vulnérabilités critiques dans Cisco SD-WAN

La CISA a ajouté une vulnérabilité critique affectant Cisco Catalyst SD-WAN Manager à son catalogue de vulnérabilités exploitées (KEV), imposant aux agences fédérales américaines de sécuriser leurs systèmes sous un délai très court. Malgré les correctifs publiés par Cisco en février, cette faille fait l’objet d’attaques actives, tout comme d’autres vulnérabilités identifiées simultanément sur la même plateforme.

Points clés :

• Cible : Le logiciel de gestion Cisco Catalyst SD-WAN Manager (ex-vManage).
• Action de la CISA : Inscription de la faille au catalogue KEV avec obligation de remédiation pour les agences gouvernementales.
• Contexte : Une multiplication des attaques sur les produits Cisco, incluant des vulnérabilités de type “zero-day” et des failles critiques sur les pare-feu (Secure FMC).

Vulnérabilités identifiées :

• CVE-2026-20133 : Vulnérabilité de divulgation d’informations due à des restrictions d’accès au système de fichiers insuffisantes, permettant à un attaquant non authentifié d’accéder à des données sensibles via l’API.
• CVE-2026-20128 & CVE-2026-20122 : Failles de sécurité additionnelles déjà exploitées sur le terrain.
• CVE-2026-20127 : Vulnérabilité critique de contournement d’authentification exploitée depuis 2023 pour introduire des pairs malveillants dans les réseaux.

Recommandations :

• Appliquer les correctifs : Mettre à jour immédiatement les équipements Cisco SD-WAN vers les versions corrigées.
• Conformité : Respecter les directives d’urgence de la CISA (Emergency Directive 26-03), notamment les guides de “Hunt & Hardening”.
• Évaluation : Si les correctifs ne peuvent être déployés, il est conseillé de suspendre l’utilisation du produit conformément aux directives BOD 22-01.

Source