Cisco Catalyst SD-WAN Controller Auth Bypass Actively Exploited to Gain Admin Access

Vulnérabilité critique exploitée dans Cisco Catalyst SD-WAN

Une faille de sécurité majeure affecte le contrôleur Cisco Catalyst SD-WAN, permettant à un attaquant distant non authentifié de contourner l’authentification pour obtenir des privilèges administratifs. Cette vulnérabilité, déjà activement exploitée, concerne le service « vdaemon » via le protocole DTLS.

Points clés :

• Nature de la faille : Défaut dans le mécanisme d’authentification par peering (« peering authentication »), similaire à une vulnérabilité précédente (CVE-2026-20127) mais située dans une zone différente de la pile réseau.
• Impact : Un attaquant peut usurper une identité d’utilisateur interne hautement privilégié, accéder à NETCONF et manipuler la configuration du réseau SD-WAN.
• Cibles : Déploiements sur site (On-Prem) et solutions Cloud (Cisco Managed, Cloud-Pro, et Gouvernement/FedRAMP).

Vulnérabilité identifiée :

• CVE-2026-20182 (Score CVSS : 10.0 - Sévérité maximale).

Recommandations :

• Mise à jour : Appliquer immédiatement les correctifs fournis par Cisco.
• Audit de sécurité : Examiner les journaux (/var/log/auth.log) à la recherche d’entrées « Accepted publickey for vmanage-admin » provenant d’adresses IP suspectes ou non autorisées.
• Surveillance : Détecter toute connexion de peering inhabituelle (horaires suspects, adresses IP inconnues ou équipements non cohérents avec l’architecture).
• Réduction de la surface d’attaque : Restreindre l’exposition des ports (notamment le port UDP 12346) des systèmes SD-WAN sur Internet.

Source