CISA Adds Cisco SD-WAN CVE-2026-20182 to KEV After Admin Access Exploits

Alerte de sécurité : Exploitation critique des contrôleurs Cisco SD-WAN

La CISA a intégré la vulnérabilité CVE-2026-20182 à son catalogue des vulnérabilités connues exploitées (KEV), en raison d’attaques actives visant les contrôleurs Cisco Catalyst SD-WAN. Cette faille, classée au score maximal de 10.0 (CVSS), permet à des attaquants distants non authentifiés de contourner l’authentification et d’obtenir des privilèges d’administrateur.

Points clés :

• Acteur identifié : Le groupe UAT-8616 est fortement impliqué. Il utilise des techniques de post-compromission comme l’ajout de clés SSH, la modification de configurations NETCONF et l’élévation de privilèges root.
• Propagation généralisée : Au moins 10 groupes de menace exploitent activement ce contrôleur et d’autres failles connexes (CVE-2026-20133, CVE-2026-20128, CVE-2026-20122) via des web shells (Godzilla, Behinder, XenShell) et des frameworks de commande et contrôle (Sliver, AdaptixC2).
• Objectifs des attaquants : Les activités observées incluent le déploiement de mineurs de cryptomonnaie (XMRig), de logiciels de cartographie réseau, et le vol de données sensibles (identifiants AWS, jetons JWT, hashes).

Vulnérabilité critique :

• CVE-2026-20182 : Contournement d’authentification sur Cisco Catalyst SD-WAN Controller et Manager (Score CVSS : 10.0).

Recommandations :

• Mise en conformité immédiate : Les agences fédérales américaines ont l’obligation de corriger cette vulnérabilité dans les délais impartis par la CISA.
• Application des correctifs : Cisco exhorte tous les clients à consulter les avis de sécurité officiels et à appliquer les correctifs disponibles sans délai.
• Surveillance : Inspecter les systèmes pour détecter toute présence de web shells, de clés SSH non autorisées ou d’activité anormale sur les configurations NETCONF.

Source