Cisco warns of new critical SD-WAN flaw exploited in zero-day attacks
Mis à jour :
Exploitation critique de Cisco Catalyst SD-WAN : Contournement d’authentification
Une faille critique de contournement d’authentification affecte les contrôleurs Cisco Catalyst SD-WAN, permettant à des attaquants distants d’obtenir des privilèges administratifs élevés. Cette vulnérabilité, activement exploitée dans des attaques « zero-day », permet l’insertion de dispositifs frauduleux dans le réseau SD-WAN pour intercepter ou manipuler le trafic.
Points clés :
- Nature de la faille : Défaut du mécanisme d’authentification par peering permettant un accès non autorisé.
- Impact : Un attaquant peut accéder à l’interface NETCONF et modifier la configuration réseau de l’ensemble du fabric SD-WAN.
- Méthode d’attaque : Enregistrement de nœuds « rogue » (frauduleux) qui semblent légitimes, permettant une compromission profonde du réseau.
- Contexte : La faille a été détectée dès mai 2026. L’agence américaine CISA a intégré cette vulnérabilité à son catalogue des menaces connues et exige une mise à jour immédiate des systèmes.
Vulnérabilité associée :
- CVE-2026-20182 : Score de sévérité maximale (10.0).
Recommandations :
- Mise à jour logicielle : L’installation des correctifs officiels de Cisco est la seule solution de remédiation complète.
- Analyse des journaux : Inspecter
/var/log/auth.logà la recherche d’authentifications suspectes (utilisateursvmanage-adminprovenant d’IP inconnues) et surveiller les événements de peering dans les logs du contrôleur. - Sécurisation des accès : Restreindre strictement l’accès aux interfaces de gestion et de contrôle aux réseaux internes de confiance ou à des adresses IP autorisées.
- Réponse aux incidents : En cas de détection d’une IP non autorisée ou d’un peering suspect, considérer l’appareil comme compromis et contacter le support technique Cisco (TAC).